Hoy en día, organizaciones de todo tipo, ya sean instituciones gubernamentales o empresas, están utilizando o planeando ofrecer servicios a través de alguna de las apps móviles existentes o decidiendo adquirir una aplicación exclusiva de su propio negocio. Sin embargo, muchas veces no somos consciente de las obligaciones que éstas deben cumplir en su estructura de obtención y uso de información con vistas a la protección de datos personales.
Dichas cuestiones están contenidas en el Reglamento General de Protección de Datos, el RGPD. En este artículo se destaca la importancia de vigilar que las apps que se diseñen y pongan en circulación por las empresas, se ajusten a lo indicado en el reglamento.
Para ello, es importante contar con la colaboración de empresas especializadas en protección de datos que conozcan bien la normativa y ofrezcan el servicio de consultoría, auditoría y desarrollo de proyectos.
Medidas de seguridad RGPD ¿Qué se debe establecer en el contrato?
Para interpretar debidamente el reglamento e introducirlo en los contratos de las apps que se producen y utilizan en las organizaciones, conviene recordar que el objetivo es preservar a las personas físicas, o jurídicas, de un incorrecto uso de su información confidencial, teniendo en cuenta los múltiples factores que influyen en todo el proceso.
El RGPD permite proteger a los usuarios de aplicaciones móviles a través del flujo de datos que va desde la obtención de los mismos y su tratamiento, hasta el uso específico para el que fueron proporcionados. Además, también abarca el posible contacto con instituciones de otros países, hasta llegar al derecho al olvido, es decir, a la eliminación definitiva de la información cuando ya no es utilizada.
Las empresas ya cuentan, seguramente, con avisos de privacidad que, lamentablemente, muchas veces utilizan un lenguaje bastante técnico. Sin embargo, conviene prestar más atención porque, entre las obligaciones que se tienen, está el mantener informados a los usuarios de los siguientes puntos:
– La formulación de un fichero, para qué, para quién y cómo van a ser utilizados.
– Si es obligatorio o no que responda y cuáles serían las consecuencias de no hacerlo.
– Garantizar sus derechos de acceso, rectificación, cancelación y oposición.
– La información de identidad y datos de contacto del responsable del tratamiento de sus datos.
– Los datos de contacto del Delegado de Protección de Datos, si existe.
– El fundamento legal que sostiene el tratamiento que daremos a sus datos.
– El tiempo y criterios de conservación de la información.
– Si están incluidas decisiones automatizadas a lo largo del ciclo de la aplicación.
– Si en algún momento se dará acceso a tratamiento en terceros países.
– El derecho a presentar una reclamación.
Y, además, en el caso en el que los datos se obtengan de fuentes distintas al interesado, qué tipo de datos son y de dónde se obtuvieron.
¿Cómo establecer las medidas de seguridad según el RGPD?
El fin último del RGPD es el de garantizar que los usuarios de las apps móviles den su consentimiento consciente para que obtengan, traten e incluso compartan cierta información que, definitivamente, es personal y que va desde datos demográficos como nombre, dirección, nacionalidad y edad, hasta biométricos como frecuencia cardíaca, temperatura corporal, etc.
Es por ello que representa un gran reto conseguir la clara acción afirmativa del usuario sin convertir esta necesidad de protección del cliente en una molestia para el mismo.
El primer paso es el referente a la obtención de la información. Al respecto, conviene señalar que se realiza a través de distintos medios, es decir, teclado, cámara, micrófono, satélite, etc… Así que el dispositivo deberá presentar una ventana emergente en la que se solicite el consentimiento expreso de la voluntad del usuario de dar sus datos personales.
Posteriormente, se hace el tratamiento la información, que significa el uso que se da a la información obtenida por los distintos medios arriba mencionados y que no debe hacerse fuera de lo expresamente autorizado por el usuario. El siguiente punto de verificación será alguna posible vinculación con otras plataformas, sobre todo de países fuera de la Unión Europea que no tengan la obligación actual de acatar el reglamento. Y el último punto en el que debemos informar a nuestros clientes es la eliminación definitiva de los datos, que debe hacerse cuando ya no haya motivo para conservarlos.
