935.953.535
22 Jun ¿Cómo afecta el nuevo Reglamento de Protección de Datos a las empresas desarrolladoras de apps?
El Reglamento General de Protección de Datos (RGPD) que entró en vigor el pasado 25 de mayo de 2018 trae de la mano muchas nuevas obligaciones para las empresas que tratan datos personales -la mayoría de ellas-, pero un punto que ha pasado relativamente desapercibido es cómo regula el mundo de las aplicaciones móviles o apps y qué cambios tendrán que afrontar las empresas desarrolladoras de este tipo de tecnología. Ya en febrero de 2013 se aprobó un dictamen por parte de las autoridades europeas que ponía más en claro el marco jurídico que debía aplicarse a las apps. El artículo 29 del Dictamen 2/2013 del Grupo de Trabajo concluía que resultaba de plena aplicación la normativa de protección de datos (LOPD) para los desarrolladores de aplicaciones. Conceptos como consentimiento informado y previo del usuario, limitación de la finalidad para la que se recogen los datos, informar de los derechos a los usuarios… ya estaban presentes.
Con la entrada en vigor del RGPD, la realidad es que hay mucho que hacer en este campo. Según un estudio de la plataforma SafeDK -dedicada al diseño, motorización y análisis de aplicaciones- publicado en enero de 2018, los resultados son concluyentes: más del 55% de todas las apps podrían incumplir la regulación europea de seguir funcionando tal y como hacían en el momento de publicación del estudio. En concreto, más del 55% de las aplicaciones principales tenían al menos un SDK (‘software development kit’) que accede a los datos privados del usuario (ubicación). Más del 40% de las aplicaciones tenían al menos un SDK accediendo a los datos de las aplicaciones del usuario y casi el 30% de las aplicaciones tenían al menos un SDK que accede a los contactos de los usuarios. Estas características suponen posibles incumplimientos con la legislación europea.
Con el reglamento en vigor, las app tendrán que afrontar unos cambios profundos para asegurar que el trato que se dan a los datos que recogen es el que está previsto por la nueva normativa europea. Si necesitas apoyo legal para el desarrollo de apps, páginas web, etc. en cumplimiento de la normativa sobre protección de datos, ponte en contacto con nosotros y te ayudaremos.
¿Cuáles son algunos de los principales cambios que afectan a las app?
El consentimiento
El consentimiento, según el artículo 11 del RGPD, ha de ser libre, informado, específico e inequívoco. Con ellos se pretende que la prestación del consentimiento sea positivo y claro, y nunca un consentimiento tácito (deja de ser válida la mera inacción o la no oposición en el plazo de 30 días). De esta forma, el silencio, las casillas premarcadas o la inacción ya no son consideradas consentimiento válido.
También desaparece, según se puede deducir del considerando 43 de la norma, el consentimiento supeditado, es decir, que la prestación del servicio dependa de ese consentimiento cuando no sea necesario. Un ejemplo sería la descarga de aplicaciones cuando se solicita acceso a funciones del dispositivo (galería de fotos, contactos…)
Por otra parte, en relación a la edad para dar el consentimiento, el RGPD establece como regla general los 16 años, aunque cada país puede establecer una edad menor, con un límite de 13 años. El Anteproyecto de la nueva Ley Orgánica de Protección de Datos española la reduce de los 14 a los 13 años para adaptar así el sistema español al Reglamento General de Protección de Datos.
Nueva ampliación de derechos
A los derechos existentes, los llamados derechos ARCO -aceptación, rectificación, cancelación y oposición- hay que añadir ahora el derecho al olvido y a la portabilidad. Por tanto, se debe hacer referencia a estos derechos en la política de privacidad, así como establecer un mecanismo para poder ejercer estos derechos, habitualmente vía mail, ya que los datos fueron recogidos vía internet y debería poder solicitarse la opción que el usuario prefiera a través de este medio.
Cuidado con las brechas de seguridad
El artículo 33 del RGPD establece lo siguiente:
“Notificación de una violación de la seguridad de los datos personales a la autoridad de control:
1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación”.
Hay que asegurar que las apps sean realmente seguras, ya que para utilizar muchas de ellas hay que darse de alta y, por ello, es clave evitar toda posible violación de la seguridad o fuga de datos. Cuando hablamos de datos, hay que dejar bien claro que se trata de datos personales, es decir, que afectan a la intimidad del usuario.
Política de privacidad, finalidad y calidad de los datos
La app debe dejar perfectamente clara cuál es la política de privacidad de la empresa: qué clase de datos se van a guardar, su finalidad y el plazo de conservación de éstos, quién se encargará de tratarlos… Además, sólo se podrán solicitar los datos que sean necesarios para prestar el servicio para el que se creó la aplicación.
Privacidad desde el Diseño o ‘Privacy by Design’
El diseño no esta reñido con la seguridad. Por tanto, cuando se diseñe una app, la seguridad, las leyes de privacidad y la protección de datos son puntos fundamentales de su construcción y no deben afectar en su funcionamiento. El RGPD no dedica artículos o considerandos propios a este asunto, pero sí que da unas pistas que indican la voluntad del legislador:
Considerando 78 del RGPD
“…A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto…”
Artículo 25.1 del RGPD
“…teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, concebidas para aplicar de forma efectiva los principios de protección de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados…”
Algunas de las ideas que subyacen en este principio son las de proactividad a la hora de prevenir riesgos, la privacidad con opción predeterminada, privacidad absoluta en todo el ciclo vital de la app, transparencia… El usuario y la privacidad de sus datos pasan a ser el centro a la hora de diseñar no sólo las apps sino cualquier software, web, etc. Podemos decir que el concepto de la Privacidad desde el Diseño supone un salto para la confianza y la transparencia a la hora de conocer como son tratados nuestros datos.
En conclusión, nos encontramos ante un nuevo escenario que implica un cambio de mentalidad. La seguridad ya no es un concepto abstracto, sino que pasa a ser la clave de la nueva regulación y no depende sólo de instancias públicas o de terceros: es un deber que atañe a todos, desde diseñadores a creativos, pasando por directivos de empresa y por su equipo informático. Ademas, no importa el tamaño: estas obligaciones se imponen tanto a las web, apps etc. de pequeñas empresas o profesionales autónomos como a las de grandes corporaciones. A todos por igual nos debe importar que los datos personales que nos confíen reciban el trato de seguridad que se merecen.
El Reglamento General de Protección de Datos y la ley que próximamente se aprobará en España han llegado para quedarse. Aunque muchas veces parezca engorroso, lo mejor -y lo único- que podemos hacer es adaptarnos a ella y aplicar su articulado. Todos salimos ganando.
Por Jordi Aguiló, abogado especialista en Protección de Datos para Kernel Legal.
Si necesitas apoyo legal para el desarrollo de apps, páginas web, etc. en cumplimiento de la normativa sobre protección de datos, ponte en contacto con nosotros y te ayudaremos.