1

6 CPDP 2013

Les Halles de Schaerbeek, Bruselas, 23 al 25 de enero de 2013.

DISPOSITIVOS MOVILES Y SUS APLICACIONES, RIESGOS, DESAFIOS, OPORTUNIDADES Y TENDENCIAS FUTURAS.

Dra. Ana Brian Nougrres

Entre el 23 y el 25 de enero de 2013, pocos das antes de la celebracin del Da Internacional de la Proteccin de Datos Personales y la Privacidad, se llev a cabo en Les Halles de Schaerbeek de la ciudad de Bruselas, Blgica, la 6 Conferencia Internacional Computers, Privacy and Data Protection (CPDP 2013): Reloading Data Protection, que cont con la presencia de ms de cuatrocientos invitados, entre los cuales haba acadmicos, investigadores, autoridades de control, representantes de organizaciones sin fines de lucro, todos ellos con formacin en ciencias, tecnologa, derechos fundamentales, ciencias polticas. Las discusiones sobre los distintos temas en anlisis se llevaron a cabo en la atmsfera de independencia y respeto recproco que siempre ha caracterizado estos encuentros, que se vienen desarrollando anualmente desde 2007. Se trata de conferencias organizadas por la Universidad Vrije de Bruselas, la Universidad de Namur y la Universidad de Tilburg, a la que se uni en la instancia entre otros- el Fraunhofer Institut fur System und Innovationsforschung.

Tuve el honor de ser uno de los dos uruguayos acreditados en el evento, junto con el Dr. Felipe Rotondo, Presidente de la Unidad Reguladora y de Control de Datos Personales, quien tuvo a su cargo una excelente conferencia en la que ilustr al auditorio sobre la Proteccin de Datos en Uruguay.

Por su parte, el tema que convoc mi participacin fue el del Panel sobre Dispositivos Mviles y sus Aplicaciones, riesgos, desafos, oportunidades y tendencias futuras, que tuvo lugar el 24 de enero, en el que la participacin fue multidisciplinar: desde representantes del gabinete poltico de la VicePresidencia de la Comisin de Agenda Digital de la Comisin Europea (Carl-Christian Buhr), pasando por un integrante de la Presidencia del Comit de Expertos en Tecnologas de la Informacin de la Comission Nationale de Iinformatique et des liberts, autoridad de control de proteccin de datos francesa, (Gwendal Le Grand), investigadores (Frank Dumortier), abogados (Cedric Burton, Anna Pateraki, quien suscribe) y representantes de empresas de telefona mvil (Dr. Tobias Brutigam, Senior Legal Counsel, Legal and Intellectual Property, Nokia). Presente en la mesa estuvo asimismo Pat Walshe, Director de GSMA, entidad que representa los intereses de los operadores mviles alrededor del mundo y que ha

2

publicado un excelente conjunto de Directrices para el Diseo de Privacidad en el Desarrollo de Aplicaciones Mviles1.

Se inici la discusin planteando la siguiente inquietud: El nmero creciente de tabletas y telfonos inteligentes que hay en el mercado ha llevado a las predicciones a evaluar que en 2014 se descargarn ms de 76.9 millones de aplicaciones mviles. Hoy por hoy, hay miles de aplicaciones diferentes disponibles en el mercado para cada tipo de dispositivo inteligente2. Sin duda posible, la aparicin de los dispositivos mviles ha aumentado significativamente los riesgos para la proteccin de los datos personales.

La creciente importancia que damos a los dispositivos mviles se puede medir por la gran cantidad de telfonos mviles, telfonos inteligentes, computadores personales, PDAs, tabletas, que proliferan en el mercado, que estn a disposicin de todos, que utilizan redes para comunicarse, para procesar informacin, en medios que no necesariamente poseen los requisitos mnimos de seguridad. Esa informacin puede ser informacin relativa a agendas, a coordinacin de reuniones, pero muchas veces tambin constituye informacin personal, confidencial, que se vuelve altamente accesible para cualquier persona que se proponga obtenerla.

