Recomendaciones sobre protección de datos personales en Apps para dispositivos móviles

En el post de hoy vamos a hablar sobre la protección de datos personales en Apps para dispositivos móviles. El pasado 17 de septiembre, la Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica que incluye directrices sobre el deber de informar y otras medidas de responsabilidad proactiva en aplicaciones móviles, entre las que señalan:

Directrices para la Protección de datos personales en Apps

1. La información proporcionada a los usuarios sobre el tratamiento de sus datos personales debe cumplir los requisitos establecidos en los art 13 y 14 del RGPD y el artículo 11 de la LOPDGDD, con respecto a la información por capas.
2. La información, (Política de Privacidad), debe estar disponible tanto en la  APP como en la tienda de aplicaciones. No puede haber discrepancias entr.e ambas
3. El acceso a la Política de Privacidad debe poder hacerse de forma sencilla desde la aplicación, y requerir del usuario un número de interacciones reducido, (máximo dos clics como recomienda el GT29).
4. El responsable de tratamiento tiene que identificarse claramente.
5. El lenguaje de la Política de Privacidad debe ser adecuado para el usuario objetivo de la aplicación teniendo en cuenta su edad, su nivel de conocimiento, idioma.
6. Las políticas de privacidad deben ser concretas y específicas sobre el tratamiento de datos personales (evitar la “fatiga informativa).
7. Proporcionarse información precisa sobre qué datos son necesarios para el funcionamiento básico de la aplicación, cuáles son opcionales, y toda la información adicional del tratamiento.
8. Se deben indicar los permisos que puede solicitar la aplicación. (ejecución en primer plano o necesita acceder también cuando se ejecuta en segundo plano).
9. El consentimiento, tiene que solicitarse de forma granular, es decir, de forma selectiva e independiente para los distintos tratamientos y finalidades.
10. Incluir información concreta sobre los periodos de retención de los datos y el destino final de los mismos finalizados dichos periodos.
11. Incluir información concreta relativa a la lógica aplicada en la elaboración de perfiles y toma de decisiones automatizadas.
12. La definición de las finalidades del tratamiento y sus bases legales ha de ser clara y precisa, así como identificar qué datos se recopilan.
13. Proporcionar a los usuarios información sobre sus derechos y facilitar mecanismos y procedimientos para ejercerlos efectivamente.
14. En su caso, informar la existencia de transferencias internacionales.
15. Respetar las preferencias del usuario en cuanto a privacidad, por ejemplo, en cuanto a la personalización de anuncios, evitando, en su caso, el acceso incluso a identificadores de publicidad.
16. Evitar el acceso a identificadores globales únicos junto al identificador de publicidad del dispositivo.
17. Evitar la difusión de datos personales hacia servicios de analítica y publicidad desde el mismo momento en que se inicia la aplicación, sin que el usuario mismo haya podido hacer ningún uso o ajuste.
18. Utilizar métodos avanzados para el cifrado de las comunicaciones (ej: certificate-pinning).

ENLACES DE INTERÉS: Puede que te interese leer el siguiente posts sobre «Tratamientos que no requieren Evaluación de Impacto de Protección de Datos (EIPD)»

Los responsables de tratamiento que encarguen el desarrollo, puesta en producción y/o explotación de aplicaciones a empresas especializadas, deben asegurarse de cumplir los requisitos establecidos en el RGPD y LOPDGDD formalizando el Contrato de tratamiento de datos y estableciendo las responsabilidades compartidas o exclusivas a cada parte respecto al tratamiento de datos personales almacenados o recogidos en una APP.