Blog

Extraer valor de los datos obtenidos vía app respetando la privacidad

La Unidad de Evaluación y Estudios Tecnológicos de la Agencia Española de Protección de Datos (AEPD) ha publicado en fecha reciente una nota técnica titulada “El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles”.

En ella, la citada organización enumera varias recomendaciones dirigidas a entidades dedicadas al desarrollo de apps, así como al tratamiento y explotación de los datos recabados gracias a su uso. La finalidad del documento es ayudarles a cumplir con el del Reglamento General de Protección de Datos (RGPD).

Como expertos en ciberseguridad, en Factum somos conscientes de lo importante que es para las organizaciones implementar medidas que les conduzcan a cumplir con la normativa vigente que vela por el derecho a la privacidad de los clientes, sin que por ello vean comprometida la efectividad de las estrategias de negocio asociadas a la gestión y análisis de los datos que faciliten. Por esa razón hemos decidido acercaros algunas de las recomendaciones más importantes señaladas por la AEPD en su nota técnica, que por su puesto tendremos en cuenta al trabajar en los proyectos de nuestros clientes.

Sobre el tratamiento de los datos, transparencia

La nota comienza por advertir a las entidades dedicadas a diseñar y comercializar apps que los usuarios deben conocer con claridad cómo se van a tratar sus datos, para lo que es imprescindible facilitarles información sobre ello siguiendo los criterios establecidos por la “Guía para el cumplimiento del deber de informar” y el “Decálogo para la adaptación al RGPD de las políticas de privacidad en Internet”, documentos editados por la propia Unidad de Evaluación de Estudios Tecnológicos que pueden consultarse en la Red.

A continuación, la nota recomienda que la política de privacidad esté disponible tanto en la propia aplicación como en la tienda donde ésta se adquiere, con el fin de hacer su consulta más fácil para el usuario, tanto en el momento en que instala la app como durante su uso.

El documento especifica también que dicha información debe ser consistente y no contradecirse en ningún punto, criterios que también han de cumplir las apps instaladas por defecto en cualquier dispositivo móvil. A estas recomendaciones añade la de hacer sencillo para el usuario acceder a dicha política de privacidad, lo que implica lograr que nunca le requiera más de dos clicks.

Privacidad garantizada sin trampa ni cartón

En lo que se refiere a cómo la política de privacidad ha de presentar la información, la nota de la AEPD hace hincapié en la importancia de que esté en el idioma del usuario, sobre todo si es menor de edad, y tenga en cuenta su nivel de conocimientos técnicos. A esto suma que habrá de exponer al usuario con claridad qué datos ha de facilitar obligatoriamente para que la app funcione y cuáles son opcionales, así como incluir información sobre cómo se van a tratar dichos datos y con qué finalidad. En relación a este punto, la AEPD señala que la instalación de una app nunca debe exigir la obtención de un permiso para tratar datos que exceda el necesario para ofrecer sus servicios.

Además, en el texto se insta a que la política de privacidad se formule con claridad, concreción y precisión, evitando generalidades que entorpezcan la comprensión de lo que se transmite. De hecho, la AEPD hace referencia explícita a que no se han de utilizar cláusulas ambiguas o vagas, del estilo “cualquier dato puede ser recolectado, difundido o retenido indefinidamente”. Bien al contrario, se deberá incluir información concreta sobre los periodos de retención de los datos, su destino final y también relativa a la lógica que se aplicará sobre ellos para elaborar perfiles, ya se elaboren para facilitar la toma de decisiones automatizadas o para enviar publicidad personalizada.

La AEPD también recuerda que la entidad responsable del tratamiento de los datos tiene que identificarse con claridad y, en caso de no proceder de Europa, asignar un representante europeo habilitado legalmente para hacerlo. Finalmente, el texto incluye un apartado en el que se menciona la obligación de proporcionar a los usuarios información sobre sus derechos en materia de protección de datos, así como sobre los mecanismos y procedimientos que tienen a su alcance para ejercerlos de forma efectiva.