La Agencia Española de Protección de Datos ha publicado una nota técnica en la que detalla una serie de directrices que se deben seguir a la hora de crear apps para móviles. Este documento está dirigido tanto a los responsables de tratamiento que se embarquen en el desarrollo de una aplicación, así como a todos aquellos profesionales que presten servicios de desarrollo y que actúen, por tanto, como encargados de tratamiento.
De las 26 directrices de las que consta el documento subyace un enfoque muy marcado hacia la transparencia y la claridad. Para la AEPD, el usuario debe tener muy claro qué datos va a recabar la app, para qué los necesita, como los va a utilizar y durante cuanto tiempo. Esta información, por tanto, debe ser presentada de un modo claro y accesible desde un lugar prominente y fácilmente accesible dentro de la app. Además, la información debe también estar disponible en la propia tienda de aplicaciones de modo que el usuario pueda hacerse una idea clara de los requerimientos antes de descargársela.
Dada la gran variedad de públicos que utilizan apps, la AEPD hace también hincapié en la necesidad de utilizar un lenguaje acorde con la franja de edad a la que la app se dirija. Además, aconseja huir de términos legales confusos. Por ejemplo, una app que se dirija al público infantil debe de adaptar el lenguaje de su política de privacidad para que pueda ser entendido por este segmento de la población.
El documento también menciona la necesidad de solicitar tan solo los permisos imprescindibles para el uso de la app y evitar el acceso genérico a todas las funciones del teléfono. Por ejemplo, si una app no requiere el uso de la cámara de fotos o del GPS, no debería incluir este permiso. Además, no se puede coartar al usuario a aceptar todos los permisos, sino que se debe permitir una selección granular que permita al usuario escoger el nivel de acceso a sus datos que tenga la app.
En caso de que la app vaya a elaborar perfiles de usuario sobre los que se tomen decisiones automatizadas, algo muy habitual en la publicidad online, se debe advertir de la lógica de estos perfiles y estas decisiones.
En el caso de que se encargue el desarrollo de la app a un proveedor externo, debe existir un contrato que establezca todos los detalles relativos a la protección de datos de modo que el encargado de tratamiento sea consciente de todas sus obligaciones. El encargado de tratamiento se limitará a seguir las instrucciones del responsable y, por lo tanto, no tendrá la posibilidad de introducir nuevos tratamientos de datos a espaldas del responsable. Esto es algo relativamente habitual ya que un desarrollador puede introducir la app en un programa de publicidad sin el consentimiento del responsable y sin que éste pueda mencionar tal hecho en la política de privacidad.
Un simple vistazo a la tienda de aplicaciones de Android o Apple nos permitirá comprobar que abundan las apps que no cumplen con alguno de las 26 directrices planteadas por la AEPD. Este documento será por lo tanto de gran ayuda para empresas y desarrolladores a la hora de crear aplicaciones móviles más seguras y respetuosas con la privacidad.