Lo más seguro es que si usas un smartphone, uses varias aplicaciones, ya que a través de estos programas, añadimos contenido y funcionalidades a nuestro teléfono móvil; WhatsApp, Twitter, correo electrónico, juegos, editor de imagen, lector de códigos QR… Son solo algunas de las apps que podemos encontrar en prácticamente cualquier móvil, pero ¿qué de la normativa de protección de datos para aplicaciones móviles? ¿Deben las apps cumplir con el RGPD y la LOPDGDD?
En este artículo hablamos de:
- ¿Deben las aplicaciones móviles cumplir la Ley de Protección de Datos?
- Normativa de protección de datos para apps
- ¿Cómo deben cumplir las aplicaciones de móviles la Ley de Protección de Datos?
- Informar al usuario: Política de privacidad de la app
- Recabar el consentimiento del usuario
- Finalidad del tratamiento
- Seguridad de los datos personales en aplicaciones móviles
- Conservación de los datos
- Derechos del usuario
- Aplicaciones para menores
- Registro de actividades de tratamiento
- Informar de brechas de seguridad
- Cómo adaptar una aplicación a la normativa de protección de datos
¿Deben las aplicaciones móviles cumplir la Ley de Protección de Datos?
Teniendo en cuenta qué datos personales guardan las aplicaciones, así como aquellos a los que pueden acceder una vez instaladas en nuestros teléfonos móviles, sí, las apps deben cumplir con la Ley de Protección de Datos, o, más correctamente, la empresa titular de la app debe cumplir con ella, puesto que será la responsable del tratamiento.
Normativa de protección de datos para apps
La normativa aplicable a una app en materia de protección de datos la encontramos en:
- RGPD (Reglamento General de Protección de Datos)
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales)
- LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico)
¿Cómo deben cumplir las aplicaciones de móviles la Ley de Protección de Datos?
A continuación vamos qué deben tener en cuenta las aplicaciones de móviles para que estas cumplan con la normativa de protección de datos.
Cumplir Lopdgdd y Rgpd en Apps
Informar al usuario: Política de privacidad de la app
Es fundamental informar a los usuarios de la aplicación de todo lo relacionado con la gestión de datos personales que va a recabar y tratar. Esta información debe suministrarse siempre con carácter previo a la instalación de la aplicación, idealmente en la propia tienda de apps donde se vaya a adquirir (de hecho, tanto la App Store como Google Play Store obligan ya a los desarrolladores a informar sobre los datos a los que accederá la app una vez instalada).
La información, que tomará la forma de una política de privacidad de la app, debe incluir el siguiente contenido:
- Identidad del responsable del tratamiento (titular o desarrolladora de la app) y, en su caso, del encargado del tratamiento.
- A qué datos personales accederá la app (tanto del usuario como de terceros, recordemos que muchas apps la usamos para comunicarnos con otras personas).
- Finalidad del tratamiento, es decir, para qué se van a usar los datos que recaba la app.
- Si se cederán a datos personales a terceros (socios comerciales o estratégicos que trabajan con la desarrolladora o empresa titular de la app).
- Si es posible que al usar determinados servicios de la app, se compartan datos personales con terceros (otros usuarios), por ejemplo, es lo que ocurre con las apps de redes sociales cuando publicamos una foto.
- Durante cuánto tiempo se conservarán los datos.
- Vía para ejercer sus derechos de acceso, rectificación y supresión.
- Si se trata de un servicio que incluye geolocalización, información relativa a cómo se usan estos datos.
Esta política de privacidad también deberá estar accesible en la propia aplicación o, como mínimo, tener un enlace que conduzca a ella.
Recabar el consentimiento del usuario
Con carácter previo a que la app empiece a recoger y guardar información, deberá solicitar para ello el consentimiento del usuario. Este consentimiento debe ser expreso, es decir, el usuario debe darlo mediante una acción afirmativa (por ejemplo, pulsando un botón de «Acepto»), además de libre, inequívoco e informado.
Así mismo, se deberá pedir el consentimiento para cada dato personal que se vaya a recabar, es decir, que no vale un consentimiento general para todos ellos, sino que deberá concederse de manera individual para cada uno de ellos.
