Si estamos pensando en desarrollar, distribuir y explotar una aplicación para dispositivos móviles (App) debemos tener un ojo puesto en la normativa sobre protección de datos. Para ello la Agencia Española de Protección de datos (AEPD) ha elaborado una relación de directrices específicas para observar debidamente las previsiones recogidas en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los derechos digitales (LOPGDD).
Debemos proporcionar la información requerida por estas normas (datos del responsable, datos del Delegado de Protección de Datos en su caso, fines del tratamiento, legitimación, destinatarios, plazo de conservación, ejercicio de derechos, etc.). Se puede facilitar la información en forma de “política de privacidad”, disponible tanto en la propia App como en la tienda de aplicaciones para poder consultarla y aceptarla antes de su instalación. El acceso a esta política debe hacerse forma sencilla desde la aplicación y donde no se requiera al usuario un elevado número de interacciones (a ser posible, máximo 2 clics).
En esta política el Responsable debe identificarse de forma clara. Si estuviese establecido fuera de la Unión Europea y ofreciese sus Apps para usuarios establecidos en Europa, deberán designar a un representante en la UE e identificarlo. Las políticas de privacidad deben ser específicas y concretas respecto al tratamiento de datos que se lleva a cabo, debiendo evitar informaciones genéricas y no específicas de la aplicación.
La información sobre el tratamiento de datos personales deberá ser completa y consistente, no debiendo existir diferencias entre la información que aparece en la tienda virtual antes de proceder a la descarga de la App y la información que podemos consultar en la App propiamente dicha. El lenguaje con el que se escriban deberá ser adecuado para el usuario, en atención a su edad y nivel de conocimiento, especialmente relevante si la App va dirigida a menores. Debe tenerse en cuenta, desde el principio, el público objetivo al que va dirigida la aplicación a la hora de redactar las cláusulas informativas de la política de privacidad.
Habrá que considerar también el idioma, si las aplicaciones están disponibles en un determinado idioma y están destinadas a usuarios del mismo, deberá proporcionarse la política de privacidad en dicho idioma sin perjuicio de que pueda mostrarse en otros.
Continuando con el deber de informar en las políticas de privacidad de las aplicaciones móviles, el usuario debe recibir toda la información sobre el tratamiento de sus datos: qué datos y tratamientos son necesarios para el funcionamiento básico de la aplicación, cuáles son opcionales, y toda la información adicional relevante del tratamiento que se va a realizar; se deberían indicar los permisos que puede solicitar la aplicación para el acceso a datos y recursos, para qué tratamientos y qué finalidades se solicitan esos permisos y con qué extensión. También debe facilitarse al usuario información sobre la forma en la que puede gestionar los permisos otorgados, para que pueda decidir en todo momento si decide otorgar o revocar dichos permisos, o en qué condiciones los otorga. Debemos incluir también información concreta sobre los periodos de retención o conservación de los datos, y el destino final que se les dará una vez finalizados.
Tenemos que definir las finalidades de los tratamientos y su legitimación de forma clara y precisa, así como los datos personales que se recopilan para cada finalidad. No debemos usar cláusulas ambiguas o vacías como “recopilamos sus datos para mejorar su experiencia de navegación”.
Debemos facilitar al usuario información sobre los derechos que le asisten en materia de protección de datos de carácter personal, dándoselos a conocer y proporcionándole mecanismos y procedimientos para ejercerlos de manera efectiva. Así como especificar los destinatarios de los datos personales en caso de producirse cesiones de datos, e informar sobre las transferencias internacionales si se diesen.
Por su parte, si el tratamiento de datos se basa en el consentimiento del usuario, este debe solicitarse de manera independiente para cada uno de los tratamientos y finalidades.
No se puede condicionar la instalación y uso de la App, a prestar el consentimiento respecto a tratamientos que sean innecesarios para proporcionar el servicio definido en la App.
De estas directrices podemos concluir que en caso de querer desarrollar, distribuir o explotar una App debemos facilitar a nuestros usuarios toda la información exigible por el RGPD y la LOPDGDD de forma concisa y transparente; inteligible; accesible fácilmente; con un lenguaje sencillo y claro; adaptada a los potenciales interesados en descargar y usar la App.
