Blog

Protecció de Dades

Consultoría de protección de datos

Les recomenacions de l’AEPD per al desplegament d’aplicacions mòbils en l’accés a espais públics

2 juliol, 2020

LES RECOMANACIONS DE L’AEPD PER AL DESPLEGAMENT D’APLICACIONS MÒBILS EN L’ACCÉS A ESPAIS PÚBLICS

 

Recentment, i, davant l’aplicació del Pla per a la Transició cap a una nova normalitat del Ministeri de Sanitat i la previsible volta del turisme, l’AEPD ha volgut pronunciar-se sobre l’ús d’aplicacions mòbils que puguin ajudar tant a empreses com administracions públiques al control i gestió de les restriccions d’aforament o la distància social entre ciutadans.

Tot això, amb l’objectiu de recomanar com configurar i definir el disseny dels tractaments de dades personals d’aquestes aplicacions de manera que compleixi amb el que disposa la normativa de protecció de dades i seguretat de la informació. En conseqüència, l’AEPD ha volgut esforçar-se per regular l’ús de tals tecnologies i explotació dels seus beneficis, sense deixar de banda la correcta salvaguarda dels drets i llibertats fonamentals dels ciutadans.

Cal dir, que l’AEPD no analitza en la seva nota les aplicacions sanitàries, sinó les que exclusivament tenen per objecte el control i gestió d’aforament en espais públics, que recentment s’han proliferat en el mercat. És per això, que l’AEPD comença ressaltant que, en aquest tipus d’aplicacions, per assolir la finalitat perseguida, i en aplicació del principi de minimització, cal justificar la necessitat de realitzar la identificació de les persones.

En aquest escenari, l’AEPD estableix una llista no exhaustiva de recomanacions per als responsables que estiguin avaluant implementar alguna de les solucions tecnològiques com les referides anteriorment. I, donada la seva importància i implicació en el mercat, en el present bloc analitzarem breument aquesta llista de recomanacions de l’AEPD.

D’una banda, l’AEPD remarca que la finalitat del tractament de dades personals ha de quedar “clarament definida i ha de limitar-se a la gestió de mesures de distanciament social tals com el control d’aforament o el control de distància“. Referent a això, no s’informa de res nou, en efecte, el principi de limitació i licitud del tractament de dades implica que la finalitat ha de ser clara i específica, sense possibilitat de tractar aquelles dades per una finalitat diferent de la que inicialment va legitimar el tractament de dades.

D’altra banda, l’AEPD destaca el principi de lleialtat del tractament de dades personals, on s’exigeix ​​que els tractaments que es proposin han de ser realment efectius en relació amb la finalitat i no poden generar falses expectatives de seguretat.

Així mateix, l’AEPD defensa que la implementació de tractaments basats en aplicacions haurà de fonamentar-se en una anàlisi de necessitat i proporcionalitat que determini tant la utilització de l’aplicació com el conjunt de dades mínim necessari per aconseguir els fins que es persegueixen (principi de minimització de dades). Afegeix la AEPD, que “la identitat de l’usuari o el seu seguiment, inclòs l’ús d’identificadors únics de qualsevol mena o aquells procedents del senyal wifi o bluetooth, només podrà tractar si són estrictament necessàries per a la finalitat” de l’aplicació.

També, l’AEPD ha volgut ser molt clara, quan ens indica que “no s’han de tractar categories especials de dades, en particular dades de salut, més enllà de, si és el cas, les estrictament necessàries per gestionar els espais reservats a persones amb discapacitat“. Aquest punt és primordial, ja que el tractament de dades de salut (categoria especial de dades segons la normativa d’aplicació), exigiria d’altres requisits legals i garanties, on la justificació del tractament d’aquestes dades seria difícil donada la finalitat de l’aplicació, excepte en alguns supòsits, com els ciutadans amb discapacitat.

En relació amb la limitació del tractament, cal ressaltar les observacions de l’AEPD, quan diu que aquestes aplicacions no haurien de tractar les dades per a finalitats diferents (com ara la publicitat o xarxes socials), limitant-se a la gestió de les mesures de distància social que justifiquin la implantació de l’aplicació.

En particular, l’AEPD també indica que l’ús de l’aplicació ha de ser de caràcter voluntari, basat en el consentiment de l’usuari per al tractament de les dades personals necessàries per a cadascuna de les funcionalitats que es persegueixen. El tractament ha d’estar basat en un consentiment lliure, informat i específic. En conseqüència, l’ús d’una determinada aplicació, no ha de condicionar l’accés a espais públics, havent de proporcionar alternatives.

D’altra banda, l’AEPD recorda que el responsable del tractament ha de garantir el compliment dels principis del RGPD i LOPDGDD en tots els tractaments que es realitzen, inclosos els relatius a la necessitat de contractes o vincles legals que regulin aquests tractaments quan siguin realitzats per tercers (encarregat del tractament) i les mesures de seguretat adequades.

També, l’AEPD destaca que les dades personals tractats no s’han d’emmagatzemar més enllà del temps necessari per complir amb les finalitats que es persegueixen, i, en tot cas, “han de ser eliminats quan aquestes s’extingeixin, excepte per a aquelles dades que sigui necessari conservar per obligació legal“.

Finalment, l’AEPD recorda que el tractament de dades personals de menors de 14 anys per aquest tipus d’aplicacions, ha de ser consentit pels seus pares o tutors.

En conclusió, si bé les recomanacions de l’AEPD tenen cert caràcter general, en les que es recorda la intersecció entre els principis bàsics de la normativa i aquestes aplicacions, és de vital importància que es tinguin en compte, ja no només en el desenvolupament de l’aplicació, sinó també en la seva implementació en el mercat, funcionament, i posterior manteniment.

En DATAX, som especialistes en l’adequació i implementació de les obligacions legals i millors pràctiques en projectes tecnològics. Amb una llarga trajectòria professional que ens acredita, els nostres clients poden incorporar les seves solucions digitals en el mercat amb la garantia de dissenyar un producte tècnic que vagi en línia amb la normativa vigent en protecció de dades, privacitat i seguretat de la informació.

 

Javier de Zea

Consultor Legal en matèria de protecció de dades i seguretat de la informació

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *