Perkins Human Media

La AGPD y la GPEN muestran resultados sobre privacidad en aplicaciones móviles

El pasado mes de septiembre la Red Global de Protección de la Privacidad (Global Privacy Enforcenment Network) -GPEN- publicó -con la colaboración de la Agencia Española de Protección de Datos- el siguiente estudio: Resultados del análisis coordinado sobre las condiciones de privacidad de las aplicaciones móviles.

Antes de proseguir con el comentario será justo conocer -aún a sabiendas de caer en redundancia por su conocimiento previo-, los actores de dicho documento:

Logotipo Agencia Española Protección de DatosLa Agencia Española de Protección de Datos -AEPD- es la entidad de control encargada de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en España. Tiene su sede en Madrid y su ámbito de actuación se extiende al conjunto de nuestra nación.

En nuestro caso, se pondrá de manifiesto sus funciones en cuanto a:

La relación con quienes tratan datos:

  1. Ejercer la potestad sancionadora.
  2. Emitir autorizaciones previstas en la ley.
  3. Requerir medidas de corrección.
  4. Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos.
  5. Recabar ayuda e información que precise.
  6. Autorizar las transferencias internacionales de datos.

En cuanto a la relación con los afectados -usted por ejemplo-:

  1. Atender a sus peticiones y reclamaciones.
  2. Información de sus derechos reconocidos en la Ley.
  3. Promover campañas de difusión a través de los medios.

En materia de telecomunicaciones

  1. Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas, realizadas a través de correo electrónico o medios de comunicación electrónica equivalente (spam).

Si bien posee, naturalmente, más funciones nos quedamos con las presentes que vienen al caso.

El segundo actor,

gpen logoLa Red Global de Protección de la Privacidad (Global Privacy Enforcenment Network). Esta Red tiene como objetivo «facilitar la cooperación transfronteriza en el control del cumplimiento de las normas de privacidad»

Nacida a raíz de una recomendación de la OCDE en junio de 2007 conforme al objetivo enunciado, se le concede evidentemente, tareas a desarrollar. Del conjunto, destaca la de «compartir experiencias y aspectos prácticos de la aplicación de la ley, prácticas para abordar desafíos transfronterizos o apoyar las iniciativas conjuntas de control y sensibilización». España no escapa a ello, está representada por la propia AEPD.

Su marco de actuación: «colaboración entre las autoridades (agencias de protección de datos europeas o entidades equivalentes) para el intercambio de experiencias en el control del cumplimiento de las legislaciones de privacidad y la posibilidad de alcanzar acuerdos bilaterales para facilitar su cumplimiento transfronterizo.»

Definidas las metas y ámbitos de actuación de las entidades anteriores, se hace necesario dilucidar que dicho estudio -aquí como síntesis- obedece a una iniciativa que tiene como objetivo fomentar el cumplimiento de la legislación de protección de datos y privacidad, promover la concienciación de los usuarios y obtener una visión integral y conjunta desde la perspectiva de las aplicaciones para móviles inclusive los smartphones -o teléfonos inteligentes- entre los que cabe Apple© (iOS) y Google© (Android).

Para dotar de contenido a dicho análisis se han puesto en el «banco de pruebas» más de 1200 apps para su análisis según los criterios anteriores.

Los perfiles de estas aplicaciones:

 

LICENCIAMIENTO
GRATUITAS DE PAGO

 

DISTRIBUIDORES
PÚBLICOS COMERCIALES –PRIVADOS-

 

CATEGORIAS
OCIO SALUD
EJERCICIO FISICO TRANSACCIONES BANCARIAS

 

Un inciso, en cuanto a Ordenamiento jurídico europeo en esta materia, se dirá que Europa, tiene la «Directiva 95/46/CE del Parlamento Europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.», así mismo, la Propuesta -de fecha 12.1.2012- de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) – 2012/0011 (COD)-.

Esos contenidos han sido y serán respectivamente traspuestos a nuestro ordenamiento jurídico, al igual medida que en el resto de los países de la UE.

Esta mecánica legal es lo que justifica que sea necesaria dicha interacción, máxime si dichas apps provienen de un territorio fuera del especificado, puesto que se debería convenir otros tipos de acuerdos transfronterizos. A modo de ejemplos:

  1. El hecho de que su aplicación Whatsapp esté en español, en un terminal en español, eso no significa que sus conversaciones se almacenen fuera de la empresa WhatsApp Inc. (WhatsApp, S.L.) en los servidores ubicados en California -USA-.
  2. El hecho de que usted instale dropbox en su computadora/Tablet/Smartphone no significa que sus datos se almacenen en Servidores en España, esta firma se ubica en el mismo lugar que la anterior.

