Blog

Apps móviles

Consultoría de protección de datos

Las recomendaciones de la AEPD para el despliegue de aplicaciones móviles en el acceso a espacios públicos

2 julio, 2020

Recientemente, y, ante la aplicación del Plan para la Transición hacia una nueva normalidad del Ministerio de Sanidad y la previsible vuelta del turismo, la AEPD ha querido pronunciarse sobre el uso de aplicaciones móviles que puedan ayudar tanto a empresas como Administraciones Públicas al control y gestión de las restricciones de aforo o la distancia social entre ciudadanos.

Todo ello, con el objetivo de recomendar cómo configurar y definir el diseño de los tratamientos de datos personales de dichas aplicaciones de modo que cumpla con lo dispuesto en la normativa de protección de datos y seguridad de la información. En consecuencia, la AEPD ha querido esforzarse para regular el uso de tales tecnologías y explotación de sus beneficios, sin dejar de lado la correcta salvaguarda de los derechos y libertades fundamentales de los ciudadanos.

Cabe decir, que la AEPD no analiza en su nota las aplicaciones sanitarias, sino las que exclusivamente tienen por objeto el control y gestión de aforo en espacios públicos, que recientemente se han proliferado en el mercado. Es por ello, que la AEPD, empieza resaltando que, en este tipo de aplicaciones, para alcanzar la finalidad perseguida, y en aplicación del principio de minimización, hay que justificar la necesidad de realizar la identificación de las personas.

En este escenario, la AEPD establece una lista no exhaustiva de recomendaciones para los responsables que estén evaluando implementar alguna de las soluciones tecnológicas como las referidas anteriormente. Y, dada su importancia e implicación en el mercado, en el presente blog analizaremos brevemente dicha lista de recomendaciones de la AEPD.

Por un lado, la AEPD hace hincapié a que la finalidad del tratamiento de datos personales debe quedar “claramente definida y debe limitarse a la gestión de medidas de distanciamiento social tales como el control de aforo o el control de distancia”. A este respecto, no se informa de nada nuevo, en efecto, el principio de limitación y licitud del tratamiento de datos implica que la finalidad debe ser clara y específica, sin posibilidad de tratar aquellos datos por una finalidad distinta a la que inicialmente legitimó el tratamiento de datos.

Por otro lado, la AEPD destaca el principio de lealtad del tratamiento de datos personales, donde se exige que los tratamientos que se propongan han de ser realmente efectivos con relación a la finalidad y no pueden generar falsas expectativas de seguridad.

Asimismo, la AEPD defiende que la implementación de tratamientos basados en aplicaciones deberá fundamentarse en un análisis de necesidad y proporcionalidad que determine tanto la utilización de la aplicación como el conjunto de datos mínimo necesario para conseguir los fines que se persiguen (principio de minimización de datos). Añade la AEPD, que “la identidad del usuario o su seguimiento, incluido el uso de identificadores únicos de cualquier tipo o aquellos procedentes de la señal wifi o bluetooth, solo podrá tratarse si son estrictamente necesarios para la finalidad” de la aplicación.  

También, la AEPD ha querido ser muy clara, cuando nos indica que “no se deberán tratar categorías especiales de datos, en particular datos de salud, más allá de, en su caso, los estrictamente necesarios para gestionar los espacios reservados a personas con discapacidad”. Este punto resulta primordial, ya que el tratamiento de datos de salud (categoría especial de datos según la normativa de aplicación), exigiría de otros requisitos legales y garantías, donde la justificación del tratamiento de dichos datos sería difícil dada la finalidad de la aplicación, salvo en algunos supuestos, como los ciudadanos con discapacidad.

En relación a la limitación del tratamiento, cabe resaltar las observaciones de la AEPD, cuando dice que dichas aplicaciones no deberían tratar los datos para finalidades distintas (como por ejemplo la publicidad o redes sociales), limitándose a la gestión de las medidas de distancia social que justifiquen la implantación de la aplicación.

En particular, la AEPD también indica que el uso de la aplicación debe ser de carácter voluntario, basado en el consentimiento del usuario para el tratamiento de los datos personales necesarios para cada una de las funcionalidades que se persiguen. El tratamiento deberá estar basado en un consentimiento libre, informado y específico. En consecuencia, el uso de una determinada aplicación, no debe condicionar el acceso a espacios públicos, debiendo proporcionarse alternativas.

Por otro lado, la AEPD recuerda que el responsable del tratamiento deberá garantizar el cumplimiento de los principios del RGPD y LOPDGDD en todos los tratamientos que se realicen, incluidos los relativos a la necesidad de contratos o vínculos legales que regulen dichos tratamientos cuando sean realizados por terceros (encargado del tratamiento) y las medidas de seguridad adecuadas.

También, la AEPD destaca que los datos personales tratados no deben almacenarse más allá del tiempo necesario para cumplir con las finalidades que se persiguen, y, en todo caso, “deben ser eliminados cuando estas se extingan, excepto para aquellos datos que sea necesario conservar por obligación legal”.

Finalmente, la AEPD recuerda que el tratamiento de datos personales de menores de 14 años por este tipo de aplicaciones, debe ser consentido por sus padres o tutores.

En conclusión, si bien las recomendaciones de la AEPD tienen cierto carácter general, en las que se recuerda la intersección entre los principios básicos de la normativa y dichas aplicaciones, resulta de vital importancia que se tengan en cuenta, ya no sólo en el desarrollo de las aplicaciones móviles, sino también en su implementación en el mercado, funcionamiento, y posterior mantenimiento.

En DATAX, somos especialistas en la adecuación e implementación de las obligaciones legales y mejores prácticas en proyectos tecnológicos. Con una larga trayectoria profesional que nos acredita, nuestros clientes pueden incorporar sus soluciones digitales en el mercado con la garantía de diseñar un producto técnico que vaya en línea con la normativa vigente en protección de datos, privacidad y seguridad de la información.

 

Javier de Zea

Consultor Legal en materia de protección de datos y seguridad de la información

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *