La forma en la que las aplicaciones móviles solicitan permiso para
acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores
en Android para la personalización de anuncios supone una infracción del
Reglamento General de Protección de Datos (RGPD) de la Unión Europea, según ha
denunciado la Agencia Española de Protección de Datos (AEPD).
La AEPD ha publicado este miércoles dos documentos técnicos que analizan
el sistema operativo Android, dirigidos tanto a usuarios como a desarrolladores
de aplicaciones, aconsejando los mecanismos que estos últimos deben implementar
para poner su 'software' móvil en orden con la normativa actual de protección
de datos.
Al respecto, Google, en un comunicado enviado a Europa Press, ha
declarado que "acabamos de recibir los estudios. Estamos revisando su
contenido y esperamos poder discutirlo con la AEPD".
La primera de las notas técnicas analiza el control del usuario en la
personalización de anuncios que lleva a cabo el sistema Android. Desde la
versión Android 7 KitKat, cada terminal cuenta con un identificador único para
el envío de anuncios personalizados.
Android ofrece a los usuarios la posibilidad de deshabilitar el
identificador de publicidad a través de sus ajustes, lo que Google transmite a
las entidades de publicidad, "pero depende de estas respetar o no esta
preferencia", según ha alertado la AEPD en un comunicado.
Además, deshabilitar el identificador de Android "no impide que el
identificador sea enviado por algunas aplicaciones y, por tanto, no evita que
se pueda seguir construyendo un perfil basado en los intereses o gustos del
usuario", destaca el estudio.
Asimismo, al reiniciar los valores de fábrica de un dispositivo, Android
vuelve a activar por defecto la personalización de anuncios y "el usuario
tiene que deshabilitarla de nuevo y no al revés, como debería suceder de
acuerdo al principio de privacidad por defecto establecido en el RGPD",
alerta la AEPD.
El organismo ha recomendado a los desarrolladores de aplicaciones
"tener en cuenta que el envío de datos personales a una tercera parte se
considera un tratamiento de datos personales para el que es necesaria una base legal,
y como tal, además deben cumplir con todos los principios aplicables a
tratamientos de datos que el RGPD establece, entre ellos el principio de
minimización de datos", recoge la nota técnica.
'APPS' QUE CAPTURAN LA PANTALLA
El segundo informe de la AEPD
hace referencia a la práctica mediante la cual Android da permiso a las
aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera
del mismo, una característica habilitada en el sistema operativo móvil de
Google desde 2014 con la versión 5.0 Lollipop.
Los investigadores de la AEPD han detectado casos de aplicaciones que
"solicitan permiso al usuario cuando se produce el acceso a su pantalla
sin informarle correctamente, y que éste no puede comprobar si éste está
activado ni puede revocar el permiso".
La aceptación del usuario para la captura de pantalla "no cumple
con las condiciones del consentimiento si previamente no se le ha informado
claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13
del RGPD", alerta la AEPD.
Tampoco cumplen con los principios de transparencia las aplicaciones que
llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en
qué momento se está produciendo, incluso en los casos en que se ha concedido
previamente el consentimiento, según AEPD.
La Agencia recomienda a los usuarios no permitir el acceso al contenido
de su pantalla si no se les ha ofrecido información suficiente y no activar
nunca la opción "No volver a mostrar" cuando Android muestra el
aviso.
Por su parte, el organismo aconseja a los desarrolladores de
aplicaciones que utilizan la grabación de la pantalla "asegurarse de que
se recoge de forma apropiada el consentimiento de los usuarios" y
"proporcionar mecanismos para que el usuario sea plenamente consciente de
cuándo se están realizando dichas grabaciones", concluye.
La AEPD presentará ambas notas técnicas y sus conclusiones en los
subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD),
organismo de la Unión Europea del que forma parte la Agencia junto a otras
autoridades europeas de protección de datos y el Supervisor Europeo.
Fuente: Europa Presss