Como parte de su tarea divulgativa en la materia que le incumbe, la Agencia Española de Protección de Datos (en adelante, AEPD) ha publicado recientemente dos guías que pueden ser de gran utilidad para desarrolladores de aplicaciones en el sistema operativo Android. Este artículo tiene como objetivo explicar su contenido para facilitar su comprensión y así hacer que dichas aplicaciones sean cada vez más respetuosas con la normativa aplicable.
Las dos guías publicadas hacen referencia, por un lado, al control del usuario en la personalización de anuncios y, por el otro, al acceso de las aplicaciones a la pantalla en dispositivos Android. Es posible descargar las guías en los enlaces que acabamos de poner.
En lo que se refiere a la personalización de anuncios, la guía se centra en el funcionamiento del Android Advertising ID (en adelante, AAID). En teoría, el usuario puede configurar su dispositivo para no recibir publicidad personalizada. Sin embargo, la guía señala que el sistema de configuración ofrece problemas desde el punto de vista de la protección de datos.
Esto es así desde el momento en que la configuración del AAID es enviada a las empresas de publicidad, pero son estas las que deciden si respetan o no esa configuración del usuario. Es decir, el usuario puede haber rechazado los anuncios personalizados pero aun así recibirlos. Ello, como es natural, supone un choque directo con los principios de tratamiento de datos previstos en el RGPD, toda vez que no habría base legitimadora para ese tratamiento personalizado.
Más aun: independientemente de la configuración del usuario, es técnicamente posible hacer un perfilado del mismo a los efectos de publicidad, almacenando información sobre sus gustos o intereses. Lo que es contrario al artículo 22 RGPD, que establece el derecho de cualquier interesado a que no se elabore perfiles sobre él. Habiendo manifestado de forma expresa -a través de la configuración de anuncios personalizados- su oposición, no debería tratarse estos perfiles.
Con esto en mente, la primera guía de la AEPD ofrece los siguientes consejos para desarrolladores:
– Tener en cuenta que el envío de información personal a una tercera parte (como pueda ser enviar apuntes sobre gustos del interesado a un servicio de publicidad) es un tratamiento de datos de carácter personal. Para ello hace falta una base legal que lo justifique.
– Recordar que el RGPD obliga a cumplir con el principio de minimización de datos. Esto es, solo tratar los datos que sean imprescindibles para el fin buscado.
– Ofrecer al usuario una configuración en la que por defecto se proteja su privacidad.
– Antes de incluir en una aplicación una SDK de una tercera parte, valorar los riesgos para la privacidad de los usuarios.
En lo que se refiere a la segunda guía, la AEPD analiza la información que se ofrece a los usuarios antes de acceder a la información que muestra la pantalla del dispositivo. Y, como veremos a continuación, la guía llega a la conclusión de que la información ofrecida suele ser insuficiente desde el punto de vista legal.
Como señala el documento, las aplicaciones que quieren capturar o compartir la pantalla no necesitan un permiso especial. Simplemente se muestra un cuadro de diálogo al usuario, que no es propiamente dicho un permiso de la aplicación. Además, este diálogo solo suele aparecer la primera vez que se captura o comparte la pantalla, pero no en las veces subsiguientes que esto se haga.
Ello genera un problema desde el punto de vista de la privacidad, toda vez que el usuario no tiene manera de saber en qué momento concreto se está grabando o compartiendo el contenido de la pantalla. Solo recibirá el primer cuadro de diálogo a título informativo, pero nada más. A partir de entonces, la aplicación podrá acceder a la pantalla cuando quiera, sin avisar de ello al usuario.
Con esta base, el documento ofrece los siguientes consejos para desarrolladores:
– Hay que informar claramente a los usuarios, antes de capturar o compartir la pantalla, de las finalidades buscadas con dicha acción.
– No respetan el RGPD las grabaciones que se produzcan sin que el usuario sea consciente de ello, incluso aunque previamente haya ofrecido su consentimiento. El usuario tiene derecho a saber exactamente cuándo se está grabando/compartiendo la pantalla, y cuándo no.
– Al desarrollar una aplicación que lleve a cabo estas acciones, hay que obtener de forma válida y legal el consentimiento de los usuarios, respetando los principios y exigencias previstos en el RGPD.
– Es obligatorio, como en cualquier otro tratamiento basado en el consentimiento, ofrecer una manera sencilla para retirar dicho consentimiento prestado.
En caso de que usted desee desarrollar este tipo de aplicaciones, contacte con nosotros y le asesoraremos respecto a cómo llevarlas a cabo cumpliendo con lo previsto en la normativa vigente de protección de datos.
Fabián Plaza Miranda, Auren Abogados y asesores Fiscales