Logo de la Universdad de Valencia Logo Cátedra de Gobierno Abierto, Participación y Open Data (PAGODA) Logo del portal

Privacidad desde el diseño y uso de apps por las administraciones públicas, Wilma Arellano

  • 11 noviembre de 2020
 

Privacidad desde el diseño y uso de apps por las administraciones públicas

Wilma Arellano Toledo
Dra. por la Universidad Complutense de Madrid (UCM), Profesora del Máster de Transparencia de la UCM y del Máster de Datos y Visualización de la Información de la UNIR

 

Aplicaciones móviles al servicio de los ciudadanos y las Administraciones Públicas

El uso de aplicaciones móviles o apps para diversos fines se ha convertido en una generalidad desde hace ya algún tiempo. Aproximadamente, las aplicaciones para smartphone y tabletas alcanzan porcentajes de uso entre los usuarios superiores al 90%, lo que nos indica que la gran mayoría de la población española usa las apps con distintos fines: entretenimiento, educación, cultura, viajes o relacionarse con la Administración.

Fuente: ONTSI
Fuente: ONTSI

Según el Observatorio de Telecomunicaciones y Sociedad de la Información (ONTSI), el número de personas que utiliza Internet y sus dispositivos móviles para hacer contacto con la Administración, cumplir con obligaciones o hacer uso de los servicios públicos; es cada vez mayor. Por ejemplo, para hacer la Declaración de la Renta, es mayor el número de ciudadanos que lo hace por Internet que quienes lo hacen de manera presencial, dada la comodidad que para algunos representa esta modalidad. Comodidad que no es generalizada, puesto que por cuestiones de brecha (generacional –que se va superando poco a poco--o de acceso –que puede ser por calidad o por precio--) y por temas de seguridad, no toda la población desea utilizar servicios de este tipo. Y ahí está uno de los retos de la Administración, si es que pensamos en una auténtica transformación del sector público.

El uso de aplicaciones móviles tiene una utilidad patente para los administrados y también para la Administración. Sin embargo, para que la utilización de apps entrañe sobre todo beneficios y no genere perjuicios, es evidente que debe haber seguridad y la gente tiene que tener confianza en su uso. También es importante que las Administraciones utilicen de manera segura las aplicaciones móviles en su labor de gestión. Todo ello, aprovechando al máximo sus ventajas al tiempo que se respetan y potencian los derechos fundamentales, tales como el derecho a la información o el derecho a la intimidad.

En el actual contexto que vivimos por la pandemia del coronavirus, de hecho, se han potenciado aún más los medios digitales y las apps orientadas a diferentes cuestiones, tales como el trabajo, la comunicación interpersonal o la atención ciudadana. En específico sobre el virus, se ha fomentado desde el Ministerio de Sanidad el uso de la llamada aplicación Radar COVID que permite la detección y rastreo de infectados (no sin debate sobre si es respetuosa con la privacidad de quienes la utilizan: véase por ejemplo el Dictamen de la Agencia Vasca de Protección de Datos a ese respecto).

La appificación de la sociedad y su impacto en la privacidad

En 2013, las Autoridades de Protección de Datos firmaron la Declaración de Varsovia sobre la appificación de la sociedad, en donde se manifestaban sobre la creciente utilización de aplicaciones móviles y sus impactos en la privacidad de las personas. Entendían que los desarrolladores y comercializadores de aplicaciones tienen una responsabilidad al respecto y que los usuarios deberían poder restringir o abrir sus controles de privacidad "caso por caso" y añade que se debe evitar el factor sorpresa: "Necesita valorarse desde ya la necesidad de enseñar cursos de ética y derecho a quienes desarrollan estas apps".

La verdad es que sobre esta situación, podríamos decir que existen las dos caras de la moneda. Por un lado, es verdad que muchos científicos de datos e informáticos trabajan bajo una premisa clara definida por las empresas e intentan diseñar software y hardware que recabe y almacene la mayor cantidad posible de datos de todo tipo, incluyendo desde luego muchos de carácter personal. Pero por otro lado, también es verdad que hay diseñadores y desarrolladores independientes o que explotan las posibilidades de la técnica, sin una mala intención a priori. En esos casos, sí que podemos hablar de desconocimiento. Los que hemos trabajado en entornos interdisciplinares y hemos conocido de cerca a profesionales de la ciencia de datos y de la ingeniería de software, sabemos que una buena parte de las veces no hay dolo en sus acciones, sobre todo cuando se trata de ámbitos menos cercanos a las grandes transnacionales o tecnológicas. Por ejemplo, cuando se hace I+D.

