Actualmente, existen miles de aplicaciones disponibles para los principales sistemas operativos Android e iOS.
Desgraciadamente, un elevado número de estas apps vulneran la normativa de protección de datos, exponiendo a los usuarios a una utilización no consentida de su información de carácter personal.
Vulneración de la protección de datos personales en las apps
En febrero de este año, una investigación publicada por el International Computer Science Institute, reveló la existencia de más de 17.000 apps de Android que podrían estar infringiendo la política de privacidad de Google.
De acuerdo con esta investigación, estas aplicaciones podrían estar llevando a cabo un registro permanente de la actividad de sus usuarios, para proceder a facilitar a terceros la información recogida sin su consentimiento. Por regla general, los datos se suministrarían a empresas de publicidad.
Cabe señalar que esta circunstancia no es nueva ni exclusiva de los dispositivos Android.
En 2017, el propio Tim Cook amenazó con retirar la app de Uber de la App Store, debido al incumplimiento de sus políticas de privacidad.
Registro no autorizado de datos de carácter personal
Volviendo al hallazgo reciente, las aplicaciones señaladas están combinando el ID publicitario de Google con los marcadores del hardware de cada dispositivo, sin el expreso consentimiento por parte de los usuarios.
El problema añadido de semejante combinación es que el usuario ya no puede recuperar su privacidad, una vez los identificadores son enviados a las empresas publicitarias.
El ID de publicidad de Google puede ser reseteado, pero no así el resto de identificadores ligados a cada dispositivo, los cuales no pueden configurarse para su borrado del registro.
El resultado es que las empresas a las que se han cedido los datos continúan conservando información clave como el IMEI o el Android ID, incluso después de resetear el ID publicitario.
Google recomienda que los desarrolladores de Google Play se limiten a utilizar el ID de publicidad facilitado por la compañía. Sin embargo, una gran parte hace caso omiso de esta recomendación.
Lejos de tratarse de casos aislados, se ha señalado a decenas de aplicaciones que cuentan con cientos e incluso miles de millones de descargas. Tal es el caso de Clean Master, Flipboard, Temple Run 2 o Angry Birds, por mencionar tan sólo un puñado de las más conocidas entre los usuarios españoles.
Advertencia de la AEPD acerca del ecosistema de apps móviles
El pasado marzo, la AEPD (Agencia Española de Protección de Datos) publicó el estudio “Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva”.
Se trata de un estudio dirigido a desarrolladores de apps y responsables de tratamiento de datos personales.
Riesgo de pérdida de control en el tratamiento de datos personales por parte de las apps
En primer lugar, el estudio advierte de que el entorno de las aplicaciones móviles presenta un alto riesgo para la privacidad de la información personal. Concretamente, alerta de las altas probabilidades de que tengan lugar “fugas de información”, y la potencial pérdida de control sobre la misma.
Por otro lado, facilita una serie de guías y metodologías, para garantizar que las políticas de privacidad presentada a los usuarios cumplen con las exigencias del RGPD (Reglamento General de Protección de Datos), y la LOPDGDD (Garantía de los Derechos Digitales).
La responsabilidad proactiva de desarrolladores y distribuidores de apps
El citado informe de la AEPD señala que el responsable directo del tratamiento de los datos no siempre es el propio desarrollador.
Los acuerdos o subcontrataciones para llevar a cabo desarrollos en librerías o entornos de terceros están provocando la aparición de ecosistemas difíciles de supervisar. Evidentemente, esto dificulta la verificación del cumplimiento de la normativa de protección de datos.
Sin embargo, la AEDP advierte que los desarrolladores, los subcontratistas de desarrollos y los distribuidores de apps también están sometidos a la normativa.
Todos ellos deben asegurarse de aplicar los principios de responsabilidad proactiva recogidos por el RGPD:
- Privacidad por defecto.,
- Privacidad desde el diseño.
Con el fin de facilitar el cumplimiento de estas obligaciones, el informe de la AEPD incluye una guía para proceder a una auditoría de la aplicación, y el consiguiente análisis de los flujos de información personal, que tienen lugar en el dispositivo móvil:
- Por un lado, detalla las características del entorno de ejecución de las aplicaciones, junto a sus componentes, los actores involucrados en el tratamiento de los datos, y la descripción del ciclo de vida de los datos.
- Por otro lado, explica cuáles son las principales herramientas y técnicas para llevar a cabo el análisis de los flujos de información de carácter personal.
