Ante
la generalización del empleo de aplicaciones en dispositivos móviles, que
implican el tratamiento no sólo de una gran cantidad de datos personales sino
además de datos de una gran trascendencia en relación con la tutela de los
derechos fundamentales del grueso de la población, usuaria de tales
dispositivos, reviste singular importancia la reciente publicación por el
llamado Grupo de trabajo europeo sobre protección de datos del artículo 29
(órgano asesor independiente formado básicamente por las autoridades nacionales
en la materia) de su Dictamen 2/2013, titulado en su versión en inglés (la
única de momento disponible) “Opinion 02/2013 on apps on smart devices”. El documento proporciona un valioso
análisis de los elevados riesgos en materia de protección de datos, partiendo
de la pluralidad de actores relevantes: los numerosísimos creadores de
aplicaciones (con gran frecuencia particulares o entidades de reducido tamaño
carentes de conocimientos acerca de las exigencias de la legislación en materia
de protección de datos), los fabricantes de los dispositivos móviles y sus
sistemas operativos, las tiendas que comercializan aplicaciones (app store) y ciertos terceros, como las
redes publicitarias.
Tras
detallar las categorías de datos personales más frecuentemente tratados en el marco de estas aplicaciones, el documento
valora, con respecto a cada uno de los actores reseñados, en qué medida son
responsables o encargados del tratamiento de datos personales, poniendo de
relieve las obligaciones que derivan de la legislación europea de protección de
datos personales. Particularmente significativo es el análisis de las
implicaciones de la exigencia legal de consentimiento previo específico para el
tratamiento de datos personales, en la medida en que refleja cómo las prácticas
más extendidas en la materia parece encontrarse muy alejadas del estándar legal
imperativo. Conclusión que parece también extensible a otros aspectos de
capital importancia para una efectiva tutela de los datos personales, como las
obligaciones de información a los afectados; el principio de pertinencia o
equilibrio, que restringe los datos que pueden ser tratados y las finalidades
para las que pueden emplearse; así como lo relativo a los plazos de retención
de los datos, ámbito en el que Dictamen reitera que la Directiva 2006/24/CE
relativa a la retención de datos personales, no es aplicable a ese tipo de
aplicaciones ni a otros servicios de la sociedad de la información semejantes, .
Como
cuestión previa el dictamen aborda los aspectos relativos a la determinación de
la ley aplicable, en concreto, al ámbito de aplicación espacial de la
legislación europea en la materia. En línea con la tradicional interpretación
amplia del artículo 4 de la Directiva 95/46/CE (art. 2 LOPD) llevada a cabo por
parte del Grupo de trabajo del artículo 29, a la que me he referido en varias entradas
previas, el documento parte de que, en aquellas situaciones en las que el
responsable del tratamiento no esté establecido en un Estado miembro, la
legislación europea resulta típicamente de aplicación también cuando los
afectados por el tratamiento se encuentran en la UE.
Tal conclusión
deriva de la consideración de que en estos casos el tratamiento de datos tiene
lugar en circunstancias en las que cabe entender que el responsable recurre,
para el tratamiento de los datos personales, a medios situados en el territorio
de un Estado miembro. En concreto, el dispositivo móvil se considera un medio a
estos efectos. Además, en relación con la obligación de obtener el
consentimiento de los afectados con respecto al empleo de archivos o programas
informáticos que almacenan y permiten el
acceso a información en el equipo de usuario -como es el caso de las cookies-, impuesta en el artículo 5.3
Directiva 2002/58/CE modificado por la Directiva 2009/136/CE (art. 22.2 LSSI), el
dictamen, tras reiterar que es aplicable a quienes emplean tales mecanismos en
dispositivos móviles, destaca que la exigencia de consentimiento se proyecta
sobre todos aquellos que ofrecen servicio en la UE (EEE), es decir a personas
residentes en ese territorio, que deben cumplir imperativamente con el estándar
europeo en la materia. Se trata de una cuestión que en el futuro podría estar
prevista de manera más adecuada en el marco legal. Ya me he referido en alguna
otra entrada a que el artículo 3.2 de la Propuesta de Reglamento general de
protección de datos, presentada por la Comisión el 25 de enero de 2012, prevé
que el Reglamento “se aplica al tratamiento de datos personales de interesados
que residan en la Unión por parte de un responsable del tratamiento no
establecido en la Unión, cuando las actividades de tratamiento estén
relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la
Unión; o b) el control de su conducta”.
