info@ecija.com

Mes: diciembre 2017

La nueva Política de Software no deseado de Google, un acercamiento al RGPD

Posted on by soporte

«La nueva Política de Software no deseado de Google, un acercamiento al RGPD», artículo de Javier Arnaiz, abogado de ECIJA, para The Law Clinic.

El control sobre las aplicaciones del smartphone, así como el acceso que estas hacen a los datos personales es, en gran parte, labor del propio usuario, al tener que permitir, o no, el tratamiento de sus datos. En el pasado y, desafortunadamente, en la actualidad, existen numerosas aplicaciones que tratan datos de carácter personal, como, por ejemplo, la geolocalización del usuario, sin ni siquiera informar al interesado de su recogida. No obstante, con el paso del tiempo, se van haciendo reformas de cara a la adecuación de las aplicaciones a las diferentes normativas en protección de datos, informando al usuario y recogiendo su consentimiento para tratar estos datos.

En este sentido, el pasado 1 de diciembre de 2017, Google publicó en su blog una nota informando que había realizado ciertos cambios en su Política de Software no deseado.

Estos cambios, se alinean con lo previsto en el Reglamento General de Protección de Datos (RGPD), que entrará en plena aplicación el 25 de mayo de 2018.

El cambio más significativo de esta actualización es que, a partir de ahora, toda aplicación que trate datos de carácter personal del usuario sin su consentimiento será considerada como software malicioso (entendiendo como dato personal, entre otros, la IP del usuario, su nombre, gustos, preferencias o los datos relativos a la salud del usuario).

Otro de los puntos a destacar de esta actualización, es que en caso de que la aplicación recoja o transmita datos que no guarden relación con su funcionalidad o sean excesivos para la misma (el caso más habitual es recoger la geolocalización en aplicaciones que no lo necesitan para su funcionamiento), se deberá informar al usuario de este hecho, así como recoger su consentimiento expreso para realizar este tratamiento.

Estos cambios aplican a todas las funcionalidades de una aplicación. La nota especifica que, en el caso de la detección, análisis y notificación de errores, esta información no podrá ser comunicada fuera del dispositivo sin haber informado y obtenido el consentimiento previo del usuario.

Otro punto importante a señalar de estas novedades, es que entrarán en vigor a los 60 días de la publicación de la nota (es decir en febrero de 2018) y que el ámbito de aplicación de dicha política afectará tanto a las aplicaciones que estén en Google Play como a aquellas que no lo estén, obligando a las aplicaciones externas a cumplir de igual manera con los cambios mencionados.

El incumplimiento de esta Política de Software no deseado podrá dar lugar a avisos sobre la peligrosidad de las aplicaciones (warnings), que se publicarán a través de Google Play Protect[1] o bien a través de las páginas que dirijan a la descarga de dichas aplicaciones.

Como ya se ha mencionado, estas medidas están en consonancia con el RGPD. Se trata de una actualización de estas condiciones, necesaria sin duda, para acercar Google Play Store a la nueva normativa.

Sin embargo, aunque Google ha empezado a exigir a las aplicaciones que informen al usuario del tratamiento de sus datos personales, no se ha definido los contenidos mínimos de esta información, ni la manera de mostrarla al usuario.

En este sentido, con la entrada en vigor del RGPD, han de tenerse en cuenta una serie de requisitos para informar al usuario, debiéndose incluir la identidad del responsable del tratamiento, los datos del delegado de protección de datos, los fines del tratamiento, los destinatarios de los datos en el caso de que sean comunicados, información sobre las posibles transferencias internacionales de datos, el plazo de conservación de los datos, información sobre los derechos de los interesados, la posibilidad de retirar el consentimiento, la existencia de decisiones automatizadas o elaboración de perfiles o la posibilidad de presentar una reclamación ante la autoridad de control, entre otros.

Esta información se podrá dar al usuario en dos capas, de manera que en una primera se facilite la información básica y ésta enlace a una segunda capa, donde se desarrolle el resto de la información requerida por el RGPD.

Por otra parte, se exige que el usuario consienta el tratamiento de sus datos. En este sentido, la norma recoge que la obtención del consentimiento deberá ser a través de una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Esté punto es importante remarcarlo, pues este consentimiento del usuario requerirá una actuación positiva por parte del interesado para que sea válido. No siendo posible el uso de casillas premarcadas, ni otras formas de consentimiento pasivo del usuario.

