Guía de Protección de Datos para desarrolladores de aplicaciones móviles

6554
normativa lopd para apps

Un amigo, programador de aplicaciones móviles y otras cosas con códigos “raros”, me preguntó el otro día sobre cómo cumplir la Ley de Protección de Datos y la política de privacidad en las Apps. Esto me dio la idea de escribir este artículo para poder aclarar un poco este tema a los profesionales que se dedican al desarrollo de aplicaciones móviles y al resto de personas que se preocupan por su privacidad.

¡¿Cuántas aplicaciones móviles se publican en un día?!

El auge y la proliferación de las apps es evidente. A razón de más de 1600 aplicaciones   diarias son colgadas en las distintas tiendas virtuales de los diferentes sistemas operativos móviles (tiendas como Google Play, tienda de Microsoft, etc).

1.600 aplicaciones móviles al día o 48.000 al mes son publicadas en Google Play y Apple Store. Para el año 2020 los ingresos globales del mercado de aplicaciones móviles alcanzarán los 102.000 millones de dólares.


Fuente: silicon.es

Además, estas aplicaciones no sólo se dirigen a los smartphones, sino que  cada vez hay más aplicaciones móviles dirigidas a otros dispositivos como Tablets, smart TV, Google glass, smart watches, equipos instalados en nuestros vehículos y, en un futuro, ¡hasta en la nevera o en la ducha!

El éxito de estas aplicaciones se debe principalmente a que están al alcance de casi todos los bolsillos ya que gran parte de ellas son gratuitas, o casi gratuitas, aunque pagamos “padeciendo” su publicidad, y a que están al alcance de todo tipo de personas de prácticamente todas las edades y niveles culturales.

¿Cómo deben cumplir los desarrolladores de aplicaciones la LOPD?

La instalación de aplicaciones en nuestros dispositivos móviles puede recoger gran cantidad de datos de carácter personal. Por este motivo, las autoridades europeas de Protección de Datos ratificaron el primer informe que aclara el marco jurídico aplicable al uso de Apps para dispositivos inteligentes, concluyendo que resulta plenamente aplicable la normativa sobre Protección de Datos a los desarrolladores de aplicaciones móviles.

Los desarrolladores de aplicaciones móviles deben cumplir la legislación de Protección de Datos principalmente en los siguientes aspectos:

  1. Estipular los aspectos esenciales para la protección de la privacidad, tales como el consentimiento informado y previo del usuario.
  2. Incluir el principio de acotación del propósito para la que se recoge la información.
  3. Obligación de informar correctamente a los usuarios finales sobre sus derechos o sobre los plazos de conservación de datos.

Al usuario que descarga una aplicación debe dársele la opción de poder cancelar esa instalación y debe saber a qué información va a acceder el desarrollador con anterioridad a la descarga. Las finalidades del tratamiento de esos datos tienen que estar bien explicadas y deben ser fácilmente entendibles para un usuario no experto, descartándose los cambios inesperados en las condiciones del servicio. El responsable del tratamiento de los datos debe advertir sobre: quién es, qué datos va a reunir, para qué usos o finalidades, si esa información va a ser cedida a terceros y la forma que tiene el usuario para revocar su consentimiento y ejercitar sus derechos ARCO.

Clases de Aplicaciones móviles

Según los medios externos a los que entran:

  • Apps “online”: Serían aquellas apps que acceden a recursos online o a distancia, entre ellas están las apps de noticias, mapas, consultas bancarias y especializadas, juegos y redes sociales, foros, apuestas, aviso de radares, ubicación geográfica, etc.
  • Apps “offline”: Serían aquellas apps que no necesitan recursos online ni a distancia, como por ejemplo determinados juegos que no acceden a redes de datos, ciertas aplicaciones de información, algunas herramientas ofimáticas, etc.

Según los medios internos a los que acceden:

  • Apps “invasivas”: Serían aquellas que acceden a la agenda del dispositivo, al número de identificación del terminal, a su localización geográfica, a las fotos acumuladas, o exhiben publicidad, o falsifican el perfil del usuario en una red social determinada, o incluso las que exigen que el usuario se registre suministrando sus datos personales.
  • Apps “no invasivas”: aquellas apps que no entran en ningún recurso interno o confidencial del dispositivo, ni exigen ningún dato personal del usuario.

