Después de la  selección de la tienda de apps y de la configuración de  los permisos de la aplicación en nuestro dispositivo llega el momento de fijarnos en una tercera barrera que protege nuestra privacidad.

Los términos y condiciones, o condiciones de uso y contratación, políticas de privacidad y otros documentos son elaborados por el proveedor del servicio (en este caso de la entidad que gestiona la app) y en ellos se regula la relación del usuario con respecto a los servicios que se ofrecen y los datos personales que se manejan. Una de las primeras acciones que el proveedor nos obliga a hacer cuando adquirimos o instalamos la aplicación, y siempre antes de usarla, es manifestar nuestra aceptación de los términos y condiciones. Esta aceptación antes era implícita en muchos casos ( si usted está aquí utilizando este programa está aceptando los términos…), pero los proveedores la van explicitando cada vez más. Por ejemplo, se muestran los términos y al en la parte final se incluye un botón para aceptarlos o abandonar, o se muestra una casilla de verificación y un enlace que lleva a la página de los documentos.

Si bien cada proveedor redacta sus propios términos y condiciones, las legislaciones nacionales de muchos países prevén cuáles son los contenidos que un documento de este tipo debe tener. En España, las principales normas a considerar son la  LSSI (Ley 34/2002 de Servicios de la Sociedad de la Información y el Comercio Electrónico de 11 de julio) que regula las condiciones de contratación básicas para productos y servicios digitales, y la  LOPD (Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal) que se encarga de regular la recogida y gestión de los datos personales con los que opera la app.

Los términos y condiciones pueden variar enormemente según el origen de las apps o su grado de madurez y su complejidad, pero algunos contenidos típicos serían los datos de contacto del titular, los códigos de conducta, responsabilidades y mecanismos para la resolución de conflictos, precios e impuestos, publicidad, propiedad intelectual, etc. Dentro de la política de privacidad debe informarse de la existencia de ficheros de datos de carácter personal, de la identidad y los datos de contacto de su responsable o representante, de su finalidad y destino, y de la posibilidad de ejercer  los derechos ARCO (acceso, rectificación, cancelación y oposición), entre otros. Por último, muchas veces se incluyen en el mismo documento, o por separado, unas reglas de uso y convivencia para los usuarios, las condiciones para los menores, e incluso el ideario de la compañía.

La importancia de los términos y condiciones no suele apreciarse cuando estamos satisfechos con las apps. Sin embargo, si surge algún problema derivado del uso de la misma que puede acarrearnos pérdidas de datos o incluso riesgos para nuestra privacidad o para otras personas, probablemente será cuando nos acordemos de cuáles eran las condiciones para usar o dejar de usar el producto y cuáles son las responsabilidades de cada parte.

Ahora que ya hemos visto por qué son necesarios los términos y condiciones y la necesidad de conocerlos y aceptarlos antes de disfrutar de nuestras apps,  ¿dónde puede estar el problema? Pues, fácilmente, surgen tres: uno, la longitud excesiva de estos documentos; dos, un lenguaje jurídico difícil de entender, frecuentemente traducido de otro idioma y de otro sistema legal; y tercero, una tendencia a cambiar y actualizarse igual que se actualizan las propias apps.

La desorbitada longitud de los documentos de términos y condiciones en las apps es una queja clásica de los usuarios. En mayo del pasado año, el Consejo del Consumidor de Noruega estudió el tiempo que llevaría leer los términos y condiciones de todas las apps que llevan los ciudadanos en sus teléfonos inteligentes, e incluso grabó un vídeo con unos sufridos voluntarios leyendo monótonamente los documentos. Cualquiera de nosotros puede calcular de forma aproximada cuánto se tardarían en leer los términos y condiciones y documentos asociados de nuestras apps favoritas. Por ejemplo, las condiciones de las dos redes sociales más populares tienen una longitud de 8.858 y 7.642 palabras, respectivamente; las del juego más descargado de las tiendas en 2016, 11.845 palabras; y una aplicación para saber el tiempo atmosférico en todo el mundo, 4.983 palabras. Teniendo en cuenta que la velocidad media de lectura de un adulto en castellano está entre 200 y 300 palabras por minuto, y que usamos habitualmente unas 14 apps de las 30 que llevamos instaladas en nuestros teléfonos inteligentes, deberíamos emplear entre 8 y 16 horas seguidas de lectura para superar la prueba.

En cuanto la complejidad del lenguaje, es una dificultad importante sobre todo si consideramos que las apps son casi un estándar que descargan e instalan personas con diferentes niveles de formación.