Todo ello explica por qué es necesario esa actitud de cooperación. Si bien existe un marco global, cada país podrá matizarlo según sus propias exigencias.

Por cierto, Estados Unidos de América, no está en el marco que nos ocupa. Tiene su regulación propia. Si usted es empresa, deberá saber que el hecho del empleo de esta aplicación llevaría implícito una transferencia internacional de datos a los efectos de los ejemplos anteriores. A modo anecdótico, USA, no figura ante la AEPD como País no comunitario con un nivel adecuado de protección.

¿Por qué es necesario dicho estudio?
«…La popularidad y el alcance transnacional que han alcanzado las aplicaciones móviles y los riesgos que puede implicar una utilización inadecuada de los datos personales de sus usuarios…»

 ¿Y qué se ha analizado exactamente?

  1. El tipo de permisos solicitados por las aplicaciones -o a la necesidad de acceder de la aplicación a software y/o elementos específicos del terminal en cuestión; p. ej.: agenda de contactos o la cámara-;
  2. Si estos eran excesivos -principio de la calidad de los datos- en relación con el servicio prestado por la app; y,
  3. La manera en que se explicaba a los usuarios para qué solicitaban su información personal y qué uso planeaban darle a la misma -El derecho de Información del afectado-.

En cifras ¿Qué dice dicho estudio?

1º Que El 75% -900 apps- solicitan uno o más permisos al usuario en cuanto a:

  1. La Ubicación: Ello es posible si usted tiene el Sistema de Posicionamiento Global o GPS activo. Sabe donde vive usted o dónde está tomando un café.
  2. la identificación del dispositivo: Dentro de las redes GSM cada dispositivo tiene relacionado un número llamado International Mobile Equipment Identity (IMEI) ó Identidad Internacional de Equipo Móvil. Esto es, identificar unívocamente su terminal móvil. No hay dos teléfonos con la misma referencia. Otro identificador potencial es el Número de suscriptor con el proveedor del servicio de telefonía o (SusID). El SusID se encuentra almacenado en la tarjeta Subscriber Identity Module (SIM), esto estrictamente ya no depende del dispositivo, sin embargo, se encuentra en él.
  3. el acceso a otras cuentas: Se refiere a las propias de correo electrónico (por tanto tiene acceso a sus contactos).
  4. Cámara: acceso a sus imágenes personales y profesionales.

2º Que el 41% -492 apps- de usuarios encontraron dificultad al no hallar las informaciones relativas a la privacidad antes de proceder a la instalación. Deficitarias en cuanto a por qué recopilar información personal y para qué utilizarla. Generalmente en estos casos, dichas apps, remiten a webs con políticas de protección de datos que no se relacionan con la aplicación o se solicita que el usuario inicie sesión.

3º Que ambas entidades -AEPD y GPEN- muestra claros síntomas de preocupación dado que existen en dichas aplicaciones -el 31%- solicitan excesivos permisos para las prestaciones que estas brindan. Así mismo, 4 de cada 10 aplicaciones no tenían adaptadas sus políticas de protección de datos en lectura de pantallas de este tipo de terminales.

4º Que en lo relativo a la claridad con que las empresas -desarrolladores o fabricantes de estas apps- informan a los usuarios sobre cómo van a ser recopilados, utilizados y divulgados sus datos personales lo hacen conforme a:

 

MODO PORCENTAJE
Correcto 15%
Cierta Información 31%
Inadecuado 24%
Ninguna 30%
TOTAL 100%

estadistica art14.1

A modo de conclusiones:
1º Las aplicaciones que gozan de gran popularidad en el mercado, según este informe, están entre las más valoradas -conforme a los criterios objeto de análisis-.

¿Qué ha influido en ello? El hecho de que ofrecen una información adecuada, empleando un lenguaje natural y comprensible respecto a servicios de seguridad: Autenticación, Confidencialidad e Integridad.

2º Si bien hemos ratificado por la AEPD que Estados Unidos de América no figura ante la AEPD como País no comunitario con un nivel adecuado de protección, si goza de empresas de esta nacionalidad que ofrecen garantías adecuadas para la protección de datos (Puerto Seguro) conforme a la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000 como es el caso de Dropbox.

3º Antes de instalar una aplicación en su teléfono:

  1. Piense si es verdaderamente necesaria para los objetivos que tenga marcados.
  2. Infórmese de sus requerimientos, pros y contras, quien es el desarrollador, su reputación… el coste que ello supone (y no solo en un sentido meramente económico).

 

Imagen: de su autor o autores – AEPD & GPEN-.

Texto: AEPD & GPEN; Perkins Human Media.

 

 

WP to LinkedIn Auto Publish Powered By : XYZScripts.com