La privacidad de las apps

La privacidad de las apps

KPMG elabora una guía sobre las aplicaciones que colonizan los smartphones

EL CORREO

El mercado de las app para smartphones no para de crecer: en la actualidad los usuarios pueden descargarse millones de aplicaciones, muchas de ellas 'gratuitas'. ¿Es seguro descargar este tipo de aplicaciones? ¿Qué garantías debe ofrecer una compañía cuando desarrollar o comercializa una app? ¿Están seguros los datos personales de los usuarios? Sobre todo ello ha reflexionado la consultora KPMG, que ha resumido todas estas cuestiones en cuatro preguntas.

¿QUÉ POLÍTICAS DE PRIVACIDAD DEBE CUMPLIR UNA APP?

«Dado que, en general, el 'alimento' de una app son los datos personales del usuario, las empresas que se dedican a su comercialización deben dotarse de políticas de privacidad compatibles con todas las exigencias normativas en esta materia», afirma Bartolomé Martín, director responsable del Derecho de Nuevas Tecnologías y de Propiedad Intelectual e Industrial de KPMG Abogados. Por tanto, toda app debe cumplir con los principios del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés).

Entre estos requisitos, destacan:

Informacion o transparencia: La normativa obliga a garantizar que los usuarios accedan a toda la información necesaria respecto al uso que se hace de sus datos (tanto de los que aportan, como de los que se pudiera recabar sobre ellos de otras fuentes o se puedan inferir de la información así obtenida) y, además, de un modo gratuito, inmediato y fácilmente comprensible.

Privacidad desde el diseño y por defecto

Exactitud, limitación de la finalidad y minimización de datos. Este principio impide tratamientos de datos innecesarios o excesivos y concede el control al usuario acerca de la información que comparte a través de la app.

Lealtad y licitud de los tratamientos: Exige que todo tratamiento de los datos de los usuarios tenga una base jurídica aceptable y respete las expectativas de privacidad del usuario.

«La mejor forma de entender si una app cumple con muchas de estas exigencias es revisar su aviso de privacidad. Si la información no es clara o es insuficiente y no nos permite entender qué datos y cómo, para qué y por cuánto tiempo se van a tratar, deberíamos replantearnos su descarga y utilización».

¿EN QUE DEBE FIJARSE EL USUARIO AL DESCARGAR UNA APP?

Javier Aznar, senior manager del área de Ciberseguridad de KPMG en España, sostiene que el término que debe regir esta decisión debe ser la proporcionalidad. «Debemos plantearnos si existe una proporcionalidad entre el servicio que nos ofrece una determinada app y la información que nos solicita», explica. «Los datos personales tienen un gran valor para las compañías, por lo que aunque la aplicación sea gratuita, el beneficio que obtienen de explotar y vender esos datos puede ser mayor que si nos cobraran por descargarla».

De este modo, el valor de proporcionalidad tendrá mayor o menor importancia para cada usuario de forma individual. «Cada persona es libre de decidir dónde está su límite y qué está dispuesto a ceder por recibir un determinado servicio. Lo importante es que decidamos con conocimiento y siendo conscientes de las consecuencias de nuestra decisión», sostiene Javier Aznar.

¿QUÉ RIESGOS TIENE DESCARGAR UNA APP?

El mayor riesgo pasa por la pérdida de control: el desconocimiento sobre quién accede a los datos prestados para descargar la app, dónde se almacenan y con qué finalidad van a ser utilizados. En este sentido, Javier Aznar recuerda que al analizar las políticas de privacidad «se pueden observar claros ejemplos de falta de información o cesiones de datos a terceros o empresas en el extranjero de las que no se conoce su nombre o a qué se dedican».

«Lo normal es que estos datos sean utilizados, en el caso de imágenes, para entrenar algoritmos de reconocimiento facial. Otro tipo de datos personales, como los historiales de navegación, pueden llegar a ser cedidos a otras empresas que posteriormente nos ofrezcan anuncios o productos que estimen interesantes para nuestro perfil», explica.

¿QUÉ CRITERIOS RIGEN EN EUROPA?

La respuesta de la Unión Europea al desarrollo de nuevas tecnologías ha sido, en palabras de Bartolomé Martín «bastante garantista». «El GDPR ha incorporado mecanismos de protección, control, seguridad, comunicación y atención a los ciudadanos que, junto con un régimen sancionador más severo, deberían contribuir a generar mayores cotas de seguridad y libertad dentro de la Unión».

La UE ha optado por un sistema uniforme para todos los estados y de supervisión centralizada que parte de una máxima muy concreta: que la disponibilidad de la información (el acceso a la misma) no habilita per se a su tratamiento. «Es decir, que para poder llevar a cabo cualquier tratamiento de datos será necesario contar con una base legal legítima, es decir, que sea un tratamiento necesario para prestar un servicio, que hayamos pedido permiso al interesado para tratar sus datos, que el tratamiento sea preciso para cumplir con una obligación legal o, por ejemplo, que se persiga un interés comercial legítimo y proporcionado», indica Bartolomé Martín.

Sobre esta premisa, se ha construido un sistema en el que se vigila con especial atención al tratamiento de aquellos datos que se consideran más sensibles –aquellos que revelan la ideología, convicciones religiosas, orientación sexual, o estado de salud del usuario, etc- y que aplica un enfoque basado en el riesgo. «De este modo, los recursos destinados a proteger nuestra información se adecúen a los riesgos a los que está expuesta y a la capacidad tecnológica y económica de las empresas», explica Bartolomé Martín.

La regulación europea es «seguramente la más exigente del mundo. Y no sólo eso, se está convirtiendo en el estándar internacional aplicable en todos aquellos países democráticos que persiguen un modelo de convivencia que tiene como pilar principal la libertad de los ciudadanos». El tratamiento masivo de los datos a través de la tecnología puede tener objetivos legítimos, como la seguridad o la prosperidad económica, pero también permite la manipulación y restricción de nuestras libertades, por lo que es preciso un régimen regulatorio que garantice un justo equilibrio entre los intereses de las empresas y los derechos de los ciudadanos.