El último obstáculo para tener una buena comprensión de los términos y condiciones en todo momento es el de las actualizaciones. Las apps van cambiando sus términos y condiciones periódicamente para adaptarse a cambios normativos, protegerse de vacíos legales que les han perjudicado, acomodarse a la legislación de nuevos países donde se aterrizan y para dar cabida a nuevos servicios en sus plataformas. Una de las apps de redes sociales que hemos observado lleva diez cambios en siete años. Si bien estos cambios suelen anunciarse a los usuarios por correo o al entrar en la aplicación, no todo el mundo puede dedicar tanto tiempo para conocer y valorar las novedades.

Vistos los problemas con los términos y condiciones,  ¿qué debemos hacer los usuarios de apps cuando vamos a instalar una nueva aplicación?Lo primero, comprobar que los documentos están y son accesibles: es decir, la página se abre y está en un idioma que conocemos. La segunda recomendación es más flexible: sería deseable sería hacer una lectura rápida buscando los elementos principales que hemos identificado antes, o los que más nos preocupan. Obviamente, un responsable que va a implantar una app en los 2.000 teléfonos corporativos de su organización debería hacer una lectura más detallada que un usuario doméstico que está instalando un juego para su uso personal. Puesto que el riesgo es diferente en ambas situaciones, la atención también debe ser distinta. Por último, si en los términos y condiciones vemos algo poco claro, que en un momento puede perjudicarnos o hacernos rehenes de un producto, debemos consultar a terceros o buscar otra app alternativa que nos dé más garantías. Para el caso de las actualizaciones, el criterio de lectura puede ser el mismo: a mayor riesgo, mayor atención, y en caso de duda, considerar sustituir por otra app.

Afortunadamente la sociedad cada vez es más consciente del problema que supone que la relación entre el usuario y el proveedor del servicio sea oscura y poco manejable, y ya se están tomando medidas.

El nuevo  Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del consejo de 27 de abril de 2016) en su artículo 60 propone los iconos normalizados como una representación fácilmente visible, inteligible y claramente legible del tratamiento de datos previsto.

Por último, algunas  comunidades de usuarios se han lanzado a reescribir los términos y condiciones de apps muy extendidas de una forma simplificada, y a compartirlos en la Red.

(16 de marzo de 2017). El 25 de mayo de 2018 comenzará a aplicarse el Reglamento General de Protección de Datos y, en consecuencia, desaparece la primera de las obligaciones del responsable que trata datos de carácter personal: la notificación gratuita de ficheros ante el Registro General de Protección de Datos de la AEPD.

Las dos normas de aplicación en España en materia de protección de datos de carácter personal desde 1992, la derogada LORTAD y la actual LOPD, habían previsto como primera obligación del responsable  comunicar a la Agencia los ficheros empleados en su actividad y que contengan datos de carácter personal, describiendo qué datos se recogen, con qué fin, de quién se recogen, qué medidas de seguridad se van tomar sobre los mismos, si el fichero es automatizado, manual o mixto y si esos datos van a cederse a terceros o si van a transferirse fuera del Espacio Económico Europeo.

La obligación, que en el caso de ficheros de titularidad pública comenzaba por la publicación en el correspondiente Diario Oficial de la descripción del fichero por parte del responsable, se convirtió en  la puerta de entrada a la protección de datos para buena parte de las entidades. Los empresarios y las administraciones empezaban a ser conscientes ante qué estaban cuando se encontraban frente a un formulario de notificación y tenían la necesidad de describir los puntos antes mencionados. Tras esta obligación, la primera pero no la única como la misma resolución de inscripción recuerda al responsable, debe observar el resto de  obligaciones que la legislación impone.

El Registro General de Protección de Datos atiende al responsable del fichero en sus obligaciones, entre otras, de inscripción de ficheros y es el responsable de dar publicidad a los mismos  a través de la página web de la Agencia. El objetivo es que el ciudadano pueda  conocer de la forma más exacta posible qué se está realizando con sus datos de carácter personal cuando los aporta a una administración pública o a una entidad privada, y dónde puede ejercer  sus derechos en protección de datos.

La inscripción de ficheros en el Registro General de Protección de Datos creció de manera exponencial a partir del año 2006 con la aparición del formulario electrónico NOTA y la posibilidad de emplear un procedimiento de administración electrónica completo para este proceso. Las  estadísticas de inscripción de ficheros muestran además el impulso que, en enero de 2008, supuso la aparición del Reglamento de desarrollo de la LOPD (RLOPD).