La gran mayoría de App’s son online e invasivas.

Consejos sobre Protección de Datos para empresas con una App

Los programadores de Apps o las empresas con una aplicación móvil deben:

  • Ser conscientes y cumplir con las obligaciones que tienen como responsables cuando tratan datos de los usuarios;
  • Ser conscientes y cumplir las obligaciones que tienen como responsables del tratamiento cuando pactan con encargados del tratamiento y cuando encomiendan la recogida y tratamiento de datos de carácter personal a desarrolladores, programadores o a proveedores de servicios en la nube;
  • Solicitar consentimiento con carácter previo a que la app comience a recoger o almacenar información en el dispositivo. Consentimiento debe ser libre, concreto e informado;
  • Pedir consentimiento específico para cada uno de los datos personales a los que la app va a acceder, sobre todo para la localización, contactos, identidad del sujeto y del teléfono, datos biométricos, tarjeta de crédito y datos de pago, teléfonos y SMS, historial de navegación, correo electrónico y redes sociales;
  • Tener claro que el consentimiento no legitima un excesivo y desmesurado tratamiento de los datos.
  • Permitir de una forma inteligible y bien definida la finalidad para la que serán utilizados los datos con carácter previo a la instalación de la app, y no modificar dichas finalidades sin que sea necesario prestar de nuevo el consentimiento; proporcionar información clara sobre si los datos serán utilizados por terceros (publicidad o analytics).
  • Permitir a los usuarios rescindir su consentimiento y desinstalar la app, así como la supresión de los datos.
  • Adoptar las medidas organizativas y técnicas precisas para asegurar la protección de los datos de carácter personal objeto de tratamiento, en todas y cada una de las etapas del diseño y la implementación de la app (privacy by design).
  • Favorecer un único punto de contacto para todos los usuarios de la app.
  • Facilitar una inteligible y fácilmente accesible política de privacidad, que advierta a los clientes al menos sobre: quiénes son, qué categorías de datos de carácter personal recogen y procesan, por qué deben realizar el procesamiento de datos y para qué se van a utilizar, en caso de que sean cedidos a terceros, una específica descripción acerca de a quién van a ser cedidos y los derechos de los usuarios, en lo referido a la revocación del consentimiento y la supresión de datos.
  • Facilitar a los usuarios el ejercicio de sus derechos de acceso, rectificación, oposición y cancelación del tratamiento de datos y avisarles sobre de la existencia de estos mecanismos.
  • Establecer un razonable periodo de conservación de los datos y determinar un plazo de inactividad tras el cual la cuenta será considerada como expirada.
  • En relación a las apps dirigidas a los niños: atender a los límites de minoría de edad fijados por las leyes nacionales, elegir el método más restrictivo para el procesamiento de datos, con total respeto a los principios de minimización de datos y restricción de la finalidad, no usar la información con fines comerciales y abstenerse de conseguir información a través de los niños sobre sus familiares y/o amigos.

¿Las aplicaciones móviles cumplen la LOPD?

Un grupo formado por más de 40 Agencias de Protección de Datos ha realizado un análisis sobre la privacidad de las aplicaciones móviles y el resultado es preocupante. El objetivo era saber qué tipo de datos solicitan los titulares de estas apps, qué información sobre la recogida de datos facilitan a sus usuarios y cómo se utilizan estos datos.

75% de las apps solicitan uno o más permisos al usuario. 39% acceso a datos que se consideran excesivos.

Un 75% de las aplicaciones analizadas solicitan uno o más permisos al usuario. Entre los permisos más requeridos se encuentran la localización, la identificación del teléfono, el acceso a sus contactos, fotos…Un 39% pedían permisos que se consideran excesivos.

Muy pocas de estas apps informan claramente sobre el uso que hacen de esta información, la mayoría remiten a otras páginas web que tienen políticas de protección de datos que no se ajustan a la aplicación concreta o conducen a páginas en las que se pide que el usuario inicie una sesión. Esto daría lugar a importantes sanciones por parte de la AEPD.

