APPS QUE USAN DATOS DE GEOLOCALIZACIÓN SIN AVISAR

/en

El año pasado publicábamos en este blog un breve artículo sobre los riesgos para la privacidad de los usuarios cuando se descargan aplicaciones en su dispositivo móvil, indicando que la mayor parte de las compañías no tenían una política de privacidad o si la tenían era defectuosa en cuanto a la información que tienen que facilitar al usuario para cumplir con la normativa europea en materia de protección de datos[1].

Muchos desarrolladores de aplicaciones de geolocalización pueden procesar datos de localización y otro tipo de datos de un dispositivo móvil independientemente del fabricante del sistema operativo y de los responsables la infraestructura que permite la geolocalización ofreciendo servicios relacionados. Basta con imaginar aplicaciones que te ofrecen información sobre restaurantes cercanos, que te indican la localización de tus amigos, que te permiten la localización del móvil cuando lo pierdes.

1. ¿Qué se entiende por datos de localización y cuando permiten la identificación de una persona?

De acuerdo con la Directiva sobre e-privacidad se entiende por datos de localización cualquier  dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público. Aquí hemos de preguntarnos ¿cuándo un dato de localización recibe la consideración de dato personal?.

Para responder a esta cuestión hemos de acudir a la Directiva sobre protección de datos personales, la cual, se aplica a cualquier información relativa a persona identificada o identificable y para saber si una persona puede ser identificable hay que tener en cuenta, el conjunto de medios que permiten identificar a esa persona.

Se considera identificable toda persona cuya identidad pueda determinarse directa o indirectamente, mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica cultural o social.

En consecuencia, un dato de localización es un dato personal siempre y cuando permita identificar a esa persona directa o indirectamente.

No hemos de olvidar que los dispositivos móviles se encuentran estrechamente asociados a las personas pudiendo identificarlas directamente mediante un identificador único del dispositivo o indirectamente combinando varios datos asociados.

2. ¿Cuáles son las principales tecnologías que permiten prestar servicios personalizados basados en la geolocalización y cuándo aplica la Directiva sobre Privacidad?

Las principales tecnologías son el sensor GPS de los dispositivos móviles y los puntos de acceso Wifi.

La Directiva sobre privacidad se aplica cuando un actor almacena o dispone de acceso a información almacenada en el dispositivo. Requiere como regla general del consentimiento del usuario, salvo que sea estrictamente necesario dicho acceso con el fin de proporcionar un servicio expresamente solicitado por el usuario.

3. ¿Qué precauciones tiene que seguir el desarrollador de una aplicación que usa datos de geolocalización?

El proveedor de una aplicación que permite procesar los datos de geolocalización es el responsable del tratamiento de los datos resultantes de la instalación y del uso de la aplicación.

Para poder usar los datos de geolocalización de los usuarios se necesita[2]:

i)                    Obtener un consentimiento  previo, específico e informado del usuario no basta la mera aceptación de unas condiciones generales.

ii)                   Informar con claridad de los fines concretos para los cuales los datos de geolocalización van a ser tratados de forma que el usuario lo entienda fácilmente.

iii)                 Por defecto, los servicios de localización deben estar desactivados y cuando están activados informarle continuamente de dicho extremo al usuario.

iv)                 Posibilidad de que el usuario si no quiere que traten sus datos una vez facilitado el consentimiento, pueda revocarlo mediante la desinstalación de la aplicación o cualquier otro mecanismo creado a tal efecto.

v)                  Limitar el consentimiento en el tiempo p.e. a un año.

vi)                 Informarle de que puede acceder a sus datos de ubicación, rectificarlos o cancelarlos, así como, que dichos datos han podido ser usados para elaborar perfiles.

vii)  Retener los datos por el mínimo tiempo indispensable para la prestación del servicio y con los propósitos relacionados con la aplicación y asegurarse que los datos de geolocalización así como los perfiles que se cree a partir de los mismos se eliminen después de un período de tiempo justificado.

 


 

 


[1] Directiva sobre Protección de las personas físicas en lo que respecta al tratamiento de datos personales  95/46/CE artículo 7 y disposiciones de la Directiva e-Privacy 2002/58/CE tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas artículo 5.3.

[2] Opinion 13/2011 on Geolocation services on Smart mobile devices 16 de mayo de 2011