Implicaciones de RGPD para aplicaciones móviles
RGPD define «datos personales» como la grabación de cualquier dato que podría identificar a un individuo. Los identificadores pueden incluir nombres, números de teléfono y direcciones, así como información digital, como nombres de usuario, ubicaciones, comportamiento y más. Por lo tanto, esta regulación afecta a todas las empresas de una forma u otra, y las aplicaciones móviles no son una excepción. Los desarrolladores de aplicaciones son total y directamente responsables de los datos de sus usuarios. Por lo tanto, los
propietarios de las aplicaciones deben garantizar una visibilidad completa y un control en tiempo real del uso y la actividad de la aplicación. Primero deben aprender cómo obtienen, almacenan, transfieren y usan datos para mejorar la seguridad. Las actualizaciones a los servidores y las nuevas configuraciones de firewall también pueden ser esenciales. Los desarrolladores y editores deben realizar un seguimiento de los cambios dentro de los datos, así como el acceso físico y digital a los mismos. Esto significa quese debe documentar un historial completo de cambios. Cualquier información que viaje entre la aplicación y el servidor debe ser encriptada y asegurada, además del hash adecuado de las contraseñas de los usuarios.
Directrices prácticas para el cumplimiento de aplicaciones móviles
Para garantizar que los procesadores de datos puedan cumplir con exactitud todas las normativas, se deben implementar las siguientes medidas en el diseño, la instalación y el uso de la aplicación móvil:
1. Determine si la aplicación realmente necesita todos los datos:
Solo guarde, use y procese los datos que son absolutamente necesarios para el éxito de la aplicación, limite lo que puede filtrarse y maximice las posibilidades de obtener el consentimiento del usuario. Esto también se conoce como minimalismo de datos.
2. Informar al usuario y obtener el consentimiento:
Los usuarios deberán aceptar una lista de datos personales que la aplicación móvil desea usar, el período de tiempo durante el cual se almacenan los datos y el propósito del uso de datos. Los usuarios deben ser informados de cualquier intercambio de datos con terceros (SDK). La comunicación debe ser clara y directa. Las aplicaciones móviles deben presentar a los usuarios formularios de consentimiento antes de la instalación.
El consentimiento debe ser específico, expresarse a través de una elección activa y otorgada libremente. Además, se debe extender al consentimiento detallado de cada categoría de datos personales a la que la aplicación accedería y usaría. El consentimiento debe obtenerse antes de que se lean o recopilen datos del dispositivo móvil del usuario.
3. Responda a las solicitudes de los usuarios:
Siempre debe proporcionarse información precisa al usuario. La opción para que los usuarios cuestionen el uso de datos, retiren el consentimiento (para cada categoría de datos personales) y tengan sus datos borrados también debe ser de fácil acceso desde la aplicación. Cuando un usuario solicita que se eliminen sus datos, no debe haber forma de que los procesadores de datos recuperen posteriormente esos datos, incluso a partir de copias de seguridad.
4. Cifre los datos del usuario:
Asegúrese de que la información personal esté encriptada con algoritmos de cifrado adecuados y sólidos para minimizar las violaciones de datos. Si los datos están encriptados correctamente al punto que es más o menos ininteligibles, las infracciones perderían sentido y las empresas no tendrían que notificar a los usuarios que sus datos fueron pirateados.
5. Asegúrese de que los usuarios estén actualizados sobre incidentes de seguridad –
Los usuarios (y la autoridad nacional de supervisión) deben mantenerse informados acerca de las brechas de seguridad y las filtraciones de datos. Esto les da a los usuarios la oportunidad de solicitar la eliminación de datos y las autoridades la capacidad de localizar el origen de la fuga.
6. Conozca su tecnología:
Evalúe continuamente la situación actual de la aplicación. Asegúrese de que se detengan las iniciativas que harán que la aplicación no cumpla. Además, se debe tener cuidado para evitar que la aplicación comunique datos personales a un tercero de una manera que podría exponer la aplicación a violaciones de datos. Si los SDK se han implementado dentro de la aplicación móvil y los SDK intentan acceder a los datos de identificación, el editor de la aplicación sigue siendo responsable de la recopilación y el uso de los datos. Validar el cumplimiento de todos los aspectos que entran en la aplicación se vuelve crítico bajo el RGPD.
