Introducción
El procedimiento sancionador del Reglamento General de Protección de Datos (RGPD) entrará en vigor el 25 de mayo. Con él se pretende armonizar toda la legislación de los países miembros de la Unión Europea y avanzar en la protección de los derechos de los ciudadanos. La Ley de Protección de Datos de 1999 quedará vigente en lo que no se oponga al citado Reglamento y tendrá que adaptarse a él con la consiguiente modificación de su articulado.
El RGPD tiene como objetivo aumentar el control de las empresas sobre los datos de sus clientes y dotar a los usuarios de mayor control sobre sus datos personales. ¿Y cómo lo consigue? Pues en primer lugar protegiendo al ciudadano frente a las grandes empresas que operan en internet y que tienen sus sedes fuera de la Unión Europea. A partir de ahora, los derechos de los ciudadanos están protegidos siempre que la empresa preste servicios u ofrezca bienes en el UE, independientemente de dónde esté su sede principal.
Por tanto, las empresas deben adaptarse al RGPD antes del 25 de mayo. Infringirlo puede acarrear multas de hasta el 4 % de la facturación anual con un límite de 20 millones de euros. Esto aplica tanto a las empresas como a los autónomos que manejen datos personales de sus clientes, así como a las empresas públicas y asociaciones.
Entonces, ¿qué pasa con las apps y el RGPD?
Las aplicaciones móviles han requerido de nuestros datos siempre. Pero ahora los usuarios van a demandar mayor control y transparencia. Seguirá habiendo recogida de datos en la app, pero estos tienen que tener un propósito claro, ser adecuados y tener el consentimiento del usuario.
Estos cambios afectarán al desarrollo del producto en las nuevas apps, que se hará teniendo en mente el RGPD y necesariamente demandarán cambios en las aplicaciones móviles ya existentes. Repasamos a continuación los aspectos de la RGPD que más nos afectan:
1- Derecho al olvido.
El derecho de supresión, también llamado derecho al olvido, permite a los usuarios de la UE solicitar información sobre los datos que han proporcionado. Y también pueden enviar una solicitud para eliminar dicha información. Una empresa que recibe cualquiera de estas solicitudes debe cumplir este requerimiento en el plazo de 10 días siempre que haya terminado la finalidad para la cual se recogieron. Si los datos cancelados hubieran sido previamente cedidos, la empresa deberá comunicar la cancelación en el mismo plazo.
Además, las empresas deberán eliminar los datos cuando la finalidad para la que se proporcionaron desaparezca.
→Ponlo en práctica: incluye en tu política de privacidad el derecho del usuario a solicitar el acceso, rectificación, supresión o limitación en el tratamiento de sus datos en tu política de privacidad. Debe quedar clara la dirección electrónica en la que se pueden interponer estos derechos, ya que se recogieron por vía telemática y el usuario tiene derecho a solicitar la cancelación por el mismo medio.
2- Consentimiento explícito.
La app debe requerir el consentimiento explícito de los usuarios para recoger, usar y ceder sus datos. El consentimiento debe ser:
- libre: debe prestarse en un marco de absoluta libertad, no puede estar condicionado a la obtención de una oferta por ejemplo.
- especifico: se debe recabar el consentimiento para cada una de las finalidades para las que se solicita. Si requerimos los datos para la prestación de un servicio en la app pero a la vez los vamos a utilizar para crear campañas de marketing, debemos especificarlo y recibir autorización del usuario para cada uno de los usos.
- informado: hay que comunicar al usuario sobre el responsable del tratamiento, la finalidad para la que se recogen los datos, cómo se tratarán esos datos y los derechos que sobre los mismos tiene el usuario de la app.
- inequívoco: al usuario de la app no le debe quedar duda de que está prestando los datos para la finalidad requerida.
El RGPD establece nuevas pautas para el tratamiento de datos de menores. Como regla general, los menores pueden prestar su consentimiento a partir de los 16 años, aunque cada país miembro puede establecer una edad menor con el tope de 13 años. En España, se considera válido el consentimiento de los menores que hayan cumplido 13 años, mientras que los menores de esta edad necesitarán la aprobación de los que ostenten su patria potestad o tutela (de ambos en caso de que sea compartida). Por otro lado, el RGPD en su artículo 8.2 no es muy estricto a la hora de verificar que esta edad sea la cierta y sólo conmina al responsable de los datos a que haga un esfuerzo razonable teniendo en cuenta el estado de la tecnología.
Los principales marketplace no se quedan atrás e intentan evitar que se acceda a datos personales del usuario de la app sin su consentimiento. La Directriz de Revisión de la App Store, en sus secciones 5.1 y 5.2, establece que la app no puede transmitir datos de localización del usuario sin su consentimiento expreso, ni para un fin no autorizado. Y por su parte, Google Safe Browsing para Android obliga a las aplicaciones a mostrar su política de privacidad y detecta las apps que utilizan datos sin el consentimiento del usuario.