Las vulneraciones a la seguridad de las comunicaciones pueden producirse en el uso de comunicaciones no encriptadas, o como consecuencia de la utilizacin de dispositivos de geolocalizacin, o mediante la utilizacin de sistemas de comunicaciones de bajo rango, como puede ser el caso de bluetooth, que pueden colaborar a efectos de que un tercero pueda asumir el control de un dispositivo no protegido. Los riesgos tambin se pueden producir en instancias del almacenamiento de la informacin, en tanto hay programas de almacenamiento que son ms propensos a infectarse con malware o a generar entornos de inseguridad, sea porque producen daos en la informacin, o daos en la estabilidad del sistema.

Todas las aplicaciones mviles tienden a hacer la vida ms fcil a sus usuarios, pero debemos tener presente que no todo es positivo, sino que hay una tendencia creciente a preocuparse por la privacidad, que en la sociedad norteamericana se ve fundamentalmente en las clases ms educadas de la poblacin y en las que tienen mayores ingresos3.

En tal sentido, segn investigacin llevada a cabo en el Pew Research Center durante 20124, ms de la mitad de los usuarios de aplicaciones mviles 1 Mviles y Privacidad. Directrices para el diseo de privacidad en el desarrollo de aplicaciones, GSMA.

Junio de 2012. 2 Opinion 02/2013 on apps on smart devices, Article 29 Data Protection Party, adopted 27 February 2013.

3 Privacy and Data Management on Mobile Devices, Pew Research Center s Internet and American Life

Project. Septiembre 5 de 2012. 4 Privacy and Data Management on Mobile Devices, Pew Research Center s Internet and American Life

Project. Septiembre 5 de 2012.

3

(54%) han decidido no instalar aplicaciones en sus telfonos celulares porque descubrieron cunta informacin personal tendran que compartir para usar dicha aplicacin, y el 30% de los usuarios de aplicaciones mviles desinstalaron una aplicacin que tenan en su celular por percibir que esta aplicacin estaba colectando informacin personal que ellos no estaban dispuestos a compartir. El mismo estudio analiza cmo una de cada diez personas sufri una invasin a su privacidad por terceras personas desde su telfono celular.

En Europa, por su parte, se habla de que un 92% de los usuarios de telefona celular estn preocupados por las aplicaciones de sus telfonos5, trtese de aplicaciones de telefona propiamente dichas, de redes sociales, o de buscadores de internet.

Como una forma de ganar la confianza de los usuarios, desde la Comisin Europea se ha trabajado en la regulacin del procesamiento de los datos personales, en pos del principio de transparencia y a efectos de que cada usuario tenga control de su informacin personal para asegurar un sistema adecuado de proteccin de sus datos. Transparencia y concientizacin se tornan en dos hitos fundamentales; requerir el consentimiento del titular del dato previo al procesamiento y proveerle de medidas suficientes de seguridad constituyen dos metas a alcanzar por parte de desarrolladores y comercializadores de aplicaciones mviles.

Las medidas tcnicas cumplen un rol importante como una forma de prevenir las vulneraciones a la seguridad. Se trata de propender a que las tecnologas cumplan la funcin de proteger la privacidad de los usuarios, presentndose como TICs al servicio del hombre y al servicio del respeto a sus derechos fundamentales.

Es de inters destacar, asimismo, que la encripcin de por s no es suficiente para garantizar la proteccin de datos, sino que es necesario que tambin los proveedores de datos mviles colaboren, as como los responsables de los dispositivos y los usuarios. Las normas contractuales tambin proveen de un medio interesante para enmarcar los derechos involucrados.

Desde la autoridad de control de datos personales de Francia, se enfatiz que las aplicaciones incrementan los riesgos a la privacidad, y que los usuarios lo nico que pueden hacer ante estos riesgos es desinstalar las aplicaciones, o desactivar la geolocalizacin.

La educacin al usuario se presenta como una forma de eludir posibles trucos y de lograr una adecuada proteccin de los datos personales de los sujetos involucrados, procurando un comportamiento adecuado y conforme a estndares, que pueden ser los que provee el GSMA (Global System for Mobile Operators and

5 Fuente: GSMA UK, segn Risks and benefis of mobile applications, NewEurope, February 12, 2013.

4

related companies Association, empresa dedicada a promover la estandardizacin y promocin de la tecnologa GSM).

