viernes, 22 de marzo de 2013

Protección de datos personales en las aplicaciones móviles


            Ante la generalización del empleo de aplicaciones en dispositivos móviles, que implican el tratamiento no sólo de una gran cantidad de datos personales sino además de datos de una gran trascendencia en relación con la tutela de los derechos fundamentales del grueso de la población, usuaria de tales dispositivos, reviste singular importancia la reciente publicación por el llamado Grupo de trabajo europeo sobre protección de datos del artículo 29 (órgano asesor independiente formado básicamente por las autoridades nacionales en la materia) de su Dictamen 2/2013, titulado en su versión en inglés (la única de momento disponible) “Opinion 02/2013 on apps on smart devices”. El documento proporciona un valioso análisis de los elevados riesgos en materia de protección de datos, partiendo de la pluralidad de actores relevantes: los numerosísimos creadores de aplicaciones (con gran frecuencia particulares o entidades de reducido tamaño carentes de conocimientos acerca de las exigencias de la legislación en materia de protección de datos), los fabricantes de los dispositivos móviles y sus sistemas operativos, las tiendas que comercializan aplicaciones (app store) y ciertos terceros, como las redes publicitarias.

            Tras detallar las categorías de datos personales más frecuentemente tratados en  el marco de estas aplicaciones, el documento valora, con respecto a cada uno de los actores reseñados, en qué medida son responsables o encargados del tratamiento de datos personales, poniendo de relieve las obligaciones que derivan de la legislación europea de protección de datos personales. Particularmente significativo es el análisis de las implicaciones de la exigencia legal de consentimiento previo específico para el tratamiento de datos personales, en la medida en que refleja cómo las prácticas más extendidas en la materia parece encontrarse muy alejadas del estándar legal imperativo. Conclusión que parece también extensible a otros aspectos de capital importancia para una efectiva tutela de los datos personales, como las obligaciones de información a los afectados; el principio de pertinencia o equilibrio, que restringe los datos que pueden ser tratados y las finalidades para las que pueden emplearse; así como lo relativo a los plazos de retención de los datos, ámbito en el que Dictamen reitera que la Directiva 2006/24/CE relativa a la retención de datos personales, no es aplicable a ese tipo de aplicaciones ni a otros servicios de la sociedad de la información semejantes, .
            Como cuestión previa el dictamen aborda los aspectos relativos a la determinación de la ley aplicable, en concreto, al ámbito de aplicación espacial de la legislación europea en la materia. En línea con la tradicional interpretación amplia del artículo 4 de la Directiva 95/46/CE (art. 2 LOPD) llevada a cabo por parte del Grupo de trabajo del artículo 29, a la que me he referido en varias entradas previas, el documento parte de que, en aquellas situaciones en las que el responsable del tratamiento no esté establecido en un Estado miembro, la legislación europea resulta típicamente de aplicación también cuando los afectados por el tratamiento se encuentran en la UE.
Tal conclusión deriva de la consideración de que en estos casos el tratamiento de datos tiene lugar en circunstancias en las que cabe entender que el responsable recurre, para el tratamiento de los datos personales, a medios situados en el territorio de un Estado miembro. En concreto, el dispositivo móvil se considera un medio a estos efectos. Además, en relación con la obligación de obtener el consentimiento de los afectados con respecto al empleo de archivos o programas informáticos que almacenan  y permiten el acceso a información en el equipo de usuario -como es el caso de las cookies-, impuesta en el artículo 5.3 Directiva 2002/58/CE modificado por la Directiva 2009/136/CE (art. 22.2 LSSI), el dictamen, tras reiterar que es aplicable a quienes emplean tales mecanismos en dispositivos móviles, destaca que la exigencia de consentimiento se proyecta sobre todos aquellos que ofrecen servicio en la UE (EEE), es decir a personas residentes en ese territorio, que deben cumplir imperativamente con el estándar europeo en la materia. Se trata de una cuestión que en el futuro podría estar prevista de manera más adecuada en el marco legal. Ya me he referido en alguna otra entrada a que el artículo 3.2 de la Propuesta de Reglamento general de protección de datos, presentada por la Comisión el 25 de enero de 2012, prevé que el Reglamento “se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión; o b) el control de su conducta”.