La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica que incluye directrices sobre el deber de informar y otras medidas de responsabilidad proactiva en aplicaciones móviles del ámbito educativo y el de la actividad física, bienestar y salud.
El documento, dirigidotanto a organizaciones responsables del tratamiento de datos de aplicaciones móviles como a los desarrolladores de las mismas y de librerías, tiene como objetivo detectar prácticas que puedan resultar lesivas para la privacidad de los usuarios,aportando soluciones o alternativas a los agentes implicados que fomenten el principio de responsabilidad proactiva.
La nota técnica ha sido desarrollada en el marco de una serie de trabajos realizados de forma conjunta con la Universidad Politécnica de Madrid bajo la dirección de la AEPD. El primero de ellos aborda los tratamientos de datos que efectúan las aplicaciones móviles que se usan en el entorno de la educación obligatoria, y el segundo se centra en apps que monitorizan la actividad física, el bienestar y la salud. En ellos se han analizado las diez apps más descargadas en el principal mercado de aplicaciones de cada uno de los ámbitos objeto de estudio, incluyendo apps tanto de pago como gratuitas.
Una parte de las directrices contempladas en la nota técnica se enmarcan en la obligación de informar que recoge el Reglamento General de Protección de Datos (RGPD). Dentro de este apartado se recogen aspectos de cumplimiento de especial relevancia, como la necesidad de garantizar un acceso sencillo a la política de privacidad de la aplicación; identificar claramente al responsable; ofrecer una información clara y consistente tanto en la tienda de aplicaciones como en la propia aplicación, o de ofrecer un lenguaje adecuado a la edad y grado de conocimiento del usuario, entre otras.
El resto de indicaciones están enfocadas al supuesto en que los responsables encarguen el desarrollo, puesta en producción, y/o explotación de aplicaciones a terceras partes que tengan acceso a datos personales, recordando los requisitos normativos que deben cumplirse en cada uno de los casos, entre los que se incluye la necesidad de regular el tratamiento de datos por contrato o vínculo legal, así como de adoptar buenas prácticas y tener en cuenta la privacidad desde el diseño y por defecto desde el momento en que se concibe la app.
Entre las conclusiones de la nota técnica, la AEPD recuerda que cuando una aplicación solicite al usuario permiso para acceder a datos obtenidos a partir de sensores y almacenes de datos del móvil, esta información debe quedar reflejada de forma apropiada en la política de privacidad, explicando con qué fin se van a tratar esos datos para que el usuario pueda decidir en consecuencia. En relación con los responsables que contraten a terceras partes para desarrollar, poner en producción o explotar aplicaciones, y tengan acceso a datos personales, la Agencia subraya que deben asegurarse de cumplir con los requisitos establecidos en el RGPD para cada una de las partes.
Estas directrices constituyen un nuevo recurso para responsables del tratamiento de datos que viene a complementar al catálogo de la AEPD para facilitar el cumplimiento de sus obligaciones en materia de protección de datos, entre los que se encuentra:
- ‘Guía para el cumplimiento del deber de informar’,
- ‘Decálogo para la adaptación al RGPD de las políticas de privacidad en internet’,
- ‘Guía del RGPD para responsables de tratamiento’
- ‘Directrices para elaborar contratos entre responsables y encargados de tratamiento’.