Implicaciones en privacidad de los Smartphones y las APPs
Los actuales smartphones han superado con creces las funcionalidades del teléfono móvil como lo conocíamos hace unos años, convirtiéndose en un auténtico dispositivo de gestión y tratamiento de datos como puede ser un ordenador personal.
En esta línea, expusimos en el post del Blog DPD de la AEC los nuevos retos en Política de privacidad y lo señalado por el Grupo de Trabajo del Artículo 29. Ahora queremos ir más allá y exponer las actuaciones a llevar a cabo en la organización.
El Dictamen 2/2013 sobre las aplicaciones de los dispositivos inteligentes del Art29WP pone el foco en “la estrecha interacción con el sistema operativo permite a las aplicaciones acceder a un número de datos significativamente superior a aquél al que tiene acceso un navegador de internet tradicional. Las aplicaciones pueden recoger gran cantidad de datos a partir del dispositivo (datos de ubicación, datos almacenados por el usuario en el dispositivo o datos de los distintos sensores) y procesarlos para proporcionar servicios nuevos e innovadores al usuario final”.
El Grupo de Trabajo del Artículo 29 destaca algunos ejemplos de los datos que puede recopilar la APP del usuario del smartphone: localización, contactos, identificadores únicos del dispositivo y del cliente (p. ej., IIEM13, IIAM14, IUD15 y número de teléfono móvil), identidad del interesado, identidad del teléfono, datos de tarjetas de crédito y relativos a pagos, registros de llamadas, SMS y mensajería instantánea, historial de navegación, correo electrónico, fotografías y vídeos, datos biométricos (por ejemplo, modelos de reconocimiento facial y huellas dactilares), etc.
Por otra parte, el Grupo de Trabajo del Articulo 29 también entiende que existe riesgo grave en la existencia de numerosos actores que intervienen en el desarrollo de aplicaciones, ya que puede propiciar que “un determinado dato puede ser transmitido, en tiempo real, desde el dispositivo para ser procesado en cualquier parte del planeta o ser copiado entre cadenas de terceras partes”.
En relación con las diferentes partes que intervienen en el desarrollo de aplicaciones, el Grupo de Trabajo del Artículo 29 destaca:
- Desarrolladores de aplicaciones.
- Fabricantes de sistemas operativos y de dispositivos.
- Tiendas de aplicaciones.
- Terceras partes.
Para el Grupo de Trabajo del artículo 29 los principales riesgos para los usuarios finales son:
- Falta de transparencia y conocimiento sobre los diferentes tratamientos de datos que se realizan. Aunque los desarrolladores de aplicaciones vienen condicionados por el diseño y funcionalidades del sistema operativo, muchas aplicaciones no cuentan con política de privacidad, ni informan en el momento previo a la instalación sobre las finalidades y usos previstos.
- Ausencia de consentimiento para el tratamiento de datos personales. La mayoría de las aplicaciones en el mejor de los casos tienen un botón o casilla en el que se indica que se han leído y se aceptan los términos y condiciones sin que se posibilite la opción de denegar el consentimiento para el tratamiento de datos.
- Ausencia de cumplimiento del principio de minimización del tratamiento. Por un lado, se pueden recoger datos que no son necesarios para el tratamiento previsto, ya sea por información que recolecta la propia APP o por la generación de permisos de acceso difícilmente justificables para la finalidad del tratamiento, o que los usos de la información recolectada por la APP se destinen a finalidades no compatibles con la finalidad principal del tratamiento como puede ser una cesión de datos a terceros para estudios estadísticos o de mercado.
- Medidas de seguridad escasas o ineficaces que pueden provocar una violación de seguridad. Téngase en cuenta que algunas APPs están pensadas y desarrolladas para controlar y monitorizar el estado de salud del usuario.
Partiendo de los riesgos analizados anteriormente, el DPO deberá actuar sobre los siguientes aspectos:
- Tanto en la fase de registro del usuario del smartphone en relación con su dispositivo tanto en el fabricante del dispositivo como en la tienda de aplicaciones como en su caso, en el del sistema operativo como en la fase de descarga del a APP, y en su caso registro, se debe facilitar información acorde con el artículo 13 del RGPD. Respecto de las finalidades y usos previstos se deberá prestar especial atención a los tratamientos que no tengan relación directa con el uso y funcionamiento de la APP, como pueden ser los tratamientos de big data, de publicidad comportamental y en los que intervengan terceras partes. En estos supuestos los principios de transparencia y privacidad por diseño llevarían a detallar pormenorizadamente el uso de los datos por una tercera parte, la explicación y justificación de los diferentes permisos de acceso que se solicitan (agenda de contactos, cámara, GPS, etc) o el tratamiento de biga data que se va a desarrollar detallando si los datos se anonimizan previamente, el procedimiento de anonimización y el tratamiento de datos realizado por el algoritmo utilizado en ese tratamiento.
- Legitimación del tratamiento. Para los tratamientos realizados en relación con la compra o licencia de uso de la aplicación, así como aquellos relacionados con el buen funcionamiento del dispositivo, la base jurídica del tratamiento será la ejecución de un contrato en interés del interesado.
En los supuestos en los que la aplicación sea gratuita o aquellas finalidades y usos no relacionados directamente con el proceso de compra y buen funcionamiento del dispositivo, la base jurídica del tratamiento será el consentimiento del interesado.
Es recomendable que se permita un consentimiento de tipo granular de manera que el usuario pueda ir otorgando los consentimientos para cada una de las finalidades previstas y que se prevean mecanismos para solicitar nuevos consentimientos no previstos en el momento inicial.
Finalmente, en relación con la seguridad de la red y la información, la base jurídica del tratamiento puede ser el interés legítimo del responsable los tratamientos realizados para salvaguardarla, a tenor de lo dispuestos en el Considerando 49 del RGPD.
- Minimización del tratamiento. Los principios de limitación de la finalidad y minimización de los datos, unidos a los principios de licitud, lealtad y transparencia, deben regir las políticas informativas de los desarrolladores de APPs, puesto que en base a la información facilitada los usuarios decidirán libremente si otorgar su consentimiento para todas o varias de las finalidades descritas.
- Los diferentes actores implicados en las diferentes fases del tratamiento deben implementar medidas técnicas y organizativas apropiadas para garantizar la integridad, confidencialidad y disponibilidad de la información bajo un enfoque basados en los riesgos detectados atendiendo a la naturaleza, contexto, fines y ámbito de los tratamientos. Ese enfoque basado en el riesgo obliga a realizar revisiones periódicas, inclusive como destaca el Grupo de Trabajo del Artículo 29 mediante auditorias independientes y la implementación de medidas correctoras.
- Geolocalización. Una de las características de los smartphones es el uso de tecnología GPS que permite geolocalizar al usuario. Además de los aspectos que pueden afectar a los desarrolladores de sistemas operativos y APPs que hemos visto anteriormente, existen otros actores que actúan en calidad de responsables de tratamiento en relación con los sistemas de geolocalización en dispositivos móviles. Es por ello que el Grupo de Trabajo del Artículo 29 emitió un Dictamen sobre geolocalización en dispositivos inteligentes, en el que se aborda la problemática de este tipo de tratamientos.
Por un lado, todos los terminales mientras se encuentran encendidos están permanentemente conectados a una estación base o antena del proveedor de telecomunicaciones, por lo que en todo momento puede conocer la ubicación aproximada del abonado.
Por otro lado, todos los dispositivos móviles llevan integrados microprocesadores GPS que sitúan al usuario en un punto geográfico con un margen de error mínimo en lugares abiertos, pero presentan problemas en lugares cerrados, por eso suelen combinar con datos de estación base y red Wifi.
En lo que respecta al punto de acceso Wifi, es similar a la estación base. El dispositivo inteligente se conecta a un punto de acceso Wifi único. Al estar continuamente los puntos Wifi indicando su presencia, independientemente de si en ese momento está siendo utilizado por un dispositivo conectado, son apropiados para geolocalizar al usuario. Las formas en las que se puede obtener información de usuarios a través de puntos de acceso Wifi son desarrolladas en el Dictamen por el Grupo de Trabajo.
Por ello, el Grupo de Trabajo del Artículo 29 advierte de los riesgos para la privacidad de este tipo de tratamientos, puesto que suelen estar permanentemente junto a sus propietarios que, a su vez no suelen compartirlos debido a la gran cantidad de información personal que hay en ellos (correos electrónicos, fotos, redes sociales, mensajería instantánea etc), por lo que los prestadores de servicios e geolocalización pueden llegar a tener gran información sobre sus usuarios, patrones de conducta e incluso datos de categorías especiales: domicilio, empresa, horas que duerme, restaurantes favoritos, patrones de conducta de familiares y amigos, visitas regulares a hospitales o lugares de culto, etc. Incluso aunque las personas permitan el rastreo de sus movimientos, el acceso general e ilimitado a ese gran volumen de datos podría dar lugar a robos en domicilios en horario en el que nunca está el propietario, o a la existencia de finalidades de tratamiento diferentes a las previstas en el momento del inicio del tratamiento de datos.
Francisco González- Calero
Legal & Privacy Advisory Leader – Govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