En la actualidad el Registro de Ficheros mantiene  un crecimiento anual de un 9% y sobre él se realizan una media de 2.754 operaciones diarias (datos de 2016), observándose una evolución en el tipo de operaciones que sobre él se ordenan. Se ha pasado de una masiva inscripción de alta de ficheros a la recepción de un número importante de operaciones de inscripción de modificación y de supresión que atiende a la necesidad de mantener la inscripción actualizada y que aparece estipulada en el artículo 58 del RLOPD. Los ficheros evolucionan, cambian su finalidad, se recogen otros datos de las personas que forman el colectivo objeto del mismo y hay que suprimirlos si deja de existir la razón por la que fueron creados o la entidad que se declaraba responsable.

La aplicación del nuevo Reglamento General de Protección de Datos a partir del 25 de mayo de 2018 supone al responsable  obligaciones distintas en materia de protección de datos. El artículo 30 estipula que cada responsable y, en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. El responsable se encuentra por tanto, nuevamente, ante la necesidad de describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplicará para preservar su seguridad, y cuándo podrá suprimirlos.

Es en este punto donde la existencia del Registro de Ficheros puede convertirse en  una herramienta de ayuda y un punto de partida ante la tarea que será obligatoria a partir del 25 de mayo de 2018.

El responsable con los ficheros actualmente inscritos en la Agencia ya hizo en su día un ejercicio de descripción de los tratamientos de datos de carácter personal que llevaba a cabo cuando se vio en la obligación de realizar la Notificación de sus ficheros. En este punto, será evidente el paso de ese conjunto de ficheros a la elaboración del Registro de las actividades del tratamiento y la puesta al día de sus obligaciones en materia de protección de datos.

La LOPD especifica dos formas para que podamos oponernos a que se traten nuestros datos con fines comerciales:

1. Dirigiendo una solicitud a quien está utilizando los datos con fines publicitarios, o

2. Registrando en un denominado “fichero de exclusión publicitaria” los datos que no queremos que se utilicen para enviarnos publicidad

La primera de estas posibilidades está recogida en el artículo 30.4 de la LOPD, dedicado a los tratamientos con fines de publicidad y de prospección comercial. En él se afirma que “los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud”. Esta posibilidad, entre otros casos, es para aquellos casos en los que nuestros datos hayan sido obtenidos de fuentes accesibles al público (como las guías telefónicas, por ejemplo).

La segunda opción viene recogida en el artículo 49.1 del Reglamento de desarrollo de la LOPD, que prevé la creación de ficheros comunes de exclusión publicitaria en los que se podrán registrar las personas que no deseen recibir comunicaciones comerciales: “Será posible la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad”.

En España, actualmente, sólo existe un fichero común de exclusión publicitaria: la  Lista Robinson, gestionado de forma independiente por la Asociación Española de Economía Digital.

En este servicio podemos inscribirnos de manera gratuita y seleccionar el medio o medios (teléfono, publicidad postal, etc.) a través de los cuales no queremos recibir publicidad de las entidades que empleen nuestros datos personales obtenidos de fuentes públicas o bases de datos de las que no sean responsables para el desarrollo de las campañas publicitarias. Estarían excluidos los casos en los que nosotros mismos hayamos autorizado a una empresa a enviarnos publicidad. En este último caso, si quisiéramos oponernos a que nos la enviaran deberíamos dirigirnos directamente a la empresa.

Si nos estamos planteando inscribirnos en esta lista para dejar de recibir comunicaciones comerciales, la siguiente pregunta será: ¿Hasta qué punto están las empresas obligadas a consultar ese archivo antes de enviarme publicidad? Respecto a la obligatoriedad de consulta (tanto por asociados como por no asociados de esta Asociación), el artículo 49.4 del Reglamento de desarrollo de la LOPD establece que “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento”. Por tanto, tanto asociados como no asociados deben consultar dicho listado.

En este enlace podemos consultar el reglamento completo de la Lista Robinson, donde Adigital especifica cuestiones como que la inclusión será eficaz en el plazo de tres meses a partir de la fecha en la que nos demos de alta.

En un artículo anterior nos referíamos a  las tiendas de apps y qué implicaciones podían tener para la seguridad de nuestros datos. En esta ocasión nuestro examen se va a centrar en los permisos que solicita la aplicación.

En los dispositivos móviles populares, las aplicaciones y los juegos se ejecutan en espacios aislados (los llamados sandboxes o areneros) junto con los datos y la configuración. El sistema operativo, por su parte, se encarga de gestionar los permisos para que puedan comunicarse y usar los distintos servicios del dispositivo. Los permisos que solicitan las aplicaciones pueden variar de unos sistemas a otros pero los más habituales son el acceso al almacenamiento, a los contactos, a la cámara, al micrófono, a los SMS, a las llamadas, a la ubicación geográfica, a los dispositivos externos conectados, o a los perfiles en redes sociales.

