Privacidad y Seguridad en las aplicaciones móviles

Privacidad y Seguridad en las aplicaciones móviles

Las apps son aplicaciones destinadas principalmente a smartphones o tablets, aprovechando los recursos propios de estos dispositivos, tales como la pantalla táctil, la conexión a redes de datos, el acelerómetro, la cámara de fotos, o el GPS.

Las apps pueden ser juegos, herramientas ofimáticas, clientes de redes sociales o de noticias, utilidades para fotos, vídeos o música, etc. y se caracterizan por tener un precio muy reducido o por ser, incluso, gratuitas.

Sin embargo, no por ser baratas o gratuitas, están exentas de cumplir con las leyes.

A este respecto, las Autoridades Europeas de Protección de Datos han aprobado el primer dictamen conjunto sobre aplicaciones móviles, en el que se analiza la incidencia y los riesgos que éstas plantean para la protección de datos, detallando las obligaciones tanto de los desarrolladores de apps como del resto de actores que intervienen en la distribución de las mismas y prestando una atención especial al uso de estas aplicaciones por parte de menores.

En atención al tipo de app, podemos establecer una doble clasificación:

Por los recursos externos a los que acceden:

  • Apps “online”: Serían aquellas apps que acceden a recursos online o a distancia, como son las apps de noticias, juegos y redes sociales, consultas bancarias, consultas especializadas y foros, apuestas, mapas, aviso de radares, posicionamiento geográfico, etc.
  • Apps “offline”: Serían aquellas apps que no requieren recursos online ni a distancia, como por ejemplo algunos juegos que no acceden a redes de datos, algunas aplicaciones informativas, algunas herramientas ofimáticas, etc.

Por los recursos internos a los que acceden:

  • Apps “invasivas”: Serían aquellas apps que, por ejemplo, acceden a la agenda del dispositivo, al número identificativo del terminal, a su posición geográfica, a las fotos almacenadas, o muestran publicidad, o manipulan el perfil del usuario en una red social determinada, o incluso las que requieren que el usuario se registre facilitando sus datos personales.
  • Apps “no invasivas”: Serían aquellas apps que no acceden a ningún recurso interno o confidencial del dispositivo, ni requieren ningún dato personal del usuario.

La inmensa mayoría de las apps son “online” e “invasivas”. No obstante, dependiendo del tipo de aplicación, podemos seguir esta matriz para ver qué normas principales deben cumplirse:

 

 

Apps “Invasivas”

Apps “no invasivas”

Apps “Online”

LOPD

LSSI

LSSI

Apps “Offline”

LOPD

No aplica

 

A continuación exponemos un pequeño resumen de las obligaciones principales de estas normativas. No existe ninguna novedad legal, pero sí algún pronunciamiento específico en relación a las apps y a su uso por el público juvenil:

LOPD: La normativa vigente en materia de protección de datos, exige, fundamentalmente, el cumplimiento de las siguientes obligaciones:

  • Calidad:Los datos deben ser adecuados, pertinentes y no excesivos para la finalidad para la que se recogen. Esta obligación debe aplicarse de forma más estricta en apps dirigidas al público juvenil. En opinión de las Autoridades Europeas, no deben registrarse datos de menores con fines publicitarios y tampoco debe recopilarse información acerca de los padres o familiares. También en su opinión, en el momento en que se produzca la desinstalación de la app, debería cesarse también en el tratamiento de los datos personales; no obstante, deberá analizarse este punto, sobre todo en las aplicaciones que exijan al usuario que se registre para su uso.
  • Información: Es necesario informar previamente sobre qué datos se obtienen a través de la instalación de la app sin que el usuario los haya facilitado directamente. Debe informarse también sobre la identidad y domicilio del responsable, los fines de los datos recogidos o accedidos, la posibilidad de ejercer sus derechos, y si hay interconexión con terceros, como otros usuarios de la app, publicación en muros de redes sociales, etc. En caso de apps dirigidas al público juvenil, esta información debe transmitirse de forma sencilla y asequible para este tipo de público.
  • Consentimiento: Si el usuario continúa adelante con la instalación después de haber sido informado, dispondremos de su consentimiento. No obstante, el consentimiento prestado por menores de 14 años no es válido, por lo que deben articularse mecanismos que prohíban su uso a menores de 14 años, o que permitan obtener el consentimiento de sus padres o tutores.
  • El resto de los principios y obligaciones de la LOPD son igualmente aplicables a los datos recabados a través de las apps (obligación de garantizar la seguridad de los datos, de suscribir contratos con los prestadores de servicios que accedan o puedan acceder a la base de datos de usuarios, etc.)

LSSI: La normativa vigente en materia de servicios de la sociedad de la información, exige, fundamentalmente, el cumplimiento de las siguientes obligaciones:

  • Información General: Establecer un “aviso legal” que informe de la identidad del responsable de la app, su domicilio, NIF, datos registrales, datos de contacto, datos de autorizaciones administrativas para el ejercicio de su actividad, y códigos éticos a los que estuviese adscrito.
  • Información comercial:Es recomendable obtener el consentimiento expreso para el envío de publicidad. En todo caso, esta finalidad debe ser opcional para el usuario, y cuando se lleve a cabo, la comunicación debe estar señalada como “Publicidad” o “Publi”, y permitir al usuario que se oponga a la recepción de futuras comunicaciones comerciales.

En definitiva, no hay novedades, más allá de la novedad del terreno en el que nos movemos, los matices acerca de los menores (difícilmente controlable, por no decir imposible) y la información que debe ofrecerse a los usuarios (que, en realidad, dista mucho de algo que el usuario medio quiera llegar a leer en algún momento de su vida).

 

Cristina Sandoval

José Carlos Moratilla

Departamento Derecho TIC

www.audea.com

www.cursosticseguridad.com

«
»