Además, muchas apps no tienen un mensaje compatible con los dispositivos móviles. Estas páginas imponen la necesidad de mover el texto en la pantalla o hacer clic en varios enlaces.

La AEPD señala que las App’s más populares y con mayores descargas son las que mejor cumplen la normativa de Protección de Datos por lo que es evidente que ofrecer una información adecuada, empleando un lenguaje claro y conciso, no sólo favorece el número de descargas sino que ayuda a aumentar la confianza de los consumidores.

¿Qué datos nos pueden pedir las Apps?

Las aplicaciones móviles consiguen acceder en tan solo un clic a todos nuestros datos, en la mayoría de los casos, sin preguntarnos y sin informarnos sobre la finalidad de ese acceso.

Los datos a los que tienen acceso la mayoría de las aplicaciones móviles son nuestros contactos de la agenda, fotos y datos de localización. Datos muy personales con los que pueden localizarnos al momento, saber lo que hacemos y ver quienes son nuestros amigos.

ejemplos proteccion de datos

Hace cuatro días me descargué una aplicación del gimnasio al que me he apuntado, ya sé que empiezo tarde la operación bikini, y me he quedado sorprendida de la cantidad de datos que me pedían, ¡¡hasta el día que hice la comunión!!. Quiero recordar con esto que la LOPD solo permite obtener aquellos datos necesarios e imprescindibles para el servicio contratado.

Solo un 60% de las aplicaciones actuales disponen de política de privacidad e informan adecuadamente a los usuarios sobre los datos a los que tienen acceso y cuál va a ser su utilidad.

En el caso de los menores, los desarrolladores de aplicaciones deben saber cuál es la edad legal para recoger datos de menores en cada país. En España esta edad se sitúa en los 14 años, a partir de esa edad se pueden recoger datos con consentimiento de los padres.

Aplicaciones de geolocalización

Existen Aplicaciones móviles que permiten obtener información sobre la localización de los usuarios, estos datos se consideran datos de carácter personal y sometidos, por tanto, a la LOPD.

Para que el tratamiento de estos datos por los proveedores de servicios y aplicaciones sea lícito, habrá que reunir una serie de requisitos:
– Conseguir el consentimiento previo, específico e informado del usuario.
– Advertir de los fines para los cuales los datos de localización geográfica van a ser tratados.
– Los servicios de geolocalización deberían estar desactivados por defecto.
– Facultad de revocar el consentimiento del usuario en cualquier momento.
– Restringir el periodo de validez del consentimiento e indicárselo a los usuarios
– Respetar y satisfacer el ejercicio de los derechos ARCO sobre los datos tratados.

Los proveedores de servicios y aplicaciones de geolocalización deben imponer políticas de mantenimiento de los datos, debiendo suprimirlos tras un periodo de tiempo justificado.

Podemos concluir indicando que los desarrolladores de aplicaciones móviles están obligados, en cuanto que recogen y tratan datos de carácter personal, al cumplimiento de la LOPD exigiéndoseles una correcta información al usuario, la obtención del consentimiento del mismo, informar sobre derechos ARCO, tener la adecuadas medidas de seguridad y definir el periodo de conservación de los datos.

Política de Privacidad para aplicaciones móviles

La información que tienen la obligación de incluir las apps en su política de privacidad debe ser lo más clara y completa posible. Un ejemplo de política de privacidad utilizada en aplicaciones debería incluir los siguientes apartados:

Recogida y tratamiento de datos de carácter personal

Los datos de carácter personal son los que pueden ser utilizados para identificar a una persona o ponerse en contacto con ella.

Aquí se indica la posibilidad de que soliciten nuestros datos personales al acceder a aplicaciones de la empresa o de otras empresas afiliadas así como la posibilidad de que entre estas empresas puedan compartir esos datos para mejorar los productos y servicios ofrecidos. Se especifica que si no se facilitan esos datos personales, en muchos casos no nos podrán ofrecer los productos o servicios.

Estos son algunos ejemplos de las categorías de datos de carácter personal que pueden recogerse y la finalidad para los que puede llevar a cabo el tratamiento de estos datos.

¿Qué datos de carácter personal se pueden recopilar?

  • Al crear un ID, solicitar un crédito comercial, comprar un producto, descargar una actualización de software, se recopilan diferentes datos, como nombre, dirección postal, número de teléfono, dirección de correo electrónico o los datos de la tarjeta de crédito.
  • Cuando se comparten contenidos con familiares y amigos o se invita a otras personas a participar en los servicios o foros, pueden recogerse los datos que facilitamos sobre esas personas, como su nombre, domicilio, correo electrónico y número de teléfono. Se utilizarán dichos datos para completar sus pedidos, mostrarle el producto o servicio correspondiente o para combatir el fraude.

Propósito del tratamiento de datos de carácter personal

  • Los datos de carácter personal recopilados permiten mantenerle informado acerca de los últimos productos, las actualizaciones de software disponibles y los próximos eventos.
  • También se utilizan los datos de carácter personal como ayuda para elaborar, perfeccionar, gestionar, proporcionar y mejorar los productos, servicios, contenidos y publicidad, y con el propósito de evitar pérdidas y fraudes.
  • Pueden utilizarse los datos de carácter personal para comprobar la identidad, colaborar en la identificación de usuarios y decidir los servicios apropiados.
  • También se utilizan esos datos de carácter personal con propósitos internos, incluyendo auditorías, análisis de datos y sondeos, para mejorar los productos, servicios y comunicaciones a clientes.
  • Si participa en un sorteo, un concurso o una promoción, pueden usarse los datos proporcionados para administrar estos programas.

Recopilación y tratamiento de datos de carácter no personal

También se recopilarán datos de un modo que, por sí mismos, no pueden ser asociados directamente a una persona determinada. Se pueden recopilar, tratar, transferir y publicar datos de carácter no personal con cualquier intención. Estos son algunos ejemplos de las clases de datos de carácter no personal que se pueden recopilar  y los fines para los que se realiza su tratamiento:

  • Datos tales como profesión, idioma, código postal, identificador único de dispositivo, etc. para comprender mejor la conducta de nuestros clientes y mejorar nuestros productos, servicios y anuncios publicitarios.
  • Datos sobre cómo se usan determinados servicios, incluidas las consultas de búsqueda. Esta información se puede utilizar para incrementar la importancia de los resultados que aportan los servicios ofrecidos.
  • Datos sobre cómo usa su dispositivo y las aplicaciones para facilitar a los desarrolladores la mejora de esas aplicaciones.

Si juntamos datos de carácter no personal con datos personales, los datos mezclados serán tratados como datos personales mientras sigan estando combinados.

Divulgación a terceros

Ocasionalmente se facilitarán determinados datos de carácter personal a socios estratégicos que trabajen con nosotros para proveer productos y servicios o nos ayudan en nuestras actividades de marketing. No se compartirán los datos con ningún tercero para sus propios fines de marketing.

Proveedores de servicios

Se compartirán datos de carácter personal con empresas que se ocupan, entre otras actividades, de prestar servicios de tratamiento de datos, conceder créditos, tramitar pedidos de clientes, presentar sus productos, mejorar datos de clientes, suministrar servicios de atención al cliente, evaluar su interés en productos y servicios y realizar investigaciones sobre clientes o su grado de satisfacción.

Otros terceros

Es posible que se divulguen datos de carácter personal por mandato legal, en el marco de un proceso judicial o por petición de una autoridad pública, tanto dentro como fuera de su país de residencia. Igualmente se puede publicar información personal si es necesaria o conveniente por motivos de seguridad nacional, para acatar la legislación vigente o por otras razones relevantes de orden público.

Protección de datos de carácter personal

Debe garantizarse la protección de los datos personales mediante cifrado durante el tránsito y, los alojados en instalaciones, con medidas de seguridad físicas.

Al usar ciertos productos, servicios o aplicaciones o al publicar opiniones en foros, salas de chat o redes sociales, el contenido y los datos de carácter personal que se comparta serán visible para otros usuarios, que tendrán la posibilidad de leerlos, compilarlos o usarlos. Usted será responsable de los datos de carácter personal que distribuya o proporcione en estos casos.