Cada vez que añadimos una aplicación o un juego nuevo a nuestro dispositivo, este le pedirá al sistema operativo los permisos que necesita. Por ejemplo, las aplicaciones de mensajería y redes sociales requieren muchas veces acceso a la cámara, a los contactos y a nuestra colección multimedia; o un antivirus puede pedir acceso a los ficheros del sistema para analizarlos. A veces no es fácil imaginar para qué necesita realmente una aplicación todos los permisos que pide: algunos juegos quieren permiso para acceder a las llamadas, simplemente para interrumpir la partida cuando entra una llamada; o algunas aplicaciones solicitan conocer la ubicación geográfica para enviar ofertas o anuncios según dónde estemos.  Una app que requiera unos permisos excesivos debería hacernos sospechar sobre sus intenciones, ya que podría obtener datos del sistema o de nuestra actividad y enviarlos a un tercero. También deberíamos ser prudentes si al actualizar una aplicación nos piden permisos nuevos.

La buena noticia es que nosotros podemos participar en la gestión de los permisos que les damos a las aplicaciones; la mala es que no siempre es fácil. El proceso es distinto en cada sistema operativo, y a veces no tenemos la información o el tiempo necesario para tomar una buena decisión. Los fabricantes buscan un equilibrio entre la precisión que demandan los usuarios más avanzados y la sencillez para usuarios más confiados, y entre los sistemas más populares y sus versiones encontramos todas las tendencias.

También son varios los momentos en que podemos gestionar los permisos. En un sistema muy conocido, cuando elegimos una app o un juego que nos gusta, la tienda de aplicaciones ya nos informa de los permisos requeridos, y nos pide que aceptemos su concesión antes de dejarnos descargarla; en otro sistema igualmente popular, la aplicación se descarga primero y después, durante la instalación es cuando nos enteramos de los permisos que quiere que le concedamos. Algunos permisos en ciertos dispositivos soportan más opciones que el simple ‘Aceptar’ o ‘Rechazar’, y permiten, por ejemplo, que la aplicación acceda a servicios como la ubicación geográfica o la red, pero solamente cuando el usuario realmente la está usando. Con tanta diversidad de opciones no nos queda otro remedio que explorar en los ajustes de nuestro dispositivo y ver las opciones que ofrece.

Además de en la descarga y en la instalación,  en cualquier momento podemos revisar y cambiar los permisos de aplicación. Desgraciadamente, aquí nos encontramos también que los ajustes son distintos en cada teléfono o tableta. Algunas plataformas prefieren agrupar las aplicaciones bajo los permisos, con lo que podemos ver o limitar, por ejemplo, qué aplicaciones están usando la ubicación geográfica o una red social; mientras que otras prefieren poner los permisos bajo las aplicaciones, mostrando por ejemplo una fila de selectores de permisos que requiere determinado juego.

Obviamente, si denegamos un permiso a una aplicación su comportamiento puede variar, e incluso la aplicación completa puede dejar de funcionar. Sin embargo, también puede seguir funcionando adecuadamente para lo que necesito, y asegurarme un poco de privacidad.

Es posible controlar parcialmente los permisos en dispositivos que usan otras personas: por un lado, en el ámbito de los móviles de trabajo, las organizaciones pueden gestionar de forma muy detallada e incluso dinámicamente muchos de los permisos de aplicación, usando un gestor de dispositivos móviles o MDM. En el lado doméstico las distintas plataformas permiten habilitar mecanismos de control parental y perfiles de usuario. En el extremo opuesto, un dispositivo  rooteado o desbloqueado puede tener un gestor de permisos en su sistema diferente al que estableció el fabricante, por lo que de nuevo hay que recordar el riesgo que supone si no se controla adecuadamente.

En resumen, los permisos son una parte importante de nuestro examen de aplicaciones porque nos permiten, en primer lugar,  tener un mayor control sobre la información que facilitamos a terceros y, además,  limitar los riesgos de la actividad de una aplicación presuntamente dañina en nuestro dispositivo. Por eso, la revisión o incluso el ajuste de los permisos de cualquier app o juego nuevo o actualizado es una actividad muy recomendable. Y puesto que los mecanismos de gestión de permisos son distintos en cada sistema, es importante que dediquemos unos minutos a revisar los ajustes y conocer así las posibilidades que ofrece.

La Agencia Española de Protección de Datos ha lanzado una  

Guía sobre la privacidad y la seguridad en internet

 elaborada junto al INCIBE que incluye algunas fichas para concienciar (que no asustar) a los usuarios de los riesgos de las apps.