09:00-14:00 / 16:00-19:00
(+34) 924 10 70 77

APLICACIONES MÓVILES (APPS)

 

Aquellas entidades involucradas en el desarrollo, distribución y explotación de apps para dispositivos móviles, en particular a aquellas que desempeñen el rol de responsables de tratamiento o corresponsable en cada una de sus áreas de competencia, así como otros agentes que intervienen en el ecosistema de apps para dispositivos móviles, como pueden ser, entre otros, desarrolladores de aplicaciones y desarrolladores de librerías, tienen las siguientes obligaciones:

Deber de información:

– La información proporcionada a los usuarios sobre el tratamiento de sus datos personales debe cumplir los requisitos establecidos en los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD, en particular con respecto a la información por capas, en los términos señalados en la “Guía para el cumplimiento del deber de informar” y el “Decálogo para la adaptación al RGPD de las políticas de privacidad en internet”.
– Dicha información, en forma de política de privacidad, debe estar disponible tanto en la propia aplicación como en la tienda de aplicaciones. De esta forma, el usuario podrá consultarla antes de instalar la aplicación o en cualquier momento durante su uso.
– El acceso a la política de privacidad debe poder hacerse de forma sencilla desde la aplicación, y requerir del usuario un número de interacciones reducido, a ser posible a un máximo de dos clics como recomienda GT29 en sus directrices.
– El responsable del tratamiento tiene que identificarse claramente en la política de privacidad.
– La información sobre el tratamiento debe ser completa y consistente tanto en la tienda de aplicaciones, en su caso, como en la propia aplicación. No puede hacer discrepancias entre ambas.
– El lenguaje en el que se describen las políticas de privacidad debe ser adecuado para el usuario objetivo de la aplicación teniendo en cuenta su edad y su nivel de conocimiento.
– Las políticas de privacidad deben ser concretas y específicas sobre el tratamiento de datos personales que se lleva a cabo.

Los responsables de tratamiento que encarguen el desarrollo, puesta en producción y/o explotación de aplicaciones a terceras partes con acceso a datos personales, deben asegurarse de cumplir los requisitos establecidos en el RGPD para cada una de las partes.

Si bien el dispositivo muestra al usuario una notificación solicitando su autorización para acceder a dichos recursos, en muchos casos, la información mostrada no es suficiente en el contexto del RGPD, ni la granularidad del permiso se precisa de forma correcta, ya que, entre otra información, debe incluir la finalidad del tratamiento de esos datos. La necesidad de acceder a dichos recursos debe informarse apropiadamente en la política de privacidad de la aplicación, para que el usuario pueda decidir la conveniencia o no de otorgar autorización a la aplicación para acceder a dichos recursos.