Integridad y conservación de datos de carácter personal

Se garantizará la exactitud y la calidad de los datos personales, se conservarán durante el tiempo necesario para cumplir los fines para los que fueron recabados, salvo que la ley exija conservarlos durante más tiempo.

Acceso a los datos de carácter personal

Indicar la forma que los usuarios tienen para acceder a sus datos, rectificarlos en caso de que sean incorrectos o solicitar su eliminación en los casos en los que no exista obligación de conservarlos. Se incluye la dirección donde pueden dirigirse esas solicitudes.

Niños y educación

Es necesario establecer precauciones adicionales para preservar la privacidad y la seguridad de los menores que utilizan esas aplicaciones y exigir consentimiento de sus progenitores en caso de que no tengan la edad mínima exigida por la legislación (en España, 14 años).

Si se han recopilado datos personales de un menor de 14 años, sin el consentimiento necesario, se debe eliminar esa información lo antes posible.

Servicios de localización

Para prestar servicios de localización se podrán reunir, utilizar y compartir datos exactos sobre ubicaciones, incluyendo la situación geográfica en tiempo real de su ordenador o de su dispositivo. Salvo que demos nuestro consentimiento, estos datos de localización se recogen de manera anónima de forma que no pueden utilizarse para identificarlo personalmente, y son usados para suministrar y mejorar sus productos y servicios de localización.

Páginas web y servicios de terceros

Las aplicaciones pueden contener enlaces a páginas web, productos y servicios de terceros. También pueden utilizar u ofrecer productos o servicios de terceros. La recogida de datos por parte de terceros, introduciendo de datos sobre ubicaciones geográficas o datos de contacto, se guiará por sus respectivas políticas de privacidad. Le recomendamos consultar las políticas de privacidad de esos terceros.

Modelo de política de privacidad para aplicaciones móviles en PDF

Si eres un desarrollador de Apps seguro que te vendrá muy bien el modelo de política de privacidad que hemos preparado para descargar en PDF.

Otros aspectos legales para cumplir la Ley de Protección de Datos en aplicaciones móviles

A continuación explicamos otros trámites o pasos a seguir para que tu empresa cumpla la normativa LOPD no sólo en la aplicación móvil desarrollada, sino también en la gestión del personal, sistemas de videovigilancia…

Alta en la Agencia Española de Protección de Datos

A parte de los textos legales, es imprescindible tramitar la inscripción de los ficheros en la AEPD. Aquí te explicamos como darse de alta en la Agencia de Protección de Datos.

Elaborar un Documento de Seguridad

Debemos tener en nuestra empresa un Documento de Seguridad en el que incluimos todas las medidas técnicas y organizativas para proteger los datos de carácter personal que manejamos. Os indicamos más sobre este Documento de Seguridad.

Contratos con terceros

Siempre que una figura externa (ya sea un asesor o gestoría, una empresa de telemarketing o de email marketing, un hosting, etc…) trata datos personales por encargo nuestro deberemos tener un contrato de tratamiento de datos en el que se especifiquen con claridad las instrucciones del responsable del fichero, de acuerdo con lo establecido en el artículo 12 de la LOPD.

Política de privacidad para empleados

Los conflictos con empleados son una de las vías de reclamación mas habituales ante la Agencia Española de Protección de Datos (AEPD), por lo que resulta de gran importancia tener bien marcadas las guías de actuación de los mismos respecto a sus propios datos y los de la empresa que vayan a manejar, aquí más información sobre el tratamiento de datos personales de los trabajadores.

Videovigilancia

El tema de la videovigilancia es uno de los que más sanciones de la AEPD ha generado. Aquí os contamos los requisitos a cumplir en caso de que tengas cámaras de videovigilancia.

La voz de los expertos en aplicaciones móviles: Cuatroochenta

Por último, qué mejor que acudir a profesionales en el desarrollo de apps para que nos cuenten su visión y la de sus clientes sobre la importancia de mantener la privacidad de los datos recogidos a través de las aplicaciones móviles que desarrollan.

