Cada vegada és més freqüent trobar al mercat aplicacions per a dispositius mòbils que empren la geolocalització per a prestar els seus serveis. Fins i tot la setmana passada, dins els Mobile Learning Awards del projecte mSchools, que reconeix alumnes, professors i centres educatius per la seva innovació en tecnologia mòbil, s'introduïa una nova modalitat, la Mobile History Map, que premiava alumnes que creessin i ubiquessin elements patrimonials emblemàtics de Catalunya mitjançant dispositius mòbils.
Aquesta setmana el Mobile World Congress ens recorda que la posició de l'usuari és una de les informacions més buscades entre les empreses que utilitzen les aplicacions per geolocalitzar els clients. Ara bé, les dades personals sempre s'han de tractar de manera confidencial.
Responsabilitat en el tractament de dades
Normalment, quan prestes el servei, pots accedir a dades personals dels teus usuaris, com ara un correu electrònic, un perfil a una xarxa social, la seva fotografia; i sovint, associat als comportaments que aquells puguin fer a partir de l'aplicació que els geolocalitza, detectant fins i tot, hàbits i preferències. Per exemple, pot tractar-se d'una aplicació mòbil que permet ubicar els amics de l'usuari a alguna xarxa social i que permet saber que en certs moments, es troben en determinat lloc, quins són els seus gustos a l'hora de sortir o detectar quines aficions tenen.
En aquest context, tots som responsables del tractament de dades. De la mateixa manera que també ho és el creador del sistema operatiu o el responsable del tractament de dades d'una infraestructura de geolocalització que compta amb una sèrie de punts d'accés Wi-Fi. Els que tenen accés a la ubicació dels usuaris per poder prestar el servei, també es converteixen en què la llei defineix com a responsable del tractament.
Amb tota aquesta informació, sempre que la geolocalització estigui activada, o a partir de les diferents connexions indicant la ubicació, es podria arribar a fer una certa monitorització de l'usuari i per tant, tenir accés a informació rellevant i força sensible. En aquest sentit, si vols prestar aquest tipus de serveis i accedir a aquesta informació, estàs obligat a complir amb una sèrie de normes. No tenir-ho en compte, posa en perill la privacitat de l'usuari i pot suposar sancions per a tu i el teu negoci, per infracció de la normativa de protecció de dades, entre d'altres.
Consentiment previ i informat
En l'àmbit europeu, el Dictamen 13/2011 del Grup de Treball sobre protecció de dades de l'Article 29, va establir les bases a tenir en compte en temes de geolocalització i privacitat per part dels responsables. Així, aquest dictamen detalla que les principals obligacions dels responsables, són:
1.- Informar adequadament l'usuari sobre la finalitat de la recollida de les seves dades, en especial, les de geolocalització; amb una informació que sigui clara, completa, comprensible per a tothom, accessible i fàcil. Aquesta informació es pot oferir mitjançant els avisos legals i polítiques de privacitat que hauria de tenir l'aplicació i que l'usuari hauria de poder visualitzar abans d'acceptar o descarregar-se l'aplicació o, si estem parlant només de la funcionalitat de la geolocalització, de manera puntual, veure's abans d'aquesta, remetent a la informació oportuna.
2.- Cal que l'usuari doni el seu consentiment exprés a la geolocalització, de manera lliure i vàlida, és a dir, no és possible que la geolocalització estigui pre-activada i l'usuari la pugui o hagi de desactivar. És a dir, els serveis de localització han d'estar desactivats, per defecte.
3.- Segons recomana aquest dictamen, mentre l'usuari empra la nostra aplicació, hauria d'estar contínuament alertat sobre el fet que està essent geolocalitzat, per exemple, mitjançant l'aparició d'una icona visible que ho indiqui.
4.- Cal facilitar l'opció de revocar o retirar el consentiment a la geolocalització per part de l'usuari, de forma fàcil i sense conseqüències negatives per a l'ús de producte.
Aquest dictamen també detalla que els proveïdors d'aplicacions han de disposar de polítiques de retenció de dades que garanteixin que les dades d'ubicació o perfils obtinguts a partir de les aplicacions, siguin suprimits a partir d'un període justificat, esborrant la informació associada als usuaris; que els proveïdors d'aplicacions o serveis de geolocalització han de sol·licitar la renovació de l'autorització individual de l'usuari per a la geolocalització, després d'un període que, en cap cas, hauria de superar l'any i, per últim, han de garantir, entre d'altres, l'exercici dels ja coneguts drets d'accés, rectificació, cancel·lació i oposició per part dels usuaris.
