La Agencia Española de Protección de Datos (AEPD) ha publicado dos documentos técnicos en los cuales aconseja qué mecanismos deben seguir los desarrolladores de las aplicaciones web para implementar adecuadamente el Reglamento de Protección de Datos (RGPD). El sistema operativo de Google ha sido señalado por la agencia debido a que no cumple la normativa actual.
Por qué y en qué aspectos el sistema operativo de Google no cumple el reglamento europeo
La AEPD ha investigado a los sistemas de Google con la consideración final de que no cumple el actual reglamento de datos. La razón principal es que se muestran anuncios personalizados a los usuarios y cuentan con aplicaciones que permiten hacer capturas de pantalla sin consentimiento. Google también deberá adoptar en su software las medidas necesarias para la implementación del reglamento.
Los anuncios personalizados que se muestran en Android
Los sistemas Android cuentan con un identificador único en cada uno de sus dispositivos móviles. Esto se traduce en que los usuarios son bombardeados con anuncios personalizados en sus dispositivos.
El sistema operativo de Google ofrece la posibilidad de que el usuario pueda desactivar dicho identificador de publicidad a través de los ajustes de su teléfono móvil. No obstante, cuando se desactiva, aun deshabilitado, Google realiza la comunicación a las empresas de publicidad, las cuales pueden seguir mandando anuncios personalizados al no poder respetar dichas prioridades de los usuarios.
Igualmente, otro problema de cara al cumplimiento reglamentario es que cuando se desactiva en ajustes el identificador, las empresas pueden seguir elaborando una serie de perfiles que analicen las preferencias y los distintos comportamientos de los usuarios. Tampoco es una solución el hecho de restablecer un móvil Android en sus valores de fábrica, pues los identificadores volverán a activarse por defecto. De nuevo, recae en el usuario la opción de desactivarlo o no, pero muchas veces las personas desconocen esta opción.
De acuerdo con el RGPD, el proceso que utilizan los móviles Android en sus dispositivos debería estar instaurado en sentido contrario. El hecho de que la opción de los identificadores de anuncios personalizados esté marcada desde el inicio y sin preguntar al usuario vulnera el principio de privacidad desde el diseño y por defecto. Este principio es uno de los novedosos y más importantes de la normativa, que ha obligado a muchas empresas a cambiar sus antiguas prácticas de casillas premarcadas para el envío de publicidad.
La AEPD, además de contar con documentos de recomendaciones a los desarrolladores de aplicaciones web, recuerda que el envío de datos personales a terceros requiere una legitimación, pues es un tratamiento de datos que debe cumplir cada uno de los requisitos que el reglamento exige. Debido a esta falta de legitimación, el envío de datos y la consecuente aparición de anuncios personalizados se consideran ilícitos. Y dentro de dichos requisitos, uno de los más relevantes en este caso es el de minimización de datos.
En definitiva, la AEPD ha publicado un documento tanto para los desarrolladores como para los usuarios llevando a cabo un análisis de Android. En él, la consideración final es que el sistema operativo infringe la normativa europea debido a la forma en la que estas aplicaciones utilizan los identificadores para los anuncios personalizados y debido a cómo solicitan el permiso para acceder a grabaciones en las pantallas de sus dispositivos, lo cual se desarrolla a continuación.
Las aplicaciones web de Android hacen capturas de pantalla sin informar a sus usuarios
Otro de los anuncios que ha realizado la AEPD se basa en que desde 2014 Android está dando permisos a algunas de sus aplicaciones para realizar capturas de pantalla en el dispositivo móvil y enviarlas fuera de él. Existen ya numerosas aplicaciones que piden permiso a los usuarios para poder tener acceso a las pantallas de los móviles, pero la información no es correcta ni completa.
Además, a diferencia de lo que ocurre con los identificadores de publicidad personalizada, el usuario no cuenta con la opción de poder ver por sí mismo si el permiso está o no activado. Por tanto, tampoco cuenta con la opción de deshabilitarlo. Aunque el consentimiento es uno de los requisitos fundamentales de la normativa comunitaria, se está incumpliendo al no informarse al usuario sobre el objetivo del tratamiento de sus datos, por lo que dicho consentimiento estaría viciado.
Del mismo modo, estas aplicaciones que realizan capturas de pantalla con un consentimiento dudoso tampoco están cumpliendo con el principio de transparencia. Al respecto, Google ha respondido a la AEPD que ha recibido correctamente sus informes y que va a proceder a su análisis para las posteriores alegaciones ante la misma.
Trabajo por delante para la AEPD
En conclusión, son varios los principios del RGPD que están siendo vulnerados de acuerdo con la investigación llevada a cabo con la AEPD. La normativa de protección de datos es aún reciente y, aunque debiera estar completamente implantada desde mayo de 2018, la realidad es que todavía queda mucho camino por delante para alcanzar su plena efectividad.
