La AEPD publica unas directrices para el desarrollo de apps móviles de educación y salud
- Normativa
La Agencia Española de Protección de Datos ha publicado las directrices sobre el deber de informar y otras medidas de responsabilidad proactiva para las empresas responsables del tratamiento de datos en aplicaciones móviles, los desarrolladores de las apps y creadores de librerías en dos ámbitos: el educativo y el de salud y bienestar.
La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica que incluye directrices sobre el deber de informar y otras medidas de responsabilidad proactiva cuando se desarrollan aplicaciones móviles para el sector educativo y apps de seguimiento de la actividad física, bienestar y salud.
El documento, dirigido tanto a organizaciones responsables del tratamiento de datos de aplicaciones móviles como a los desarrolladores de las mismas y de librerías, tiene como objetivo detectar prácticas que puedan resultar lesivas para la privacidad de los usuarios, aportando soluciones o alternativas a los agentes implicados que fomenten el principio de responsabilidad proactiva.
Para la elaboración de la nota, realizada conjuntamente con la Universidad Politécnica de Madrid bajo la dirección de la AEPD, se han analizado las diez apps más descargadas en el principal mercado de aplicaciones de cada uno de los ámbitos objeto de estudio, incluyendo apps tanto de pago como gratuitas.
Una parte de las directrices incorporadas en la nota técnica se enmarcan en la obligación de informar que recoge la normativa europea de protección de datos (GDPR, en su acrónimo inglés). Dentro de este apartado se recogen aspectos de cumplimiento de especial relevancia, como la necesidad de garantizar un acceso sencillo a la política de privacidad de la aplicación; identificar claramente al responsable; ofrecer una información clara y consistente tanto en la tienda de aplicaciones como en la propia aplicación, o de ofrecer un lenguaje adecuado a la edad y grado de conocimiento del usuario, entre otras.
El resto de indicaciones están centradas en el supuesto de que los responsables encarguen el desarrollo, puesta en producción, y/o explotación de aplicaciones a otras empresas que tengan acceso a datos personales. En este caso, recuerdan los requisitos normativos que deben cumplirse en cada uno de los casos, entre los que se incluye la necesidad de regular el tratamiento de datos por contrato o vínculo legal, así como de adoptar buenas prácticas y tener en cuenta la privacidad desde el diseño y por defecto desde el momento en que se concibe la app.
Entre las conclusiones de la nota técnica, la AEPD recuerda que cuando una aplicación solicite al usuario permiso para acceder a datos obtenidos a partir de sensores y almacenes de datos del móvil, esta información debe quedar reflejada de forma apropiada en la política de privacidad y se debe explicar con qué fin se van a tratar esos datos para que el usuario pueda decidir en consecuencia.
