«La nueva Política de Software no deseado de Google, un acercamiento al RGPD», artículo de Javier Arnaiz, abogado de ECIJA, para The Law Clinic.
El control sobre las aplicaciones del smartphone, así como el acceso que estas hacen a los datos personales es, en gran parte, labor del propio usuario, al tener que permitir, o no, el tratamiento de sus datos. En el pasado y, desafortunadamente, en la actualidad, existen numerosas aplicaciones que tratan datos de carácter personal, como, por ejemplo, la geolocalización del usuario, sin ni siquiera informar al interesado de su recogida. No obstante, con el paso del tiempo, se van haciendo reformas de cara a la adecuación de las aplicaciones a las diferentes normativas en protección de datos, informando al usuario y recogiendo su consentimiento para tratar estos datos.
En este sentido, el pasado 1 de diciembre de 2017, Google publicó en su blog una nota informando que había realizado ciertos cambios en su Política de Software no deseado.
Estos cambios, se alinean con lo previsto en el Reglamento General de Protección de Datos (RGPD), que entrará en plena aplicación el 25 de mayo de 2018.
El cambio más significativo de esta actualización es que, a partir de ahora, toda aplicación que trate datos de carácter personal del usuario sin su consentimiento será considerada como software malicioso (entendiendo como dato personal, entre otros, la IP del usuario, su nombre, gustos, preferencias o los datos relativos a la salud del usuario).
Otro de los puntos a destacar de esta actualización, es que en caso de que la aplicación recoja o transmita datos que no guarden relación con su funcionalidad o sean excesivos para la misma (el caso más habitual es recoger la geolocalización en aplicaciones que no lo necesitan para su funcionamiento), se deberá informar al usuario de este hecho, así como recoger su consentimiento expreso para realizar este tratamiento.
Estos cambios aplican a todas las funcionalidades de una aplicación. La nota especifica que, en el caso de la detección, análisis y notificación de errores, esta información no podrá ser comunicada fuera del dispositivo sin haber informado y obtenido el consentimiento previo del usuario.
Otro punto importante a señalar de estas novedades, es que entrarán en vigor a los 60 días de la publicación de la nota (es decir en febrero de 2018) y que el ámbito de aplicación de dicha política afectará tanto a las aplicaciones que estén en Google Play como a aquellas que no lo estén, obligando a las aplicaciones externas a cumplir de igual manera con los cambios mencionados.
El incumplimiento de esta Política de Software no deseado podrá dar lugar a avisos sobre la peligrosidad de las aplicaciones (warnings), que se publicarán a través de Google Play Protect[1] o bien a través de las páginas que dirijan a la descarga de dichas aplicaciones.
Como ya se ha mencionado, estas medidas están en consonancia con el RGPD. Se trata de una actualización de estas condiciones, necesaria sin duda, para acercar Google Play Store a la nueva normativa.
Sin embargo, aunque Google ha empezado a exigir a las aplicaciones que informen al usuario del tratamiento de sus datos personales, no se ha definido los contenidos mínimos de esta información, ni la manera de mostrarla al usuario.
En este sentido, con la entrada en vigor del RGPD, han de tenerse en cuenta una serie de requisitos para informar al usuario, debiéndose incluir la identidad del responsable del tratamiento, los datos del delegado de protección de datos, los fines del tratamiento, los destinatarios de los datos en el caso de que sean comunicados, información sobre las posibles transferencias internacionales de datos, el plazo de conservación de los datos, información sobre los derechos de los interesados, la posibilidad de retirar el consentimiento, la existencia de decisiones automatizadas o elaboración de perfiles o la posibilidad de presentar una reclamación ante la autoridad de control, entre otros.
Esta información se podrá dar al usuario en dos capas, de manera que en una primera se facilite la información básica y ésta enlace a una segunda capa, donde se desarrolle el resto de la información requerida por el RGPD.
Por otra parte, se exige que el usuario consienta el tratamiento de sus datos. En este sentido, la norma recoge que la obtención del consentimiento deberá ser a través de una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Esté punto es importante remarcarlo, pues este consentimiento del usuario requerirá una actuación positiva por parte del interesado para que sea válido. No siendo posible el uso de casillas premarcadas, ni otras formas de consentimiento pasivo del usuario.
Al igual que en el caso de la información al usuario, la recogida del consentimiento no ha sido definida por Google, por lo que habrá que esperar a las prácticas de los desarrolladores de aplicaciones para verificar que ésta recogida sea acorde con los requisitos del RGPD.
En relación con el consentimiento, Google sí ha exigido que los datos tratados sean acordes con la finalidad de la aplicación. Éste es otro de los requisitos del RGPD, pues sólo será válido el consentimiento del interesado para el tratamiento de sus datos personales cuando se haga para uno o varios fines específicos. En este sentido, en el momento que la aplicación recoja los datos del usuario para finalidades que puedan diferenciarse, entre ellas o del propio propósito de la aplicación, se deberá recoger el consentimiento por separado del usuario para cada uno de esos fines.
Con respecto a las comunicaciones de datos, en la misma nota también se ha informado de la necesidad de recoger el consentimiento del usuario. En este punto, será importante no sólo recoger el consentimiento del usuario para proceder a su cesión a un tercero, sino que se informará igualmente de la posibilidad de que estos datos sean tratados fuera del espacio económico europeo, recogiendo el consentimiento del usuario para dicha transferencia internacional (a no ser que esté legitimada por algún otro criterio del RGPD).
Por tanto, la actualización está claramente inspirada en los principios que promulga el RGPD de privacidad por defecto y privacidad por diseño, es decir, tener en cuenta la protección de los datos personales del usuario desde el momento que se diseñen las aplicaciones, así como el tratamiento únicamente de los datos necesarios para la finalidad perseguida, en este caso, por la aplicación.
En definitiva, la actualización de la Política de Software malicioso es sin duda una buena práctica por parte de Google, para permitir a los usuarios controlar el uso de los datos por parte de las aplicaciones de los smartphones. Esta actualización está muy en línea con el RGPD, incorporando muchos de sus conceptos y novedades. Sin embargo, habrá que esperar a ver a la manera de informar y recoger el consentimiento del usuario por parte de las aplicaciones pasa saber si son ajustadas o no a la norma, cuyo fin último es la protección del usuario, evitando las posibles indefensiones derivadas del tratamiento de sus datos por estas aplicaciones.
[1] Google Play Protect es la capa de seguridad de Play Store que analiza todas las aplicaciones instaladas, así como vigila la seguridad del dispositivo. Está instalada por defecto en el todos los dispositivos Android.