Segons un nou Dictamen del mateix grup de 2013, els desenvolupadors d'apps, en la mesura que permetin que tercers accedeixin a les dades de l'usuari, hauran de vetllar també pel compliment normatiu. Així, si aquest tercer accedeix a les dades de l'usuari com a prestador de serveis directe, cal disposar del consentiment informat de l'usuari, específic i individualitzat, diferenciat de què li vam demanar en el seu dia; mentre que si aquest tercer accedeix a les dades de l'usuari per prestar un servei al desenvolupador, caldrà traslladar-li les obligacions derivades i pròpies de l'encarregat de tractament que defineix la llei de protecció de dades.
Com succeeix amb altres tractaments de dades, és el responsable del tractament qui ha d'informar l'usuari en tot moment de què farà amb les seves dades, demanant el consentiment lliure, un cop aquell hagi estat informat, i tractant aquestes dades només amb la finalitat indicada. No discutirem aquí el fet que, analitzades algunes aplicacions, moltes demanen molts més permisos dels què necessitarien per a poder prestar els seus serveis, com es va acreditar amb l'estudi coordinat entre diferents Autoritats de protecció de dades d'arreu del món. Però entenem que aquesta realitat també s'hauria de tenir en compte per part dels desenvolupadors.
Ara bé, també li correspon a l'usuari d'aquest tipus d'aplicacions, ser conscient que si les empra, el més lògic és emprar-les només pel què ho necessita, procedint a la desactivació de la ubicació quan ja no li calgui. El contrari, pot posar en risc la seva privacitat i seguretat i per tant, també cal que assumeixi part de la seva responsabilitat, essent conscient dels riscos que podria comportar no fer-ho així.
Aquesta setmana el Mobile World Congress ens recorda que la posició de l'usuari és una de les informacions més buscades entre les empreses que utilitzen les aplicacions per geolocalitzar els clients. Ara bé, les dades personals sempre s'han de tractar de manera confidencial.
Responsabilitat en el tractament de dades
Normalment, quan prestes el servei, pots accedir a dades personals dels teus usuaris, com ara un correu electrònic, un perfil a una xarxa social, la seva fotografia; i sovint, associat als comportaments que aquells puguin fer a partir de l'aplicació que els geolocalitza, detectant fins i tot, hàbits i preferències. Per exemple, pot tractar-se d'una aplicació mòbil que permet ubicar els amics de l'usuari a alguna xarxa social i que permet saber que en certs moments, es troben en determinat lloc, quins són els seus gustos a l'hora de sortir o detectar quines aficions tenen.
En aquest context, tots som responsables del tractament de dades. De la mateixa manera que també ho és el creador del sistema operatiu o el responsable del tractament de dades d'una infraestructura de geolocalització que compta amb una sèrie de punts d'accés Wi-Fi. Els que tenen accés a la ubicació dels usuaris per poder prestar el servei, també es converteixen en què la llei defineix com a responsable del tractament.
Amb tota aquesta informació, sempre que la geolocalització estigui activada, o a partir de les diferents connexions indicant la ubicació, es podria arribar a fer una certa monitorització de l'usuari i per tant, tenir accés a informació rellevant i força sensible. En aquest sentit, si vols prestar aquest tipus de serveis i accedir a aquesta informació, estàs obligat a complir amb una sèrie de normes. No tenir-ho en compte, posa en perill la privacitat de l'usuari i pot suposar sancions per a tu i el teu negoci, per infracció de la normativa de protecció de dades, entre d'altres.
Consentiment previ i informat
En l'àmbit europeu, el Dictamen 13/2011 del Grup de Treball sobre protecció de dades de l'Article 29, va establir les bases a tenir en compte en temes de geolocalització i privacitat per part dels responsables. Així, aquest dictamen detalla que les principals obligacions dels responsables, són:
1.- Informar adequadament l'usuari sobre la finalitat de la recollida de les seves dades, en especial, les de geolocalització; amb una informació que sigui clara, completa, comprensible per a tothom, accessible i fàcil. Aquesta informació es pot oferir mitjançant els avisos legals i polítiques de privacitat que hauria de tenir l'aplicació i que l'usuari hauria de poder visualitzar abans d'acceptar o descarregar-se l'aplicació o, si estem parlant només de la funcionalitat de la geolocalització, de manera puntual, veure's abans d'aquesta, remetent a la informació oportuna.