Tras una breve pero interesante conversación con Cuatroochenta, también quiero decir que majísimos, su CEO, Alfredo R. Cebrián, nos comenta que en la mayoría de proyectos de desarrollo de apps ad hoc se tratan temas de privacidad, protección de datos y seguridad.

Nos encargamos de tratar con rigor  la Ley de Protección de Datos en las aplicaciones móviles que desarrollamos.

Continua comentándome que la LOPD sí que les preocupa tanto a su empresa como a los clientes que les encargan el desarrollo de una app. “Normalmente las empresas para las que trabajamos, por su dimensión, cuentan con un departamento legal o especializada en estos temas que nos facilita la política de privacidad. Nuestro papel, básicamente, es asesorar en las dudas que puede presentar el cliente y en recordarle que es necesario e importante aplicar bien las diferentes normativas de LOPD, LSSI, etc.”

Finalmente, Alfredo nos recuerda otras normativas que también afectan a los encargos que les realizan como la Ley de Propiedad Intelectual.

Yeeply también opina

Por otro lado, Alejandro Guadalajara, el responsable legal de Yeeply, plataforma de desarrollo de apps nos cuenta que en la práctica “debemos tener en cuenta que cualquier tipo de obtención de datos debe ir precedida de un aviso legal que permita a los usuarios conocer la existencia de un fichero”. En él tendremos que indicarle al usuario de la aplicación móvil toda la información legalmente necesaria, “desde la finalidad de los datos, los destinatarios de los mismos, la identidad y dirección del responsables del tratamiento, las obligaciones o no de facilitar los datos, hasta la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición”.

Aunque muchos usuarios no leen esta información, esto no es excusa para no incluirla en nuestra app. Guadalajara también nos comenta que tras la reforma del código penal en el año 2010 y la introducción del (Artículo 31 bis) que establece la posibilidad de que las compañías puedan ser responsables de los delitos cometidos por su organización. Por eso las empresas de desarrollo han empezado a incluir planes de prevención para evitar estos problemas. “Las empresas y los desarrolladores deben anticiparse para evitar ser multados con unas sanciones que pueden llegar incluso a los 600.000 euros”, añade.

No dudes en comentarme las dudas que tengas para cumplir la Ley de Protección de Datos en tu aplicación móvil.

Guía de Protección de Datos para desarrolladores de aplicaciones móviles
4.6 (91.11%) 9 votos

5 Comentarios

  1. Hola,

    me parece muy interesante esta información sobre el tratamiento de datos en las apps, cada vez más aplicaciones solicitan acceso a recursos que no tienen nada que ver con su finalidad, por ejemplo hace unos días una app de una pulsera de actividad, en una actualización, empezó a solicitar acceso a contactos y fotos almacenadas. La mayoría de los usuarios aceptan los permisos sin detenerse en revisar los permisos, las ganas de tener la aplicación está por encima de esto para muchos.

    Por otro lado, he intentando ver el modelo de política de privacidad en PDF que indican en el texto, pero me devuelve un error de fichero no encontrado, si pudieran revisar el enlace, me encantaría poder darle un vistazo.

    Un saludo y muchas gracias

  2. Hola,
    Quería consultarte un caso que me ha pasado… Dejé mi móvil en una tienda vodafone para que lo repararan y me dejaron uno de sustitución. Al devolver el de sustitución me comentaron que borrarían toda la info que hubiera (mea culpa por no hacerlo yo si).Cual es mi sorpresa que ayer me llama una señora diciéndome que le han dejado un móvil en vodafone y se ha encontrado con fotos, wasaps, etc míos.

    Están obligados por ley a resetear los móviles? Puedo hacer algún tipo de reclamación?

    • Buenos días juanma,

      Por supuesto la tienda debe eliminar toda la información personal de esos móviles. Esto sería denunciable ante la AEPD. Gracias por leer el blog y por tu consulta

  3. Excelente guía, muy completa. Me ha ayudado un sin fin para la aplicacion que estoy creando, mil gracias por compartir tanto conocimiento, 🙂

Dejar respuesta