Al igual que en el caso de la información al usuario, la recogida del consentimiento no ha sido definida por Google, por lo que habrá que esperar a las prácticas de los desarrolladores de aplicaciones para verificar que ésta recogida sea acorde con los requisitos del RGPD.

En relación con el consentimiento, Google sí ha exigido que los datos tratados sean acordes con la finalidad de la aplicación. Éste es otro de los requisitos del RGPD, pues sólo será válido el consentimiento del interesado para el tratamiento de sus datos personales cuando se haga para uno o varios fines específicos. En este sentido, en el momento que la aplicación recoja los datos del usuario para finalidades que puedan diferenciarse, entre ellas o del propio propósito de la aplicación, se deberá recoger el consentimiento por separado del usuario para cada uno de esos fines.

Con respecto a las comunicaciones de datos, en la misma nota también se ha informado de la necesidad de recoger el consentimiento del usuario. En este punto, será importante no sólo recoger el consentimiento del usuario para proceder a su cesión a un tercero, sino que se informará igualmente de la posibilidad de que estos datos sean tratados fuera del espacio económico europeo, recogiendo el consentimiento del usuario para dicha transferencia internacional (a no ser que esté legitimada por algún otro criterio del RGPD).

Por tanto, la actualización está claramente inspirada en los principios que promulga el RGPD de privacidad por defecto y privacidad por diseño, es decir, tener en cuenta la protección de los datos personales del usuario desde el momento que se diseñen las aplicaciones, así como el tratamiento únicamente de los datos necesarios para la finalidad perseguida, en este caso, por la aplicación.

En definitiva, la actualización de la Política de Software malicioso es sin duda una buena práctica por parte de Google, para permitir a los usuarios controlar el uso de los datos por parte de las aplicaciones de los smartphones. Esta actualización está muy en línea con el RGPD, incorporando muchos de sus conceptos y novedades. Sin embargo, habrá que esperar a ver a la manera de informar y recoger el consentimiento del usuario por parte de las aplicaciones pasa saber si son ajustadas o no a la norma, cuyo fin último es la protección del usuario, evitando las posibles indefensiones derivadas del tratamiento de sus datos por estas aplicaciones.

[1] Google Play Protect es la capa de seguridad de Play Store que analiza todas las aplicaciones instaladas, así como vigila la seguridad del dispositivo. Está instalada por defecto en el todos los dispositivos Android.

¿Vuelve a ser legal el uso de cámara oculta?

Posted on by soporte

¿Vuelve a ser legal el uso de cámara oculta?, artículo de Javier López, socio de ECIJA, para The Law Clinic.

Avisábamos la última vez que escribimos un artículo sobre este tema que estaríamos pendientes de las novedades que se produjeran sobre el asunto. Pues bien, se acaba de promulgar la Sentencia 4093/2017, de 23 de noviembre de la Sala 1ª del Tribunal Supremo en relación con un reportaje del programa «Espejo Público» emitido por Antena 3 el 14 de diciembre de 2010, en el que aparecían imágenes del demandante tomadas con cámara oculta. Dicha sentencia supone un auténtico vuelco en el criterio jurisprudencial que permanecía vigente desde hace una década respecto al uso de la cámara oculta, pues desestima la demanda que se había interpuesto por intromisión ilegítima en los derechos al honor, intimidad personal y familiar y propia imagen.

Y es que, el uso de la cámara oculta estaba proscrito para nuestra jurisprudencia desde que se dictó la Sentencia del Tribunal Supremo de 16 de Enero de 2.009, que fue ratificada por la Sentencia 12/2012 del Tribunal Constitucional, que dispusieron que el uso de la técnica de la cámara oculta implicaba, en sí misma y con carácter general, una vulneración de los derechos personalísimos de la persona grabada, con independencia de que la materia que estuviera siendo investigado pudiera ser de interés general, ya que se consideraba que debía priorizarse siempre otros medios para hacer la averiguación periodística. Este planteamiento generaba serios obstáculos prácticos a las investigaciones, ya que no resulta sencillo que alguien que está siendo investigado reconozca por otras vías (por ejemplo, una entrevista) que está realizando determinadas actuaciones, al margen de que la cámara oculta servía para acreditar, sin posibilidad de duda, la veracidad de la información.