Este tipo de dificultades nos muestran la importancia de la informacin que pueda brindarse a los desarrolladores sobre las reglas de proteccin de datos, de manera que ellos puedan crear aplicaciones que sean respetuosas de la privacidad.

En el panel se analiz, asimismo, que una vez operada la desactivacin de una aplicacin en un dispositivo mvil, no existe un sistema que d aviso a los desarrolladores de que deben dejar de colectar datos en tal dispositivo.

Asimismo, cuando se instala una aplicacin, no se exponen los detalles de cul informacin personal ser colectada y analizada. Muchas veces los datos son enviados a otros desarrolladores que los utilizan, lo cual se constituye en una irregularidad ms. En esos casos, segn Frank Dumortier, investigador de la Universidad de Namur (CRIDS), lo nico que puede hacerse es confiar en Apple o en Google6.

Se plante, tambin, el hecho de que aplicar una parte de una pantalla, que de por s es pequea, para mostrar las polticas de seguridad y de privacidad de una aplicacin, muchas veces puede transformar la apariencia de la aplicacin en mucho menos atractiva, y por tanto mucho menos competitiva.

El representante de NOKIA presente en el panel fue quien remarc que, ms all de todo riesgo, los beneficios que brindan las aplicaciones son notorios en la vida diaria de las personas. Explic que NOKIA otorga importancia especial a que todas las aplicaciones que oferta cumplan con los requerimientos necesarios referentes a la privacidad, al punto que si nos los cumple las aplicaciones no son tenidas en cuenta por la empresa, lo cual explica por qu NOKIA no oferta demasiadas aplicaciones.

No obstante estos cuidados, manifiesta que la empresa tiene sede en 70 pases y tiene personal de 113 nacionalidades distintas, lo cual plantea dificultades en cuanto al entrenamiento del personal, que necesariamente debe variar de conformidad con la jurisdiccin donde se desempea.

Tambin es de trascendencia lo referente a las transferencias internacionales de datos, as como el gerenciamiento de los datos por terceras personas en caso de tercerizacin, ante las dificultades para las notificaciones y para dar al usuario las debidas opciones.

Otro de los problemas interesantes a tener en cuenta al momento de reglar estos temas se presenta por saber quin es el encargado del control cuando las partes son varias, y si las reglas deben variar segn la cantidad de partes 6 La traduccin es de nuestra responsabilidad.

5

involucradas. El hecho de que las partes involucradas sean numerosas provee de mayor cantidad de riesgos para la proteccin de datos, en tanto la responsabilidad se presenta diluida entre desarrolladores de las aplicaciones, propietarios de las aplicaciones, proveedores de las aplicaciones, creadores de los sistemas operativos, y terceras partes que pueden estar involucradas ya sea en el anlisis o en la publicidad de los proveedores. Entre todos estos sujetos se aprecia una yuxtaposicin de responsabilidades referentes a la proteccin de datos, y hemos de apreciar que para lograr los estndares ms altos de privacidad es necesario que las distintas partes involucradas colaboren en el sistema general.

A la fecha de la Conferencia, la necesidad de nuevas pautas regulatorias era evidente, y as se mostraba constantemente al desarrollar los riesgos para la privacidad que se generan por las aplicaciones mviles, y cmo estos no estaban siendo adecuadamente atendidos por los marcos legales existentes, generando preocupacin a los reguladores.

Las recomendaciones tradas a consideracin por el International Working Group on Data Protection in Telecommunications (675.41.18) estaban requiriendo mayores precisiones y el proyecto de ley impulsado por el Representante de U.S. Hank Johnson (D-Ga.) en el sentido de requerir a los desarrolladores de aplicaciones que publicitaran la forma como obtienen la informacin y que permitieran a los usuarios solicitar que se borraran sus datos personales que se encontraran almacenados, nos estaban tambin mostrando dicha necesidad de adoptar nuevos marcos regulatorios.

