Aplicacions per a dispositius mòbils (Apps)


Maite Morera Fontanet     31/03/2020

La telefonia mòbil ha estat la tecnologia amb major velocitat de penetració en la societat de la història. Hi ha centenars de milers d'aplicacions mòbils disponibles en els diferents "stores" o botigues d'aplicacions per a cada tipus de dispositiu intel·ligent de certa popularitat.

Entenem per aplicacions mòbils (Apps) els programes informàtics generalment concebuts per a una comesa concret i dirigit a un determinat conjunt de dispositius intel·ligents com telèfons intel·ligents, tauletes o televisors connectats a internet.

Les aplicacions poden recollir grans quantitats de dades a partir dels dispositius on estan instal·lades (per exemple, dades emmagatzemades per l'usuari en el seu dispositiu o dades de diferents sensors com la ubicació) i processar-per proporcionar serveis nous i innovadors a l'usuari de les mateixes . Per tant, les Apps no només roden dins el SmartPhone sinó que també estan fent trucades a bases de dades, a sistemes d'informació i estan captant informació que extreuen de l'Smartphone i es duen a la seva base de dades que després tractaran.

Utilitzar una App obliga a garantir els drets fonamentals del de l'usuari, de manera que podem diferenciar dos tipus de responsabilitats en el tractament de les seves dades: responsable (RT) o encarregat (ET) del tractament, segons a qui va dirigida la prestació de serveis :

  • L'empresa propietària de l'App:
    • serà RT si presta els serveis directament a usuaris per a ús particular o domèstic
    • serà ET si contracta l'App a altres empreses perquè aquestes prestin els serveis als seus usuaris finals.
  • L'empresa que contracta l'App:
    • serà RT quan els serveis prestats van dirigits a usuaris finals (interessats), per ex. clients, pacients, alumnes, empleats, etc.
    • serà ET quan vagin adreçats a empreses o professionals perquè aquestes prestin els serveis als seus usuaris finals.
  • En qualsevol cas, només serà RT l'empresa que presti els serveis directament als usuaris finals (interessats).


Els principis fonamentals relatius al tractament de dades personals que regula l'article 5 del GDPR ens obliguen a fer-nos una sèrie de preguntes: per a quines finalitats anem a tractar les dades personals, què legitimació tenim per a això, quin és l'abast d'aquest tractament, etc. .

Totes les decisions que tenen a veure amb la finalitat definiran la informació proporcionada als usuaris sobre el tractament de les seves dades personals (art. 13 i 14 GDPR) i si és convenient oferir aquesta informació per capes (art. 11 LOPDGDD) per seva major claredat i transparència.

El RT que utilitza una App per a qualsevol gestió o servei amb els seus clients, pacients, empleats ..., on la finalitat requereixi que aquests últims incorporin les seves dades personals a l'App, podrà facilitar la informació del tractament de les següents maneres:

• en un enllaç, link o hipervincle en la política de privacitat a la botiga d'aplicacions, per exemple, Google APPS.
• en la pròpia App amb icones, un text breu i enllaç.
• en una secció de la política de privacitat del seu web.



Quina informació s'ha de facilitar en qualsevol dels llocs abans esmentats:

  • Responsable: identificació de l'RT. En aquells casos de RT establerts fora de la UE i que ofereixen les seves aplicacions per a usuaris a Europa, han d'haver designat un representant a la UE i identificar-lo.
  • Finalitat: descripció dels caps de el tractament, fins i tot elaboració de perfils. Incloent el termini durant el qual es conservaran les dades personals o, quan no sigui possible, els criteris utilitzats per determinar aquest termini.
  • Legitimació: detall de la base jurídica del tractament, en els casos d'obligació legal, interès públic o interès legítim.
  • Destinataris: informar de l'existència de cessions o transferències internacionals de dades.
  • Drets: proporcionar als usuaris informació sobre l'exercici dels seus drets i proporcionar mecanismes i procediments per exercir-los de manera efectiva.
    • Dret a sol·licitar l'accés a les dades personals relatives a l'interessat
    • Dret a sol·licitar la seva rectificació o supressió
    • Dret a sol·licitar la limitació del seu tractament
    • Dret a oposar-se a el tractament
    • Dret a la portabilitat de les dades


Com s'ha de proporcionar la informació:

  • Completa i fàcilment accessible, tant a la botiga d'aplicacions, si és el cas, com en l'aplicació mateixa.
  • En llenguatge clar i senzill, de manera concisa, transparent, intel·ligible, i adaptada a l'interessat o usuari potencial de l'aplicació.
  • Sense utilitzar clàusules ambigües o buides.


