Uno de los ámbitos de protección de datos en los dispositivos móviles más relevantes hoy en día se sitúa, sin lugar a dudas, al sistema operativo más utilizado. El sistema operativo Android es sin duda el líder del mercado móvil en sistemas operativos, y está basado en Linux, diseñado originalmente para cámaras fotográficas profesionales, luego fue vendido a Google y modificado para ser utilizado en dispositivos móviles como los teléfonos inteligentes
Los teléfonos móviles son una fuente de datos personales, dado que son utilizados por un usuario para llevar a cabo sus actividades cotidianas. Sus aplicaciones pueden manejar datos que son personales por naturaleza (ej. las fotografías, notas de audio, correos, actividades de la agenda y lista de contactos de un usuario), pero también son capaces de acceder a ciertos datos generados por recursos/sensores internos (ej. la localización, registros de uso de las aplicaciones) o externos (ej. el pulso cardiaco obtenido de una pulsera de monitorización). A esto hay que sumarle que el hardware, sistema operativo, servicios y aplicaciones manejan internamente identificadores globales que podrían permitir identificar (y rastrear) a los usuarios de los dispositivos. El Reglamento General de Protección de Datos (RGPD) establece que son datos personales “toda información sobre una persona física identificada o identificable («el interesado»)”, por lo tanto, las aplicaciones móviles que recopilan y procesan los datos mencionados anteriormente deberían cumplir con los requerimientos definidos en este reglamento.
La Agencia Española de Protección de Datos (AEPD), ha publicado el estudio técnico Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva, realizado en colaboración con la Universidad Politécnica de Madrid. El estudio, dirigido fundamentalmente a desarrolladores de apps y responsables de tratamiento de datos personales, pone de manifiesto el elevado riesgo de fugas de información personal que se presenta en el entorno de las aplicaciones móviles, y ofrece una guía para que las organizaciones puedan auditar sus apps, analizando los flujos de información personal en dispositivos Android.
La finalidad es que los responsables del tratamiento de datos dispongan de las herramientas y utilicen las metodologías adecuadas para determinar que la política de privacidad que se le está ofreciendo al usuario cumple con las garantías que exige el RGPD y la Ley Orgánica de Protección de Datos (3/2018).
El estudio destaca que el responsable del tratamiento de los datos de una app no siempre es el desarrollador directo y exclusivo de esta, ya que puede basarse en librerías de terceros, subcontrataciones o acuerdos y/o en la ejecución en el entorno de un tercero, teniendo como consecuencia “una potencial pérdida de control” y “un aumento de la complejidad para abordar los requisitos de cumplimiento en materia de protección de datos”. Por otro lado, los desarrolladores de aplicaciones, los responsables que subcontratan dichos desarrollos y los distribuidores o repositorios de apps tienen la obligación de aplicar los principios de responsabilidad pro activa recogidos en el Reglamento General de Protección de Datos (RGPD), como la privacidad por defecto y la privacidad desde el diseño.
Para poder cumplir con estás obligaciones, el estudio detalla las técnicas existentes para analizar los flujos de información personal en aplicaciones móviles que se ejecutan en dispositivos con Android. En primer lugar, presenta el entorno de ejecución de estas aplicaciones, sus componentes fundamentales, los diferentes actores involucrados en el tratamiento de los datos y una breve descripción del ciclo de vida de los datos. Posteriormente, describe las principales técnicas y herramientas para análisis de flujos de información personal.
El responsable del tratamiento que lo es por una aplicación móvil tiene la obligación de informar al usuario a través políticas de privacidad, notificaciones o descripciones publicadas en las tiendas de aplicaciones, y la implementación efectiva del servicio ha de ajustarse a los límites de esa información, de la legitimación para el tratamiento y las garantías generales del RGPD. La realidad es que el responsable del tratamiento de los datos de una app no siempre será el desarrollador directo y exclusivo de esta, se basará en librerías de terceros, subcontrataciones o acuerdos y/o en la ejecución en el entorno de un tercero, por lo que hay una potencial pérdida de control sobre la implementación de dicho tratamiento y un aumento de la complejidad para abordar los mencionados requisitos de cumplimiento en materia de protección de datos.
Los desarrolladores de aplicaciones móviles, los responsables que subcontraten dichos desarrollos y distribuidores o repositorios de apps tienen la obligación de asegurar que las apps que ponen a disposición de los usuarios están de acuerdo a las políticas de privacidad y los servicios publicitados con las garantías adecuadas. Es decir, aplicar los principios de Responsabilidad Proactiva a través de la aplicación de medidas de Privacidad por Defecto, minimizando el tratamiento de datos su extensión, conservación y accesibilidad, y de Privacidad desde el Diseño, seleccionando aquellos componentes más respetuosos para la privacidad.
De este estudio de colaboración entre la Universidad Politécnica de Madrid y la Agencia de Protección de Datos, se deducen varios hechos y evidencias. De entre ellas las que más nos debería interesar está: Poner de manifiesto el elevado riesgo de fugas de información personal que se presenta en el entorno de aplicaciones móviles y la necesidad de realizar una evaluación de los flujos de datos que tenga en cuenta el ciclo de vida de esta información y permita llevar a cabo una posible evaluación de impacto de dicho flujo de datos con relación a la privacidad y el derecho a la protección de datos de las personas.
Como proteger tu móvil de teléfonos spam