Los dichos vertidos en la Conferencia nos llevaron a la reflexin sobre la importancia de las reglas asumidas por las partes contractualmente, que todos los sujetos involucrados deben tener presentes las regulaciones sobre proteccin de datos personales y cmo hacerlas efectivas, el inters en que los proveedores sean confiables, y a tener presente que a efectos de una adecuada proteccin de la privacidad es necesario que varios elementos funcionen conjugadamente: medidas tcnicas, educacin, comportamiento, estndares, funcionamiento transparente y que las tecnologas funcionen al servicio del hombre y de sus derechos fundamentales.

Es as como, pocas semanas despus de la Conferencia, el 27 de febrero de 2013, se emiti la Opinin No. 2/2013 del Grupo de Trabajo del artculo 29 de la Directiva 95/46/EC de la Comisin Europea, sobre aplicaciones en dispositivos inteligentes, que fuera publicada el 15 de marzo ppdo., que vino a proveer sobre un marco de regulacin aplicable al procesamiento de datos personales en el desarrollo, distribucin y uso de aplicaciones en dichos dispositivos, que otorga especial consideracin al requerimiento del consentimiento, a los principios de finalidad y minimizacin de los datos, a la necesidad de adoptar medidas adecuadas de seguridad, a la obligacin de informar correctamente a los usuarios sobre sus derechos, a una retencin peridica razonable y, especficamente, al procesamiento justo de los datos colectados de los nios y acerca de ellos.

6

Las conclusiones finales de dicho documento se dividen en recomendaciones para los desarrolladores de aplicaciones, para los proveedores de aplicaciones, para los proveedores de sistemas operativos y de dispositivos y para los terceros.

A los desarrolladores de aplicaciones el Grupo de Trabajo recomienda: que analicen los riesgos y adopten las medidas de seguridad necesarias; que informen proactivamente a los usuarios sobre las vulneraciones a la seguridad de conformidad con los requerimientos de las directivas; que informen a los usuarios sobre el principio de proporcionalidad con referencia a los datos que se colectan o acceden desde los dispositivos, de los perodos de retencin y de las medidas de seguridad aplicadas; que desarrollen herramientas que habiliten la retencin de los datos conforme preferencias o contextualizadamente; que incluyan informacin en sus polticas dedicadas a los usuarios europeos; que desarrollen e implementen herramientas simples y seguras para el acceso a los usuarios, sin colectar demasiados datos; que, conjuntamente con los responsables de los dispositivos y de sus sistemas operativos, desarrollen soluciones innovadoras para informar a los usuarios.

En cuanto a los proveedores de aplicaciones, se les recomienda: que desarrollen medidas de informacin para los usuarios; que todas las aplicaciones que ofrezcan estn sujetas a mecanismos de reputacin pblica; que implementen mecanismos amigables para desinstalar aplicaciones; que provean de canales de retroalimentacin sobre privacidad y seguridad para los usuarios; que colaboren con los desarrolladores de aplicaciones para informar a los usuarios sobre vulneraciones a la seguridad; que pongan sobre aviso a quienes vayan a desarrollar aplicaciones para el mercado europeo sobre las disposiciones regulatorias que rigen en cuanto al consentimiento y a las transferencias internacionales de datos.

El Grupo de Trabajo recomienda a los proveedores de dispositivos y de sus sistemas operativos: que habiliten a los usuarios para desinstalar aplicaciones y les provean de sistemas para borrar los datos que consideren relevantes; que ofrezcan y faciliten regularmente actualizaciones de seguridad; que aseguren que los requisitos relativos al consentimiento se vean honrados; que ayuden activamente a desarrollar y facilitar alertas a los usuarios cuando sus datos son utilizados por las aplicaciones; que desarrollen auditoras que dejen rastros que habiliten a los usuarios finales ver claramente qu aplicaciones han accedido a los datos de sus dispositivos y a cantidad de datos de trfico por aplicacin, en relacin con el trfico realizado a iniciativa del usuario.

Por ltimo, las recomendaciones del Grupo del Artculo 29 refieren a terceros, a quienes indican: que deben desarrollar herramientas de acceso para los usuarios que sean simples y seguras, y que no coleccionen datos personales excesivos adicionalmente; que slo colecten y procesen los datos que son consistentes con el contexto en que el usuario provee los datos.