La AEPD publica un estudio sobre los flujos de información en Android
11-03-2019 — AR/2019/018
La AEPD publica un estudio en el que se analizan los flujos de información en el sistema operativo Android y los potenciales riesgos de explotación no legítima de los datos personales por terceros, con advertencia sobre las formas de las aplicaciones móviles y la responsabilidad de los creadores del tratamiento, que deben cumplir con los deberes del RGPD. Insiste en la obligación de informar a los usuarios sobre el tratamiento de sus datos personales.
- Compartir
- Correo electrónico
La Agencia Española de Protección de Datos (AEPD) publicó, el 7-3-2019, un estudio en el que se analizan los flujos de información en el sistema operativo Android.
Los teléfonos móviles son una fuente de datos personales, dado que los usuarios los utilizan para realizar sus actividades cotidianas. Asimismo, los dispositivos móviles, su sistema operativo y los servicios y aplicaciones que se ejecutan en ellos manejan internamente identificadores globales que podrían permitir identificar (y rastrear) a los usuarios.
El estudio expone los potenciales riesgos de explotación no legítima de los datos personales por terceros debido a la versatilidad de tratamientos, la variedad de los propios datos y la potencialidad de comunicaciones de datos a terceros.
La AEPD analiza, desde una perspectiva muy técnica, las formas en que los desarrolladores de las aplicaciones o los responsables del tratamiento en cada caso pueden cumplir con los deberes del RGPD, considerando las descripciones de las apps, las notificaciones push y los formularios de registro. Advierte también de que el desarrollo de aplicaciones puede implicar una exposición a pérdidas de control sobre la información y un aumento de la complejidad para cumplir la normativa de protección de datos, dado que los desarrolladores suelen utilizar librerías de terceros, subcontrataciones o acuerdos con ellos, o ejecuciones en el entorno de un tercero.
Por otro lado, la AEPD recalca la obligación de informar a los usuarios sobre el tratamiento de sus datos personales, para lo que el responsable del tratamiento puede servirse del sistema de información en dos capas que prevé el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La autoridad de protección de datos señala que se puede cumplir con el deber de información a los interesados de la app a través de los siguientes mecanismos:
- Políticas de privacidad.
- Notificaciones de la aplicación.
- Descripciones publicadas en las tiendas de aplicaciones.
Desde el diseño de la aplicación móvil hasta la publicación en las tiendas de aplicaciones, la AEPD señala la importancia de aplicar medidas de privacidad por defecto, minimizando el tratamiento de datos, su extensión, conservación y accesibilidad, y de privacidad desde el diseño, seleccionando aquellos componentes más respetuosos con la privacidad.
Por último, la AEPD identifica algunas de las herramientas más utilizadas en el mercado para auditar flujos de datos de aplicaciones móviles, identificar fuentes de información y sumideros, y mantener así la confidencialidad de los datos personales de los usuarios de aplicaciones móviles. En este sentido, destaca la importancia de realizar análisis, utilizando herramientas y metodologías apropiadas, para determinar que las apps que están poniendo a disposición de los usuarios están de acuerdo con las políticas de privacidad, y que cualquier otra información en descripciones textuales, avisos y notificaciones se facilita con las garantías adecuadas que exige el RGPD.
El estudio comentado representa, en nuestra opinión, una herramienta de alto valor para los profesionales del desarrollo de aplicaciones móviles. Por eso, recomendamos a los departamentos de IT de desarrollo de aplicaciones móviles analizarlo internamente para actualizar y mejorar los procedimientos de privacidad desde el diseño y por defecto..
En los documentos vinculados está el enlace con el texto de este estudio.