Nuevas directrices de la AEPD en aplicaciones móviles
La Agencia Española de Protección de Datos (AEPD) publicó el pasado mes de septiembre una nota técnica que incluye directrices sobre el deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles del ámbito educativo y el de la actividad física, bienestar y salud.
A lo largo de este artículo, mostramos cuales son las principales directrices recogidas por la AEPD para todas estas aplicaciones móviles que se podrían ver afectadas.
¿A quiénes van dirigidas?
Estas guías están orientadas a las entidades involucradas en el desarrollo, distribución y explotación de apps para dispositivos móviles, en particular a aquellas que desempeñen el rol de responsables de tratamiento o corresponsable en cada una de sus áreas de competencia, así como otros agentes que intervienen en el ecosistema de apps para dispositivos móviles, como pueden ser, entre otros, desarrolladores de aplicaciones y desarrolladores de librerías.
Objetivo
El objetivo de las directrices es el de ampliar y completar las guías anteriores y se dirige a atender aspectos específicos del entorno de apps para dispositivos móviles en los que se ha detectado que es necesario un especial cuidado.
En este caso, se establecen unas directrices específicas desarrollando determinados aspectos con relación al deber de informar y otras medidas de responsabilidad proactiva.
En este sentido la AEPD se plantea la necesidad de llevar a cabo una labor proactiva
entre los responsables de productos y servicios en los que se traten datos personales. En
especial, se plantea la necesidad de llevar a cabo estudios sobre servicios de la
denominada sociedad conectada, en los que los datos utilizados son especialmente sensibles por el sujeto fuente, ya que se trata de menores en el estudio dirigido a las aplicaciones de uso en entorno de educación obligatoria y, de otra parte, por la naturaleza de los datos ya que en el estudio sobre aplicaciones para la monitorización de la actividad física se trata de datos con un enfoque próximo al de la salud.
Directrices más importantes a tener en cuenta
Una parte de las directrices contempladas en la nota técnica se enmarcan en la obligación de informar que recoge el Reglamento General de Protección de Datos (RGPD).
Entre las directrices más destacadas se recogen aspectos de cumplimiento de especial relevancia, como:
- Necesidad de garantizar un acceso sencillo a la política de privacidad de la aplicación
- Identificar claramente al responsable
- Ofrecer una información clara y consistente tanto en la tienda de aplicaciones como en la propia aplicación
- Ofrecer un lenguaje adecuado a la edad y grado de conocimiento del usuario, entre otras.
Es decir, la información proporcionada a los usuarios sobre el tratamiento de sus datos personales debe cumplir los requisitos establecidos en los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD, en particular con respecto a la información por capas.
La otra sección de directrices que aparecen en la nota técnica, van dirigidas a aquellas situaciones en las que los responsables de tratamiento que encarguen el desarrollo, puesta en producción y/o explotación de aplicaciones a terceras partes con acceso a datos personales. En este caso, la AEPD destaca requisitos como:
- El tratamiento debe estar regulado por un contrato o vínculo legal
- Proporcionar granularidad en la gestión de permisos de acceso a recursos protegidos del sistema de acuerdo con lo establecido en la política de privacidad
- Respetar las preferencias del usuario en cuanto a privacidad
- Evitar la cesión de datos personales hacia destinatarios no especificados o informados en la política de privacidad, entre otras.
Todas estas directrices, siempre van encaminadas a proteger la transparencia en el tratamiento de datos personales, así como la protección de los derechos y libertades de los ciudadanos.
Letslaw
En Letslaw, contamos con un equipo de experto que se encuentra al día de todas las novedades, tanto en materia legislativa con en guías y directrices, emitidas por las autoridades competentes para la protección de datos personales.