Este consentimiento deberá poder revocarse de forma sencilla por parte del usuario, si decide dejar de usar la app o desinstalarla. Además, deberá poder borrar los datos que la app haya almacenado en el dispositivo.
Finalidad del tratamiento
Ya lo mencionamos más arriba, pero el usuario debe ser informado de la finalidad del tratamiento, es decir, para qué se van a usar los datos personales que recaba la aplicación (¿fines estadísticos?, ¿para el funcionamiento de la app?, ¿fines técnicos?, etc.).
La finalidad del tratamiento se informará con carácter previo a la instalación de la app y no podrá modificarse, salvo que se solicite un nuevo consentimiento.
La información debe estar bien definida y ser comprensible por el usuario sin necesidad de conocimientos jurídicos o técnicos específicos.
Seguridad de los datos personales en aplicaciones móviles
Las aplicaciones deben cumplir las obligaciones en materia de seguridad para permitir a los usuarios un mayor control de sus datos y aumentar la confianza en las entidades que procesan esos datos.
Al diseñar una aplicación se debe establecer dónde se almacenarán los datos de los usuarios y definir una política de elaboración y distribución de sus programas. A causa de la información que utilizan y a los recursos que acceden, es preciso efectuar una auditoría de seguridad de las aplicaciones móviles utilizadas en la empresa identificando los recursos que administra la aplicación móvil, los datos que se almacenan en el teléfono móvil o en el tablet, y qué información se transmite.
La seguridad de los datos en aplicaciones móviles debe considerarse siempre desde el diseño, es decir, desde el mismo desarrollo de la app. Para ello deberá llevarse a cabo el correspondiente análisis de riesgos y, si lo amerita, la evaluación de impacto.
Conservación de los datos
Al desarrollar una aplicación se debe considerar la conservación de los datos recogidos y los riesgos que surgen para la protección de esos datos. Los plazos de conservación dependerán de la finalidad de la aplicación y de la importancia de esos datos para el usuario.
Así mismo, se debe establecer un período de inactividad mínimo, tras el cual, la cuenta de la aplicación se considerará como expirada (esto no quiere decir que la app se borre del móvil, pero sí que dejará de recopilar información).
Derechos del usuario
Como ya hemos dicho más arriba, se debe informar a los usuarios de la app de cómo y dónde pueden ejercer sus derechos ARSULIPO: acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Aplicaciones para menores
En el caso de las aplicaciones cuyo público objetivo sean menores de edad, se deberá tener en cuenta las siguientes obligaciones:
- El consentimiento solo pueden darlo los mayores de 14 años, si son menores de esa edad, deben darlo sus padres o tutores legales.
- Completo respeto al principio de minimización, es decir, que por defecto estas apps deben tratar los datos mínimos imprescindibles para funcionar.
- No usar la información personal recabada con fines comerciales.
- No solicitar información sobre familiares y amigos.
Registro de actividades de tratamiento
Evidentemente, al tratar datos personales de forma sistemática, la empresa titular de la app o la desarrolladora, como responsables del tratamiento, deberán llevar el correspondiente registro de actividades de tratamiento, para documentar la gestión de los datos personales que maneja la aplicación.
Informar de brechas de seguridad
Como cualquier otro responsable de tratamiento, la empresa titular de la app o la desarrolladora deberán informar a la AEPD y los interesados de cualquier incidente de seguridad que pueda afectar a los datos personales de los usuarios de la app, siempre que pueda tener un riesgo o impacto negativo en sus derechos y libertades.
El plazo para informar de estas brechas de seguridad es de 72 horas desde que se tenga constancia del incidente.
Cómo adaptar una aplicación a la normativa de protección de datos
Si quieres que tu aplicación o aplicaciones cumplan con la normativa de protección de datos, debes sé escrupuloso con las obligaciones que exige cumplir el RGPD y la LOPDGDD, porque la mayoría de las aplicaciones acceden a una gran cantidad de información personal almacenada en los teléfonos móviles, que no solo debes tratar de acuerdo a la ley, sino también garantizar su protección y seguridad.