APPS, ¿la tuya cumple la LOPD?
El número de APPs publicadas en los dos principales App Stores (Google Play y Apple Store), alcanzó los 2,5 millones en 2014. En esta entrada queremos tratar las cuestiones a tener en cuenta en relación al cumplimiento de la LOPD y las normas de privacidad, si te has decidido a desarrollar oa encargar el desarrollo de una APP a un tercero.
El caso es que la gran mayoría de APPS tratan o de alguna manera acceden a datos personales ya sea aquellas que el usuario facilita durante la instalación o interacción con la APP o aquellos a los que la APP accede como aparte del servicio (agendas, calendarios, etc.); conocer por tanto las normas básicas en materia de cumplimiento de la LOPD resulta esencial si no queremos tener problemas con la temida AEPD.
En este sentido resulta esencial el informe que la Unión Europea, a través del Grupo de Trabajo de Protección de Datos, publicó en 2013, sobre APPS y su impacto en la privacidad de las personas. Este informe, que hay que leer en caso de que desee estar en paz con la privacidad de tus usuarios, trata de múltiples temas que van desde la seguridad hasta cómo garantizar los derechos de los usuarios, pero en este post me centraré pero. en los que considero de mayor importancia: la información a los usuarios y cómo recabar su consentimiento.
¿Cómo y de qué informar a los usuarios? El documento aborda dos niveles de información que considera mínimos para dar cumplimiento a la normativa de protección de datos. Una primera capa de información mínima (debería incluirse en el apartado de MÁS INFORMACIÓN): quién eres, qué tipo de datos recopilaciones, qué haces con los datos, si los libres a terceros y cómo se pueden ejercer los derechos. En una segunda capa de información (si se quiere a través de un enlace en el navegador) se recomienda que se informe de: período de retención, medidas de seguridad, principio de proporcionalidad y transferencia de datos en EEUU. En este caso, la transferencia de datos en EEUU, asegúrate de que tu proveedor está inscrito en el listado de Safe Harbour, a fecha de hoy proveedores como Firebase, no lo están. El deber de informar cuando se recogen datos, es una de las principales obligaciones de la LOPD
¿Como obtengo el consentimiento para tratar los datos? El documento indica que el consentimiento, para que sea válido, debe ser informado (con la información anterior valdría); específico y otorgado libremente. En este sentido debe considerarse lo siguiente: (1) el consentimiento deberá obtenerse siempre antes de la instalación; (2) el consentimiento mediante el uso del botón INSTALA no es suficiente, se precisa dar la opción de CANCELAR la instalación y (3) si se prevén diferentes tipos de tratamientos, se recomienda que se obtengan consentimientos explícitos para cada uno de ellos. Obtener el consentimiento de los usuarios para tratar datos es, salvo excepciones, otra de las reglas de oro de la LOPD. Finalmente en las APPS de comunicación, si se solicita el acceso a la libreta de direcciones del usuario, se le debe dar la opción que elija con qué usuarios quiere comunicarse a través de esta APP y que, por tanto, la misma, no acceda a toda la libreta de direcciones.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!