Los desarrolladores que desconozcan u obvien la regulación sobre privacidad pueden diseñar dispositivos que permitan un tratamiento excesivo de datos, lo que puede estar sumado a una falta de consentimiento del titular. En conjunto, todo esto constituye un problema complejo que involucra procesos que van desde el desarrollo del software (por ejemplo, las configuraciones de privacidad de las apps) hasta la del hardware (etiquetas RFID, bluetooth, GPS, cámaras delantera y trasera, etcétera), es decir, el diseño físico y lógico. Todos nuestros dispositivos están dotados de esto y muchas veces no somos conscientes de lo que recopilan, cómo lo recopilan, cómo lo tratan y con qué objeto. Es por eso la Comisión Europea ha hablado del "silencio de los chips", como un derecho a que nos desconectemos de nuestro entorno digital cuando así lo deseemos.

Fuente: ONTSI

Aún más allá, si hablamos del sistema operativo de un teléfono, suele estar diseñado para que sus interfaces accedan a los sensores del smartphone, por ejemplo a las brújulas, sensores de movimiento, de pulsaciones y muchos otros que pueden contener datos de salud o biométricos, con las consecuentes amenazas a la privacidad de las personas.

Pero no sólo es importante la fase del diseño físico y lógico, sino también la fase de comercialización de los dispositivos y de las aplicaciones, máxime si tomanos en cuenta que muchas veces la misma empresa duplica funciones, pues se trata del desarrollador, pero también el que comercializa y controla los puntos de venta. El Grupo de Trabajo del Artículo 29 explicó en su momento que los datos personales se tratan cada día con mayor elasticidad y casi siempre van más allá de la finalidad, uno de los principios esenciales en materia de protección de datos de carácter personal. Cuando las grandes compañías controlan buena parte de las fases mencionadas, la cuestión se puede agravar.

En este sentido y en la línea de respetar dichos principios de protección de datos, están en juego todos (consentimiento, licitud, etcétera) pero de manera especial para el enfoque que estamos dando, el de información. Es la empresa (y más si se duplican sus funciones como hemos dicho) la que tiene en sus manos el informar a los usuarios sobre las opciones de privacidad y también de los posibles riesgos. En el caso que nos ocupa, desde los desarrolladores y los comercializadores, pero también las compañías de acceso a Internet y las Administraciones Públicas que fomentan los usos de apps por los ciudadanos.

Privacidad desde el diseño

El planteamiento central de la privacidad desde el diseño podría definirse como: combatir la tecnología con tecnología, o al menos, contrarrestar los efectos negativos de ésta utilizándola a favor de los usuarios. Ya hemos mencionado el papel de los desarrolladores y es que son precisamente éstos los que pueden/deben aplicar las medidas de seguridad necesarias para proteger los derechos de las personas y evitar las brechas en este sentido. Y esto deben hacerlo desde el diseño de los dispositivos, incluyendo el del aparato y sus componentes y el de el software y las aplicaciones.

El artículo 25 del Reglamento General de Protección de Datos establece dos fórmulas en este sentido y son: la pseudoanonimización de los datos y la minimización de los mismos. La primera estaría en la línea de la privacidad desde el diseño y la segunda conectaría también con la privacidad por defecto, de la que hablaremos en breve.

Fuente: Agencia Española de Protección de Datos

Los siete principios del Privacy by Design (PbD) son muy conocidos, desde que la Comisionada de Privacidad de Ontario Ann Cavoukian los planteara en los años noventa. Se trata, primero, de que en las fases de diseño se trabaje en un enfoque proactivo, para que no tenga que ser reactivo cuando se presenten los problemas. Es decir, diseñar para tratar de evitar que se viole la privacidad y no diseñar para luego tener que curar. Es decir, que la filosofía sea de prevención y no de corrección.

Una Guía reciente de la Agencia Española de Protección de Datos explica que este punto de vista no deben tenerlo solamente los desarrolladores, sino todos los que intervengan en todos los procesos en donde la privacidad esté en riesgo. Y en este sentido, las Administraciones Públicas estarían en el papel de la organización que debe adoptar estos enfoques y prevenir a los ciudadanos informando y alertando sobre diferentes riesgos de las apps y también aplicando esta PbD cuando se encarguen diseños de aplicaciones móviles para uso del sector público.

También se busca, como segundo principio, que la privacidad aparezca como parte de la configuración de las apps para que el usuario pueda “abrir” sus canales cuando así lo desee y no a la inversa, que esté abierta y el usuario tenga que ir “cerrando” las opciones para proteger sus datos y su privacidad. Según la AEPD, se busca que “los datos personales estén automáticamente protegidos en cualquier sistema, aplicación, producto o servicio”. Como vemos, aquí también entrarían las Administraciones Públicas, que prestan servicios al ciudadano, entre otras modalidades, a través del uso de apps. Esto debe hacerse en todas las fases en donde haya tratamiento de datos: recogida, uso, conservación y difusión.

El tercero de los principios se resumiría en el hecho de que la privacidad esté incorporada desde el diseño, lo que significa que debe estar presente en todo el ciclo de vida del producto o servicio (desde que se concibe, hasta el momento final de su utilización o disfrute). El uso de apps por las Administraciones Públicas para el ejercicio de sus funciones y el fomento de su utilización por la ciudadanía a la cual sirven, debe tener en consideración esta premisa.

