LAS APPS SEGÚN RGPD…qué tenemos descargados en nuestros móviles? Quién nos controla?

 Quién nos controla?El RGPD tiene como objetivo aumentar el control de las empresas sobre los datos de sus clientes y dotar a los usuarios de mayor control sobre sus datos personales

Desde ahora los derechos de los ciudadanos están protegidos siempre que la empresa preste servicios u ofrezca bienes en el UE, independientemente de dónde esté su sede principal.

Por tanto, las empresas debían adaptarse al RGPD antes del 25 de mayo, qué pasará ahora que ya se cumplió la fecha. Infringirlo puede acarrear multas de hasta el 4 % de la facturación anual con un límite de 20 millones de euros. Esto aplica tanto a las empresas como a los autónomos que manejen datos personales de sus clientes, así como a las empresas públicas y asociaciones.

Entonces, ¿qué pasa con las apps? Las aplicaciones móviles han requerido de nuestros datos siempre. Pero ahora los usuarios van a demandar mayor control y transparencia. Seguirá habiendo recogida de datos en la app, pero estos tienen que tener un propósito claro, ser adecuados y tener el consentimiento del usuario.

Estos cambios afectarán al desarrollo y diseños de los productos en las nuevas apps, que se hará teniendo en mente el RGPD  y necesariamente demandarán cambios en las aplicaciones móviles ya existentes.

Pensemos en lo que más afecta según el RGPD a algunas apps conocidas en geolocalización o mensajería instantánea:

DEL DERECHO AL OLVIDO, Las apps deben incluir en su política de privacidad el derecho del usuario a solicitar el acceso, rectificación, supresión o limitación en el tratamiento de sus datos en tu política de privacidad. Debe quedar clara la dirección electrónica en la que se pueden interponer estos derechos, ya que se recogieron por vía telemática y el usuario tiene derecho a solicitar la cancelación por el mismo medio.

Qué pasa para algunas de las apps consultadas como sea Safe24 o Wastapp… pues que no se cumple a raja tabla, ya que para el buen funcionamiento del sistema debe aceptarse tal cual la app, por ejemplo recoge “Solicitamos y recopilamos la siguiente información personal sobre usted cuando utiliza la aplicación. Esta información es necesaria para el cumplimiento adecuado del contrato entre usted y nosotros. Sin dicha información es imposible proporcionar una funcionalidad completa de la aplicación, todos realizan los servicios solicitados”

CONSENTIMIENTO EXPRESO, Las apps deben requerir el consentimiento explícito de los usuarios para recoger, usar y ceder sus datos. El consentimiento debe ser: LIBRE , ESPECIFICO, INFORMADO, INEQUIVOCO.

Libre: debe prestarse en un marco de absoluta libertad, no puede estar condicionado a la obtención de una oferta por ejemplo, o que sino no podrá disfrutarse de todas las ventajas de la app.

Especifico: se debe recabar el consentimiento para cada una de las finalidades para las que se solicita. Si requerimos los datos para la prestación de un servicio en la app pero a la vez los vamos a utilizar para crear campañas de marketing, debemos especificarlo y recibir autorización del usuario para cada uno de los usos. En el caso concreto por ej de Safe, nos determina que se podrán ceder datos a estos efectos, y que podrán utilizarla en campañas incluso de Facebook. Bien empezamos.

Informado: hay que comunicar al usuario sobre el responsable del tratamiento, la finalidad para la que se recogen los datos, cómo se tratarán esos datos y los derechos que sobre los mismos tiene el usuario de la app. Como ya hemos advertido llega a decir que sí cederá datos a terceros “Nuestra aplicación puede contener enlaces a sitios web / servicios de terceros o puede acceder a la aplicación desde un sitio de terceros” y a pesar de que sí informa de que se cederán, la cuestión es que no puede hacerlos, porque en este punto el que descarga la app gratuita en España, tiene el contenido en inglés, dos nadie lo lee, y no han preguntado previamente si aceptan dichos términos.

