HD Joven: El consentimiento informado en las aplicaciones móviles: “Acepto”, ¡“Acepto”!, ¡¡“Acepto”!!

El transcurso cotidiano de la vida no nos permite dar la suficiente importancia a cosas que sin duda la merecen. Entre ese tipo de cosas, probablemente sea de mención la descarga de aplicaciones móviles y la a menudo consiguiente cesión de datos personales a las empresas.

Sucede, en efecto, que, la instalación de una aplicación en el móvil conlleva las más de las veces cierta cesión de información del usuario final a las empresas desarrolladoras. Aplicaciones como Facebook, Messenger, WhatsApp e Instagram, por ejemplo, acceden a los datos almacenados en nuestros dispositivos, y da la impresión de que ninguno damos suficiente importancia a esta circunstancia. Permitimos el acceso de terceros a nuestras listas de contactos, nuestros mensajes, nuestras fotografías, nuestros vídeos y otros datos personales y sin pestañear, con un solo click.

Precisamente a causa de nuestras prisas y ajetreos diarios, el Derecho protege a los usuarios, de forma que obliga a las empresas a facilitar información clara y completa, antes de la introducción y la extracción de datos del dispositivo. Así que ¡no se preocupen! ¡Gloria a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que protege nuestra privacidad! Ahora la pregunta es: ¿se cumple esta ley a rajatabla? ¿Prestamos realmente un consentimiento informado antes de descargar una aplicación?

Para tratar datos personales, el principal fundamento jurídico aplicable es, como no podía ser de otra manera, el consentimiento por parte de quien descarga la aplicación. Una manera de ofrecer a los usuarios finales información sobre las características fundamentales de una aplicación antes de la instalación es requerir de una acción positiva del usuario antes de que la aplicación se descargue y se instale (p.ej., pulsar el botón “instalar”). Sin embargo, es muy probable que, en muchas ocasiones, no se aporte la información suficiente como para considerar aquél un consentimiento válido e inequívoco para la cesión a la empresa del tratamiento de datos tan personales como las fotografías o las conversaciones guardadas en WhatsApp. Estoy seguro de que muchos se escandalizarían al descubrir quiénes han podido –tener la oportunidad de- leer nuestros más íntimos secretos.

Resulta indudable, pues, que el usuario debe tener la opción de aceptar o denegar el tratamiento de sus datos personales. No puede vérselas ante una pantalla que contenga solamente un “Acepto”, que pulse únicamente para completar la instalación cuanto antes, sino que debe tener la oportunidad de detener la instalación de una forma u otra. Por ello, por supuesto, es preciso que la información esté disponible antes que se produzca cualquier tratamiento de datos personales. Ello significa que la simple pulsación del botón “Aceptar” no se considera consentimiento válido para el tratamiento de datos personales; para satisfacer los requisitos legales se debería, por una parte, informar sobre los elementos esenciales del servicio y, en segundo lugar, solicitar el consentimiento específico para cada uno de ellos.

Si una aplicación ofrece, por ejemplo, información sobre hoteles cercanos, para instalarla, el desarrollador debe obtener el consentimiento del usuario previamente, es decir, debería solicitar el acceso a los datos de geolocalización. Pero, prestado el consentimiento por el usuario, la aplicación sólo puede acceder a los datos de localización del dispositivo para procesar los datos, de manera que cualquier otro tratamiento de datos requerirá, nuevamente, información adicional y concreta respecto del servicio prestado, también concreto, y un consentimiento inequívoco y por separado que habilite a la empresa a su prestación. Lo mismo ocurre en las aplicaciones de running, que ofrecen una función para que el usuario pueda registrar todo el recorrido y los kilómetros que ha hecho: el consentimiento de registro se limitaría al tiempo en que el programa este activado y todo registro diferente a la localización y kilómetros que haga la misma aplicación se consideraría probablemente excesivo y, por consiguiente, ilícito.

A pesar de lo anterior, lo cierto es que los desarrolladores de aplicaciones sí pueden tratar ciertos datos personales, siempre y cuando no sean sensibles, sin necesidad de recabar el consentimiento del usuario, en la medida en que determinado tratamiento de datos sea estrictamente necesario para realizar el servicio deseado. Como ustedes sabrán, en una aplicación de banca móvil, para atender a la solicitud de pago, el banco no nos solicita el consentimiento por separado del usuario para revelar el nombre, por una parte, y número de cuenta personal, por otra. Como es lógico, esa información es estrictamente necesaria para ejecutar el contrato con ese usuario concreto y, en este caso, los derechos y libertades fundamentales del usuario no resultan objeto de mayor proteccionismo legal. Eso sí: desde el momento en que el tratamiento de esos datos se vuelve excesivo e inadecuado a las distintas finalidades del servicio prestado, el tratamiento requiere de un nuevo y concreto consentimiento, o se considerará directamente ilegal.

Así pues, en vista de las irregularidades que se podrían cometer por parte de algunos desarrolladores de aplicaciones, derivadas fundamentalmente de la no obtención previa de un consentimiento válido e informado, ya sea porque recogen datos de manera desproporcionada o porque no son necesarios para el uso de la aplicación, el ordenamiento nos da la posibilidad de suplir esa pereza que nos suscita la lectura de condiciones particulares extensas o de exigir protección cuando, aun habiendo leído esas condiciones, se produce una vulneración referente al tratamiento de datos de la misma. Desafortunadamente, es un remedio y, por tanto, a posteriori (una vez ya cometida la infracción).

A este respecto, la Ley Orgánica de Protección de Datos de Carácter Personal permite sancionar a las empresas cuando se acredite un mal uso en el tratamiento de datos de sus usuarios. Las sanciones, por cierto, pueden alcanzar los 300.000 euros. A fin de evitar un buen disgusto a las empresas, es preciso que los fines del tratamiento de esos datos estén bien definidos y sean comprensibles para un usuario medio. El responsable del tratamiento de los datos debe informar sobre quién es, qué datos va a recopilar, para qué usos o finalidades, si esa información será cedida a terceros y la forma que tiene el usuario para revocar su consentimiento y cancelar sus datos. Además, los usuarios de aplicaciones deben tener siempre la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Mi consejo es que los usuarios no confíen tanto en la ley y que se informen, que conozcan para qué serán tratados sus datos, y así eviten sorpresas. Para las desarrolladores de aplicaciones, por su parte, mi consejo es, como se suele decir, “mejor prevenir que curar”; mejor no arriesgarse en incumplir con la normativa, ya que de resultar ser infractor podría comportar sanciones importantes, y, ante la duda, sin propósitos comerciales lo digo, siempre puede uno contactar con un abogado especialista.

Fuente: hayderecho

Los comentarios están cerrados.