→Ponlo en práctica: la app debe incluir una vista en la que aparezca la política de privacidad y avisos legales o un enlace que dirija a una landing que contenga estos textos. Ten en cuenta que los menores leerán los consentimientos dirigidos a recabar sus datos, por lo que el texto que muestres debe ser sencillo y de fácil comprensión.
Introduce una casilla para cada propósito que requiera consentimiento, y bloquea la posibilidad de envío hasta que no se hayan autorizado por el usuario. No dejes casillas marcadas por defecto, está expresamente prohibido en el RGPD.
Gestiona los consentimientos a través de una plataforma que te permita demostrar que el usuario de la app consintió y que elimine automáticamente de la base de datos a aquellos que soliciten la supresión de sus datos.
3. Notificación de brechas de seguridad.
Si se produce un hackeo de la app, tan pronto como el responsable del tratamiento tenga constancia de que se ha producido una violación de seguridad de los datos personales de los usuarios, debe notificarlo a la autoridad de control competente sin dilación indebida y en un máximo de 72 horas.
Además, según el RGPD el responsable del tratamiento debe comunicar al usuario sobre la fuga de sus datos personales o la violación de su privacidad. También debe informarse de las circunstancias en las que se ha producido tal violación.
No será necesaria la notificación si la filtración no afecta a datos personales de los usuarios ni a su intimidad, tampoco cuando los datos estén debidamente cifrados. Esta excepción no se aplica a determinadas categorías de datos como los bancarios por ejemplo.
→Ponlo en práctica: en primer lugar implementa las medidas de seguridad adecuadas y forma a tu personal para que esto no ocurra. Si finalmente debes notificar a la autoridad de control sobre la brecha de seguridad, debes redactar un documento que contenga el número de interesados afectados, los tipos de datos, el contacto del delegado de protección de datos en el caso de que este puesto sea obligatorio en tu compañía, las consecuencias de la filtración y las medidas adoptadas o propuestas para atenuar sus efectos.
4- La privacidad por diseño.
La privacidad por diseño no es un concepto novedoso, pero sí se convierte en requisito legal. Para su cumplimiento, la protección de datos y la privacidad del usuario deben ser considerados al inicio y durante todo el ciclo de desarrollo del proyecto.
→Ponlo en práctica: en el desarrollo de la app, hay que garantizar la seguridad de los datos del usuario y su intimidad desde la conceptualización del proyecto. Sólo deben acceder a los datos los empleados a cargo del proceso. Firma con tus empleados un documento de confidencialidad y un contrato de confidencialidad con los colaboradores que tengan acceso a los datos.
5. Transferencias internacionales de datos.
La transferencia de datos más allá de las fronteras de la Unión Europea es uno de los puntos más importantes del RGPD, y primordial para prestar servicios tecnológicos pues muchos de los servidores que utilizamos se encuentran fuera de la UE. Según el reglamento europeo, estas transferencias de datos podrán hacerlas tanto el responsable como el encargado del tratamiento. Los supuestos en los que se podrá realizar la transmisión de datos sin autorización del órgano de control competente son los siguientes:
- Transferencias basadas en una decisión de adecuación (art. 45 RGPD): con países que la Comisión considera que tienen un nivel de protección adecuado. En el caso de Estados Unidos, sólo las empresas adheridas al Privacy Shield.
- Transferencias mediantes garantías adecuadas (art. 46 RGPD): se establecen unas determinadas garantías tasadas reglamentariamente que los países terceros deberán cumplir con el fin de prescindir de autorización administrativa.
- Transferencias basadas en normas corporativas vinculantes (art. 47 RGPD): se trata de normas para garantizar el tratamiento de datos entre empresas del mismo grupo localizadas en distintos países.
→Ponlo en práctica: revisa todos los servidores o plataformas que presten servicio en la nube y que contengan datos de tu app o de tu compañía, lee sus políticas de privacidad para comprobar que garantizan un nivel de protección adecuado. Te será útil este enlace que muestra las empresas estadounidenses que se acogen al Privacy Shield https://www.privacyshield.gov/list
*actualización julio 2020: El TJUE invalida el Privacy Shield para las transferencias de datos a terceros países fuera de la Unión Europea, aunque sigue considerando válidas las cláusulas contractuales tipo (SCC).
Este nuevo desafío que supone la adecuación al RGPD debe afrontarse como una gran oportunidad de diferenciarnos de la competencia, apostando por la salvaguarda de la confianza del usuario de la app.