Desde los primeros terminales móviles que únicamente permitían realizar y recibir llamadas, así como mensajes de texto SMS (Short Message Service) o multimedia MMS (Multimedia Messaging Service), se ha pasado a un desarrollo exponencial de los mismos coincidiendo con el desarrollo de las redes 2G, 3G, 4G y, próximamente, 5 G que ha superado el concepto tradicional de teléfono móvil para pasar a denominarse teléfono inteligente o smartphone. Sus capacidades y funcionalidades han desbordado el concepto de teléfono móvil puesto que se asemejan más a las de un ordenador personal, lo que ha conllevado la aparición de nuevos riesgos para la privacidad y seguridad que deberán ser tenidos en cuenta por el Delegado de Protección de Datos DPO / DPD.

El Dictamen 2/2013 sobre las aplicaciones de los dispositivos inteligentes del Art29WP pone el foco en “la estrecha interacción con el sistema operativo permite a las aplicaciones acceder a un número de datos significativamente superior a aquél al que tiene acceso un navegador de internet tradicional. Las aplicaciones pueden recoger gran cantidad de datos a partir del dispositivo (datos de ubicación, datos almacenados por el usuario en el dispositivo o datos de los distintos sensores) y procesarlos para proporcionar servicios nuevos e innovadores al usuario final”.

El Grupo de Trabajo del Artículo 29 destaca algunos ejemplos de los datos que puede recopilar la APP del usuario del smartphone: localización, contactos, identificadores únicos del dispositivo y del cliente (p. ej., IIEM13, IIAM14, IUD15   y número de teléfono móvil), identidad del interesado, identidad del teléfono, datos de tarjetas de crédito y relativos a pagos, registros de llamadas, SMS y mensajería instantánea, historial de navegación, correo electrónico, fotografías y vídeos, datos biométricos (por ejemplo, modelos de reconocimiento facial y huellas dactilares), etc.

Por otra parte, el Grupo de Trabajo del Articulo 29 también entiende que existe riesgo grave en la existencia de numerosos actores que intervienen en el desarrollo de aplicaciones, ya que puede propiciar que “un determinado dato puede ser transmitido, en tiempo real, desde el dispositivo para ser procesado en cualquier parte del planeta o ser copiado entre cadenas de terceras partes”.

En relación con las diferentes partes que intervienen en el desarrollo de aplicaciones, el Grupo de Trabajo del Artículo 29 destaca:

• Desarrolladores de aplicaciones.
• Fabricantes de sistemas operativos y de dispositivos.
• Tiendas de aplicaciones.
• Terceras partes.

Para el Grupo de Trabajo del artículo 29 los principales riesgos para los usuarios finales son:

• Falta de transparencia y conocimiento sobre los diferentes tratamientos de datos que se realizan. Aunque los desarrolladores de aplicaciones vienen condicionados por el diseño y funcionalidades del sistema operativo, muchas aplicaciones no cuentan con política de privacidad, ni informan en el momento previo a la instalación sobre las finalidades y usos previstos.
• Ausencia de consentimiento para el tratamiento de datos personales. La mayoría de las aplicaciones en el mejor de los casos tienen un botón o casilla en el que se indica que se han leído y se aceptan los términos y condiciones sin que se posibilite la opción de denegar el consentimiento para el tratamiento de datos.
• Ausencia de cumplimiento del principio de minimización del tratamiento. Por un lado, se pueden recoger datos que no son necesarios para el tratamiento previsto, ya sea por información que recolecta la propia APP o por la generación de permisos de acceso difícilmente justificables para la finalidad del tratamiento, o que los usos de la información recolectada por la APP se destinen a finalidades no compatibles con la finalidad principal del tratamiento como puede ser una cesión de datos a terceros para estudios estadísticos o de mercado.
• Medidas de seguridad escasas o ineficaces que pueden provocar una violación de seguridad. Téngase en cuenta que algunas APPs están pensadas y desarrolladas para controlar y monitorizar el estado de salud del usuario.

Partiendo de los riesgos analizados anteriormente, el DPO deberá actuar sobre los siguientes aspectos:

• Transparencia
• Legitimación del tratamiento
• Minimización del tratamiento
• Seguridad
• Geolocalización

Equipo de profesionales de Govertis