2.- Cal que l'usuari doni el seu consentiment exprés a la geolocalització, de manera lliure i vàlida, és a dir, no és possible que la geolocalització estigui pre-activada i l'usuari la pugui o hagi de desactivar. És a dir, els serveis de localització han d'estar desactivats, per defecte.
3.- Segons recomana aquest dictamen, mentre l'usuari empra la nostra aplicació, hauria d'estar contínuament alertat sobre el fet que està essent geolocalitzat, per exemple, mitjançant l'aparició d'una icona visible que ho indiqui.
4.- Cal facilitar l'opció de revocar o retirar el consentiment a la geolocalització per part de l'usuari, de forma fàcil i sense conseqüències negatives per a l'ús de producte.
Aquest dictamen també detalla que els proveïdors d'aplicacions han de disposar de polítiques de retenció de dades que garanteixin que les dades d'ubicació o perfils obtinguts a partir de les aplicacions, siguin suprimits a partir d'un període justificat, esborrant la informació associada als usuaris; que els proveïdors d'aplicacions o serveis de geolocalització han de sol·licitar la renovació de l'autorització individual de l'usuari per a la geolocalització, després d'un període que, en cap cas, hauria de superar l'any i, per últim, han de garantir, entre d'altres, l'exercici dels ja coneguts drets d'accés, rectificació, cancel·lació i oposició per part dels usuaris.
Segons un nou Dictamen del mateix grup de 2013, els desenvolupadors d'apps, en la mesura que permetin que tercers accedeixin a les dades de l'usuari, hauran de vetllar també pel compliment normatiu. Així, si aquest tercer accedeix a les dades de l'usuari com a prestador de serveis directe, cal disposar del consentiment informat de l'usuari, específic i individualitzat, diferenciat de què li vam demanar en el seu dia; mentre que si aquest tercer accedeix a les dades de l'usuari per prestar un servei al desenvolupador, caldrà traslladar-li les obligacions derivades i pròpies de l'encarregat de tractament que defineix la llei de protecció de dades.
Com succeeix amb altres tractaments de dades, és el responsable del tractament qui ha d'informar l'usuari en tot moment de què farà amb les seves dades, demanant el consentiment lliure, un cop aquell hagi estat informat, i tractant aquestes dades només amb la finalitat indicada. No discutirem aquí el fet que, analitzades algunes aplicacions, moltes demanen molts més permisos dels què necessitarien per a poder prestar els seus serveis, com es va acreditar amb l'estudi coordinat entre diferents Autoritats de protecció de dades d'arreu del món. Però entenem que aquesta realitat també s'hauria de tenir en compte per part dels desenvolupadors.
Ara bé, també li correspon a l'usuari d'aquest tipus d'aplicacions, ser conscient que si les empra, el més lògic és emprar-les només pel què ho necessita, procedint a la desactivació de la ubicació quan ja no li calgui. El contrari, pot posar en risc la seva privacitat i seguretat i per tant, també cal que assumeixi part de la seva responsabilitat, essent conscient dels riscos que podria comportar no fer-ho així.
Subscriu-te de franc a VIA Empresa i rebràs al teu correu les nostres millors històries, reportatges i entrevistes, a més d’altres avantatges exclusius per a subscriptors.
Abans d'enviar-nos les teves dades llegeix la següent informació INFORMACIÓ BÀSICA SOBRE PROTECCIÓ DE DADES Responsable del tractament: TOTMEDIA COMUNICACIÓ, S.L. Finalitat del tractament: Atendre les sol·licituds d'informació que els usuaris d'aquest formulari ens enviïn. Legitimació: Consentiment de l'interessat en enviar-nos el formulari amb les seves dades. Destinataris: El personal, la direcció de l'empesa i els prestadors de serveis necessaris per complir amb les nostres obligacions. No cedirem les seves dades a tercers. Drets que l'assisteixen: Té dret a accedir, rectificar i/o suprimir les seves dades, així com altres drets, com s'explica detalladament a la política de privacitat, dirigint-se a privacitat@totmedia.cat. Informació addicional: Per a més informació consultin la política de privacitat.
