Inicio / Protege tu empresa / Blog / ¿Tu negocio tiene una App? Sigue las directrices de privacidad de la AEPD

¿Tu negocio tiene una App? Sigue las directrices de privacidad de la AEPD

Publicado el 03/10/2019, por INCIBE
¿Tu negocio tiene una App? Sigue las directrices de privacidad de la AEPD

En España, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD) son las normas que velan por la protección y privacidad de los datos personales. Bajo su amparo, cualquier empresa o autónomo que realice algún tipo de tratamiento de los mismo, deberá cumplirlas, quedando expuesto a sanciones de no hacerlo. Un caso particular de estos tratamientos es el realizado hoy en día por las apps para dispositivos móviles que algunas empresas ofrecen a sus clientes para entregar sus servicios. 

Por este motivo, el pasado 17 de septiembre la Agencia Española de Protección de Datos ha emitido una nota técnica con 26 directrices para las entidades que desarrollan, distribuyen y explotan aplicaciones para dispositivos móviles. Estas directrices tratan aspectos específicos en relación con el deber de informar, así como otras medidas de responsabilidad proactiva.

Se trata de un documento dirigido tanto a las responsables y corresponsables del tratamiento en entidades involucradas en el desarrollo, distribución, implantación y explotación de apps para móviles, como a otros agentes de este ecosistema. El objetivo es identificar aquellas prácticas que son contrarias a la privacidad de los usuarios de estas apps, aportando soluciones y alternativas a las partes implicadas. 

Estas directrices, elaboradas en el marco de trabajos específicos de la AEPD para apps de educación obligatoria y apps para monitorización de la actividad física y el bienestar y la salud, se basan en lo que marca el Reglamento General de Protección de Datos (RGPD), indicando quince aspectos de obligado cumplimiento en lo relativo al deber de informar que han encontrado que requieren especial atención por los responsables. De estos destacamos los siguientes:

  • la información que se proporcione a los usuarios sobre el tratamiento de datos personales deberá cumplir los requisitos establecidos en el RGPD y en la LOPDGDD;
  • esta información deberá estar disponible de manera clara y consistente tanto de la aplicación como en la tienda de aplicaciones;
  • a la política de privacidad de la aplicación se deberá acceder mediante un mecanismo sencillo;
  • se deberá ofrecer un lenguaje claro y de fácil entendimiento para la edad y el grado de conocimiento que pueda tener el perfil de usuario final de la misma, evitando en todo momento la fatiga informativa;
  • además, se deberá proporcionar toda la información relevante sobre el tratamiento de datos que se lleve a cabo, especificando qué datos son necesarios para su funcionamiento y cuáles son opcionales;
  • el responsable ha de estar identificado en la política de privacidad.

El resto de indicaciones están orientadas al supuesto de que el responsable del tratamiento encargue el desarrollo, producción o explotación a terceras partes que contarán con acceso a datos personales. En este caso, los contratos entre responsables y encargados que se firmen deberán cumplir una serie de requisitos entre los que destacamos:

  • se deberá regular dicho tratamiento de datos mediante contrato o vínculo legal donde se establezcan aspectos como el objeto, duración, naturaleza y finalidad del mismo;
  • comprobar que no existe la difusión de datos sin conocimiento del responsable del tratamiento; 
  • respetar las preferencias del usuario en cuanto a privacidad;
  • no se cederán los datos a servicios de analítica o publicidad;
  • evitar una cesión de datos hacia destinatarios no especificados o informados de la política de privacidad;
  • evitar transferencias de datos internacionales;
  • utilizar métodos avanzados de cifrado en las comunicaciones. 

En las conclusiones de esta nota técnica, la AEPD indica que siempre que una aplicación solicite permiso de acceso a los datos que pudiera obtener mediante el teléfono móvil, deberá quedar reflejado en la política de privacidad, explicando la finalidad de su tratamiento. Además, esta información deberá proporcionarse en un lenguaje claro y sencillo, conciso, transparente e inteligible, de fácil acceso y adaptado al usuario potencial. Esto implica que se deberá tener en cuenta al público al que va dirigida. 

Por último, en cuanto a los responsables que contraten a terceros para el desarrollo, producción o explotación  de este tipo de aplicaciones, siempre y cuando cuenten con acceso a datos personales, deberán reflejar en los contratos que han de cumplir con los requisitos que establecen el propio RGPD y la LOPDGDD para cada una de las partes implicadas. Si es tu caso, aquí tienes un checklist con algunas cuestiones que debes considerar.

Estas directrices son solo un recurso que podrán usar los responsables del tratamiento en materia de protección de datos. Cumplir con la normativa marca la diferencia, ya que tus clientes, proveedores o usuarios podrán comprobar que respetas sus derechos, libertades y privacidad, además de evitar posibles sanciones. Puedes consultar el catálogo dónde encontraras empresas que te ayuden a auditar y adecuar las apps a la legislación. Si quieres ampliar tus conocimientos en el RGPD, te ofrecemos nuestra guía: Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario.