Desarrollar una aplicación móvil tiene muchas consecuencias desde el punto de vista de la protección de datos. Tantas que es casi imposible detallarlas todas en un solo artículo como el presente. Sin embargo, cualquier desarrollador debería tener claras como mínimo unas nociones esenciales del marco legal en el que se mueve. No ser consciente de ello tiene sus riesgos.
El año pasado, la Agencia Española de Protección de Datos (AEPD) sancionó a Miraclia Telecomunicaciones, S.L. por su aplicación de bromas telefónicas "Juasapp". Mediante esta aplicación los usuarios podían programar llamadas telefónicas a conocidos suyos a los que quisieran gastarle una suerte de inocentada digital: la aplicación llamaba al número proporcionado y reproducía uno de los guiones posibles; también permitía grabar el resultado para que el usuario compartiera el audio de la broma con quien quisiera.
En sus textos legales, los desarrolladores de Juasapp avisaban de que el usuario era el único responsable del uso o mal uso del número de teléfono proporcionado, así como del hipotético audio. Además suprimían de inmediato los datos de los afectados que se quejaran. Con ello creían estar exentos de responsabilidad... pero como se pudo ver, no era así.
La AEPD, de hecho, respondió a estas alegaciones diciendo que Juasapp hacía un tratamiento de datos sin contar con el consentimiento de los interesados o sin que mediara ninguna otra base legal justificativa. A la Agencia, además, le pareció insuficiente que Miraclia alegara que los usuarios se comprometían a obtener dicho consentimiento (lean el Fundamento de Derecho II del texto enlazado arriba para tener más detalles).
Lo que nos lleva de vuelta al planteamiento inicial: no basta con creer que se está actuando bien, sino que hace falta tener una completa seguridad al respecto.
A la hora de desarrollar aplicaciones, los riesgos en el tratamiento de datos se multiplican. Y muchas veces no se es consciente de ello.
Seguro que a muchos desarrolladores como mínimo les suenan las obligaciones de información que tienen cuando traten datos ajenos. También puede sonar -aunque sea de forma tan vaga como a los responsables de Miraclia- la obligación de contar con los oportunos consentimientos, en caso de que sean necesarios. Pero la cosa es más complicada.
Por ejemplo, hay que evaluar si las medidas de seguridad aplicadas son las más oportunas teniendo en cuenta los tratamientos que hagamos.
Hay que ser conscientes de los derechos que tienen los interesados y de cómo responder ante su ejercicio. Hay que saber qué hacer en caso de una violación de la seguridad de los datos (sobre todo porque apenas tenemos un plazo legal de 72 horas para reaccionar). En muchas ocasiones, por la utilización creativa de nuevas tecnologías que tienen las "apps", también será necesario hacer una evaluación de impacto previa.
Además de estos elementos "visibles", resulta oportuno ser consciente de aquellos que no son tan patentes. Por ejemplo, es común a la hora de desarrollar aplicaciones usar bibliotecas de terceras partes. ¿Cumplen estas bibliotecas -que pueden haber sido creadas fuera de Europa- las obligaciones legales del RGPD para tratar datos ajenos? Si no lo hacen, el desarrollador de la "app" que las use puede acabar siendo responsable por un incumplimiento legal.
También hay que recordar que un dato de carácter personal es "toda información sobre una persona física identificada o identificable". Lo que implica que tratar la voz o información sobre su posición GPS o cualquier resultado obtenido de los sensores internos de un teléfono puede muy a menudo ser un dato de carácter personal... aunque la aplicación móvil no esté recopilando nombres o números de teléfono (y es una errónea creencia muy extendida pensar que solo son "datos personales" estas cadenas alfanuméricas).
En resumen, pues, los riesgos legales al desarrollar aplicaciones móviles son superiores a la media, en lo que se refiere al tratamiento de datos personales. Y sin embargo, el conocimiento de esos riesgos es muy inferior, cosa que es recomendable cambiar. La AEPD ha publicado recientemente una guía que permite dar unos primeros pasos en este sentido. En caso de que las dudas persistan, siempre es buena idea preguntar a un profesional.
Fabián Plaza Miranda, Auren Abogados y asesores Fiscales