Inequívoco: al usuario de la app no le debe quedar duda de que está prestando los datos para la finalidad requerida. En el caso analizado sí sucede en la primera lectura rápida del mismo, ojo que nos espían, podríamos pensar sin más.

LA EDAD EN EL MERCADO ELECTRÓNICO. La agencia y el RGPD dejan clara la postura, las comprobaciones serán otra cosa, edad mínima de contratos en España es de 18, con 16 pueden existir emancipados, pero suele estar entorno a los 12 para las ratificaciones de padres según nuestro Código Civil, art.1263.1ºCC.

Pero qué app verifica la edad? Hasta ahora lo hacía Facebook, pero hasta ahora que sepamos no es muy cómplice de cumplir el RGPD, y si validamos apps a través de la 1, la misma podrá estar incumpliendo por verificar la edad de un menor, otros puntos de la propia legislación.

BRECHAS DE SEGURIDAD. HACKEOS, deben implementar las medidas de seguridad adecuadas y determinadas para que esto no ocurra. Si finalmente debes notificar a la autoridad Agencia Española de Protección de Datos, la brecha de seguridad, debes redactar un documento que contenga el número de interesados afectados, los tipos de datos, el contacto del delegado de protección de datos en el caso de que este puesto sea obligatorio en tu compañía, las consecuencias de la filtración y las medidas adoptadas o propuestas para atenuar sus efectos.

Algunas apps nos llegan a señalas: “Podemos divulgar su información personal si fuera necesario por razones objetivas, debido al interés público o en otras circunstancias imprevistas” es decir, están diciendo que si tienen un hackeo les autorizas al filtrado de información. Pero esto contraviene el sentido de la ley.

TRANSFERENCIAS INTERNACIONALES DE DATOS, nos dice la Ley que debeos adaptarnos para que se cumplan algunos extremos importantes tales como estas:

Transferencias basadas en una decisión de adecuación (art. 45 RGPD): con países que la Comisión considera que tienen un nivel de protección adecuado. En el caso de Estados Unidos, sólo las empresas adheridas al Privacy Shield.

Transferencias mediantes garantías adecuadas (art. 46 RGPD): se establecen unas determinadas garantías tasadas reglamentariamente que los países terceros deberán cumplir con el fin de prescindir de autorización administrativa.

Transferencias basadas en normas corporativas vinculantes (art. 47 RGPD): se trata de normas para garantizar el tratamiento de datos entre empresas del mismo grupo localizadas en distintos países.

Con tal intento de cumplir se lanzó Wastapp business, pero seguimos con iguales términos porque los datos siguen viajando al extranjero, como sucede también con el caso de las geolocalizadas que se circunscriben a países externos de la UE. Por ejemplo se llega a expresar en Safe24: “Los residentes del Estado de California (EE. UU.) Tienen derecho a solicitar una lista de todos los terceros a los que nuestra Aplicación divulgó cierta información personal (de acuerdo con las leyes del Estado de California)” El resto de usuarios de la app se entienden no tienen derecho alguno, por lo que incumplirían de entero la RGPD. Y esto para una app descargable en España, y hablo de una, pero cuantas apps son descargadas en España al día, pues para datos del 2016, mercado menos maduro en el tiempo se descargaron 13 mil millones de descargas, y no creo que todas tuvieran la determinación de cuáles eran las fronteras más allá de la Unión.

Terminando sobre el tema, me gustaría señalar la importancia de que los usuarios lean los términos de las apps, y la desactivación de las mismas cuando no usamos la app en los últimos días, semanas o meses, en función de la importancia de la misma para evitar estar expuestos, pero teniendo en cuenta que el mercado que más apps aflora no está controlado por esta norma RGPD, por lo que luego no nos podremos quejar de los ramsonware.

Macarena Perona

Fuentes:

AURORALABS Sevilla

Alberto Quero Guardia, Revista digital, sobre estadísticas

Ático 34 Madrid

Código Civil