19 de mayo de 2019

El acceso de las 'apps' a grabar la pantalla y la personalización de anuncios de Android vulneran el RGPD, según la AEPD

La forma en la que las aplicaciones móviles solicitan permiso para acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores en Android para la personalización de anuncios supone una infracción del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, según ha denunciado la Agencia Española de Protección de Datos (AEPD).
La AEPD ha publicado este miércoles dos documentos técnicos que analizan el sistema operativo Android, dirigidos tanto a usuarios como a desarrolladores de aplicaciones, aconsejando los mecanismos que estos últimos deben implementar para poner su 'software' móvil en orden con la normativa actual de protección de datos.
Al respecto, Google, en un comunicado enviado a Europa Press, ha declarado que "acabamos de recibir los estudios. Estamos revisando su contenido y esperamos poder discutirlo con la AEPD". 
La primera de las notas técnicas analiza el control del usuario en la personalización de anuncios que lleva a cabo el sistema Android. Desde la versión Android 7 KitKat, cada terminal cuenta con un identificador único para el envío de anuncios personalizados.
Android ofrece a los usuarios la posibilidad de deshabilitar el identificador de publicidad a través de sus ajustes, lo que Google transmite a las entidades de publicidad, "pero depende de estas respetar o no esta preferencia", según ha alertado la AEPD en un comunicado.
Además, deshabilitar el identificador de Android "no impide que el identificador sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario", destaca el estudio.
Asimismo, al reiniciar los valores de fábrica de un dispositivo, Android vuelve a activar por defecto la personalización de anuncios y "el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el RGPD", alerta la AEPD.
El organismo ha recomendado a los desarrolladores de aplicaciones "tener en cuenta que el envío de datos personales a una tercera parte se considera un tratamiento de datos personales para el que es necesaria una base legal, y como tal, además deben cumplir con todos los principios aplicables a tratamientos de datos que el RGPD establece, entre ellos el principio de minimización de datos", recoge la nota técnica.
'APPS' QUE CAPTURAN LA PANTALLA
   El segundo informe de la AEPD hace referencia a la práctica mediante la cual Android da permiso a las aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera del mismo, una característica habilitada en el sistema operativo móvil de Google desde 2014 con la versión 5.0 Lollipop.
Los investigadores de la AEPD han detectado casos de aplicaciones que "solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso".
La aceptación del usuario para la captura de pantalla "no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD", alerta la AEPD.
Tampoco cumplen con los principios de transparencia las aplicaciones que llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en qué momento se está produciendo, incluso en los casos en que se ha concedido previamente el consentimiento, según AEPD.
La Agencia recomienda a los usuarios no permitir el acceso al contenido de su pantalla si no se les ha ofrecido información suficiente y no activar nunca la opción "No volver a mostrar" cuando Android muestra el aviso.
Por su parte, el organismo aconseja a los desarrolladores de aplicaciones que utilizan la grabación de la pantalla "asegurarse de que se recoge de forma apropiada el consentimiento de los usuarios" y "proporcionar mecanismos para que el usuario sea plenamente consciente de cuándo se están realizando dichas grabaciones", concluye.
La AEPD presentará ambas notas técnicas y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la Agencia junto a otras autoridades europeas de protección de datos y el Supervisor Europeo.
Fuente: Europa Presss