Com obtenir el consentiment:

  • El consentiment s'ha de sol·licitar de forma granular, és a dir, de forma independent per als diferents tractaments i finalitats.
  • La instal·lació i utilització de l'App no pot estar condicionada a l'obtenció d'un consentiment per a un tractament no necessari per proporcionar el servei definit en la mateixa.
  • S'ha d'indicar els permisos que pot sol·licitar l'aplicació (directament o a través de biblioteques de tercers) per a l'accés a dades i recursos, per quins tractaments i finalitat es sol·liciten els consentiments i amb quina extensió (lectura, escriptura, ...).


Pràctiques més habituals per tenir en compte:

  • La privacitat per defecte, és a dir, que sigui l'usuari el que activi les diferents opcions, per exemple la possibilitat de geolocalització, accés a galeria d'imatges, ... i que no estiguin activades per defecte.
  • Respectar les preferències de l'usuari pel que fa a privacitat, per exemple, pel que fa a la personalització d'anuncis, evitant, si és el cas, l'accés fins i tot a identificadors de publicitat.
  • Evitar l'accés a identificadors globals únics al costat de l'identificador de publicitat de el dispositiu, el que permetria fer assignacions que permeten deixar sense efecte mesures de protecció de l'usuari com canviar el seu identificador de publicitat.
  • Evitar la difusió de dades personals cap a serveis d'analítica i publicitat des del mateix moment en què s'inicia l'aplicació, sense que l'usuari mateix hagi pogut fer cap ús o ajust.
  • Comprovar que no hi ha difusió de dades personals sense coneixement de l'RT, a l'tractar de comunicacions iniciades des llibreries de tercers utilitzades pel desenvolupador per ampliar la funcionalitat de l'aplicació o rendibilitzar-econòmicament.
  • Evitar la cessió de dades personals cap a destinataris no especificats o informats en la política de privacitat, que tinguin el paper de RT o CoRT (corresponsables).
  • Evitar transferències internacionals de dades no declarades en la política de privacitat.
  • Utilitzar mètodes avançats per al xifrat de les comunicacions suposa una garantia addicional per a la privacitat dels usuaris a considerar depenent de les característiques de l'tractament de dades.


Directrius per a responsables de tractament:
Els RT que encarreguin el desenvolupament, posada en producció i/o explotació d'aplicacions a terceres parts (ET) amb accés a dades personals, han d'assegurar-complir els requisits de responsabilitat activa recollits en el GDPR, assegurant a més que l'ET únicament tracta els dades d'acord amb les seves instruccions i prenent mesures per assegurar-se que així sigui. (Art. 28 GDPR)



Seguretat en l'App mòbil:

  • Caldrà tenir una manera de desactivar l'accés remot a l'App des d'un sistema quan l'usuari hagi perdut el dispositiu i necessiti evitar que un tercer accedeixi a la seva informació.
  • Permetre als usuaris retirar el seu consentiment en qualsevol moment i desinstal·lar l'aplicació quan ho considerin convenient.
  • Realitzar auditories i/o portar a terme anàlisis que permetin determinar si les aplicacions mòbils i protecció de dades personals s'estan portant de conformitat amb el GDPR i la LOPDGDD.
  • Adoptar les mesures de seguretat necessàries en funció de el risc del tractament.
  • Controlar que es respectin els límits legals d'edat establerts en les legislacions nacionals, pel que fa a utilització d'aplicacions per menors.


REFERÈNCIES BIBLIOGRÀFIQUES

  • AEPD: El deber de informar y otras medidas de responsabilidad proactiva en APP para dispositivos móviles:
  • GT29, Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes, WP 202, 16 de septiembre de 2014:
  • GDPR: Reglament (UE) 2016/679, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa a el tractament de dades personals ia la lliure circulació d'aquestes dades.
  • LOPDGDD: Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
  • LSSI: Llei 34/2002, de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic.