Apps II: Qué normas deben cumplirse y por parte de quién


Ayer hablamos de los riesgos y retos que tienen las apps para la protección de datos. Hoy, hablaremos de la normativa que se debe tener en cuenta, a tenor de lo indicado por el Working Party (en adelante, “WP”) del Artículo 29, así como de quién debe cumplirla; para aclarar un poco más, lo que deben hacer los diferentes sujetos implicados en función de su participación en la creación y comercialización de apps.

Según el WP, como norma fundamental, ahora por ahora, puesto que la nueva Directiva de protección de datos no está previsto que se apruebe hasta el año que viene, se debe tener en cuenta la Directiva 95/46/CE. Luego, para saber qué norma nacional es aplicable, deberemos tener en cuenta, no sólo la ubicación del establecimiento principal del titular o responsable de la app sino también si opera en determinado país o dispone de algún otro establecimiento. Así, por ejemplo, si la app se pretende comercializar en España y Francia, deberá respetar la norma de cada país.

Otra norma que se debe tener en cuenta, a tenor del WP es la Directiva 2002/58/CE, revisada por la 2009/136/CE y conocida como Directiva de ePrivacidad. Así, según el artículo 5 (3) de esta directiva, es imprescindible que siempre se solicite el consentimiento para el tratamiento de datos de usuarios de las apps.

¿Quién es el responsable en el tratamiento de datos?

Por el WP se establece que hay varios responsables en función del tipo de datos o de quién trata los datos:

En primer lugar, tenemos a los desarrolladores de apps. Según el WP, son los que la Directiva define como “data controllers” por naturaleza, teniendo acceso a los datos del usuario para prestarle el servicio y, por lo tanto, deben sujetarse a todo lo que la Directiva de protección de datos establece.

No obstante, esta sujeción no será necesaria si no recoge datos o si los datos recogidos se “anonimizan”, por ejemplo, habiendo procedido a la disociación de los mismos.

Si estos desarrolladores, además de desarrollar la aplicación, también tienen acceso a su comercialización, deberán sujetarse a lo que indica la Directiva ePrivacidad.

Si, por otro lado, han contratado de manera externa algún servicio (incluyendo el cloud computing), también deberán cumplir otras normas; como, por ejemplo, el firmar un contrato de confidencialidad o encargado de tratamiento con este tercero, si aquel tiene acceso a datos y asegurarse, por otro lado, de que esa empresa también cumple con la normativa de protección de datos y de ePrivacidad, en su caso.

En segundo lugar, tenemos a los creadores de sistemas operativos. Según el WP también son “data controllers” porque pueden tener acceso a datos por cualquier motivo relacionado con el funcionamiento de la aplicación, seguridad… Muchas veces, por ejemplo, son estos desarrolladores quienes tienen acceso a los datos o al control de la geolocalización de los usuarios, por lo que son claramente data controllers.

Así pues, junto a los desarrolladores de apps o los que las venden, tienen una gran responsabilidad en cuanto al deber de informar a los usuarios finales de las aplicaciones; el deber de solicitar el consentimiento y adoptar las medidas de seguridad necesarias para garantizar la privacidad de los usuarios.

En tercer lugar, tenemos a las App Stores. Se indica por el Working Party que las app store muchas veces tienen acceso a datos de los usuarios por razón de su adquisición de apps, teniendo acceso a datos identificativos, números de tarjeta de crédito o de pago de sus clientes y pudiendo tener acceso, en función de si también han desarrollado la aplicación o su sistema operativo, más datos del usuario. Así, claramente, también son data controllers.

En este sentido, también deben informar a los usuarios de su política de privacidad, así como de la finalidad y usos del tratamiento de datos que van a hacer, informándole de que no se recogen sus datos, en caso de que sea así; y adoptando el resto de medidas aplicables a los data controllers.

En cuarto lugar, tenemos a los conocidos como terceros. Así, es posible que, cuando el usuario acepte la instalación de una app, se le informe de que un tercero también va a tener acceso a sus datos para ofrecerle algún producto o servicio que pueda ser de su interés. Estas ofertas, pueden ser como anuncios que recibe el usuario en forma de banners que surgen en la app descargada.

El WP indica que existen dos tipos de servicios que pueden ofrecer estos terceros: primero, cuando actúan como simples analistas de datos para el cliente titular de la app. Segundo, cuando actúan para analizar perfiles de clientes y ofrecer algún tipo de servicio, esto es, para sus propias finalidades. En ambos casos, es necesario informar tanto a los usuarios finales de las apps como a sus desarrolladores, del tratamiento que se va a efectuar y cómo se va a hacer, así como, en el caso de los usuarios, solicitar su consentimiento.

Por lo tanto, tanto desarrolladores de apps, como de sus sistemas operativos; como quiénes las vendan o quiénes tengan acceso a sus datos, deberán cumplir con la normativa de protección de datos y de privacidad; recordemos, siempre, en interés del cliente o usuario, que tiene derecho a conocer para qué se recogen sus datos y cómo van a ser tratados, cuando solicita un servicio; o en este caso, decide adquirir una app. Pero, entonces, ¿qué normas concretas debe tener en cuenta todo desarrollador de app, de su sistema operativo o su vendedor? En un artículo posterior, lo veremos.

Anuncios

Un pensamiento en “Apps II: Qué normas deben cumplirse y por parte de quién

  1. Pingback: Apps III: Los principios de protección de datos que se deben tener en cuenta. | Legaltis

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s