La situación permaneció invariada hasta 2015, cuando el Tribunal Europeo de Derechos Humanos dictó una Resolución en el caso de los periodistas suizos Ulrich Mathias Haldimann, Hansjörg Utz, Monika Annemarie Balmer y Fiona Ruth Strebel (Recurso nº. 21830/09), que habían sido condenados por la Corte Suprema de Zurich el 24 de Febrero de 2.009 por el uso de cámaras ocultas en un reportaje de investigación sobre las prácticas ocultas de los corredores de seguros, a pesar de que la cara del corredor de seguros que aparece en el documental fue pixelada y su voz distorsionada. Aunque no era la primera vez que se había reconocido la libertad de los periodistas para decidir sobre los métodos y técnicas para realizar su labor, en esta resolución se indicó expresamente que el uso de la cámara oculta con fines periodísticos en un reportaje sobre un tema de interés general no es ilícito por definición.

Con ello se abría de nuevo la posibilidad de que nuestra jurisprudencia volviera a acoger este criterio tendente a favorecer el Derecho a la Información de los ciudadanos, considerando a la cámara oculta como instrumento garante de la veracidad de la información que se transmite, requisito exigido jurisprudencialmente para considerar que una noticia no vulnera el derecho al honor del afectado. Por tanto, quedaba pendiente que se dictaran resoluciones por nuestro Alto Tribunal (y por el Tribunal Constitucional) en las que se acogiera dicho criterio, recuperándolo en consecuencia para nuestro ordenamiento jurídico.

Ya hubo una aproximación a esta postura en la Sentencia 114/2017, de 22 de febrero, de la Sala 1ª del Tribunal Supremo, que dejó abierta la puerta al uso de la cámara oculta en ciertos casos, aplicando un criterio similar al que hasta ese momento había servido para prohibir su uso con carácter general. En efecto, la Sala asumía la jurisprudencia del Tribunal Constitucional que venía impidiendo el uso de la cámara oculta, pero declarar a continuación: “No obstante, admite que la jurisprudencia de la Sala permite entender que este procedimiento [la cámara oculta] puede no ser ilegítimo si resulta proporcionado al interés público de los derechos registrados, pues no cabe descartar que mediante el mismo se descubran casos de corrupción política o económica al más alto nivel que deban ser conocidos y trasmitidos a la opinión pública con la contundencia inherente a la grabación de la voz”. Y lo más relevante es que en este caso se absolvió a la demandada, que había usado la cámara oculta, por considerar que no se produjo vulneración de los derechos a la intimidad y a la propia imagen de la demandante.

Y ahora se acaba de dictar la Sentencia 4093/2017, de 23 de noviembre a la que hacíamos referencia, en la que se establece, ya con carácter general, “Pese a que la jurisprudencia de esta sala y la doctrina del Tribunal Constitucional parecen no ser totalmente coincidentes por considerar esta última que, en general, existen métodos de la obtención de la información y, en su caso, de la manera de difundirla en que no queden comprometidos y afectados otros derechos con rango y protección constitucional, habrá que convenir que el procedimiento de la cámara oculta puede no ser ilegítimo si resulta proporcionado al interés público de los hechos registrados (lo reitera la reciente sentencia de pleno 114/2017, de 22 de febrero), pues no cabe descartar que mediante el mismo se descubran hechos delictivos (la sentencia 225/2014, de 29 de abril , pone como ejemplo los casos «de corrupción política o económica al más alto nivel», y la sentencia 201/2016, de 31 de marzo , versa sobre un caso de tráfico de animales exóticos por parte de un mando policial), que deban ser conocidos y transmitidos a la opinión pública con la contundencia y poder expresivo inherentes a la grabación de la imagen y la voz.”

Por consiguiente, parece que la jurisprudencia va a reenfocarse en el sentido que hemos seguido defendiendo, incluso durante estos años en los que nuestros Tribunales eran contrarios a ello. Esto es, el uso de la cámara oculta en el Periodismo de Investigación está amparado por el artículo 20 de nuestra Constitución, que consagra el Derecho a la Información, no sólo como un derecho fundamental de cada ciudadano, sino como garantía de una institución política esencial, la opinión pública libre, indisolublemente ligada con el pluralismo político, valor fundamental y requisito de funcionamiento del Estado Democrático.