Fuente: Agencia Española de Protección de Datos

 

La filosofía del win to win sería otro de los principios del PbD, puesto que la idea es que haya un equilibrio en la protección de los intereses de todas las partes involucradas. La experiencia del usuario, el potencial de la tecnología, el correcto funcionamiento del Internet de las Cosas que mucho se basa en apps –y en donde hay diversas cuestiones que afectan a la privacidad--, los intereses de las empresas que invierten en tecnología y el buen servicio que debe prestar una Administración Pública, deben estar igualmente garantizados cuando se protege la privacidad. No se deben presentar, dice la Guía de la AEPD, “dicotomías como privacidad vs usabilidad, privacidad vs funcionalidad, privacidad vs beneficio empresarial, inclusoprivacidad vs seguridad”. Deben respetarse los intereses de la entidad y los de los destinatarios a los que se presta el servicio y esto es plenamente aplicable a las Administraciones Públicas.

El que se asegure la privacidad en todo el ciclo de vida, forma parte del tercer principio, pero también de uno nuevo que añadiría una serie de medidas para garantizar que todas las fases en las que haya recogida y tratamiento de datos, sean respetuosas con la privacidad. Para que esto sea posible, la Agencia menciona la seudoanonimización temprana, la k-anonimidad, el cifrado por defecto y la destrucción segura.

Por otro lado, muchas veces se ha pensado que la privacidad es contraria a la transparencia, pero el sexto principio de la PbD se refiere precisamente a que debe existir tanto transparencia como visibilidad. Esto implica que la entidad u organización que trate datos personales, transparente sus políticas para cuidarlos y garantizar la privacidad. Aquí las Administraciones Públicas tendrían evidentemente un papel esencial a cumplir y especialmente cuando se usen apps para la gestión o para la prestación de servicios, máxime si puede haber información delicada como es el caso de los datos de salud, biométricos o financieros, por poner algunos ejemplos. Se deben cumplir entonces todas las obligaciones que impone la Ley de Protección de Datos de 2018.

Finalmente y abarcando los demás elementos de la PbD, el último principio iría en la línea de establecer una política de privacidad, siempre centrada en el usuario. En este sentido, de lo que se trata es de garantizar todos los derechos y libertades que corresponden a las personas y por supuesto que deben hacerlo las empresas, pero las Administraciones Públicas quizá son las primeras que están llamadas a hacerlo. Es uno de sus papeles primordiales y los ciudadanos nos fiamos de que así será. Al hablar de usos de apps hemos mencionado sobre todo la privacidad, pero también entran en juego otros derechos deben estar siempre protegidos.

Fuente: ADP Data Privacy

 

Privacidad y protección de datos por defecto

Brevemente, haremos referencia a otro concepto que está intrínsecamente ligado al anterior, pero que tiene sus especificidades. Nos referimos a la privacidad por defecto o protección de datos por defecto PdpD, para la cual la AEPD también ha elaborado una Guía. La PDpD ya ha sido citada y tiene que ver más con el software que con el hardware, aunque también con éste. Hace referencia al hecho de que las políticas de privacidad deben ser lo más respetuosas con los derechos individuales por defecto y en la configuración de los dispositivos y en las aplicaciones. Se trata de que el usuario pueda definir en qué casos quiere abrir los controles y compartir informaciones de tipo personal, sea con otros usuarios, con las Administraciones Públicas o con los prestadores de servicios de TIC, por mencionar algunos.

El fin que se persigue es que sólo se utilicen los datos estrictamente necesarios para el tratamiento y no aquellos que excedan la finalidad para la cual fueron recabados. Esta es una obligación que también establece el artículo 25 del RGPD y es aplicable “a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad”. Para conseguir lo anterior, los sujetos obligados (entre los que están por supuesto las Administraciones Públicas) pueden utilizar un mecanismo de certificación.

Conclusiones

Las aplicaciones móviles son muy utilizadas hoy en día y proporcionan una serie de ventajas para las personas y los sectores tanto público como privado. Son de vital importancia para que los ciudadanos se relacionen con la Administración, para que ésta lleve a cabo sus labores de gestión y preste los servicios que debe prestar.

Sin embargo, para que los ciudadanos tengan confianza en el uso de las apps, deben tener la certeza de que no corren riesgos y uno de ellos es el que tiene que ver con la privacidad. Una de las medidas que las autoridades europeas y españolas han impulsado es la de la privacidad desde el diseño, que implica que tanto la parte física como la parte lógica de los dispositivos y su software y aplicaciones; se conciban, fabriquen, comercialicen y se pongan a disposición, respetando en todo el ciclo la privacidad de las personas. Sólo de este modo, generando confianza, es que se puede llegar a una auténtica Administración electrónica y a una digitalización del sector público.

 

 

Wilma Arellano Toledo
Wilma Arellano Toledo

Dra. por la Universidad Complutense de Madrid (UCM)

Profesora e investigadora en Derecho de las TIC y de la Información. Profesora del Máster de Transparencia de la UCM y del Máster de Datos y Visualización de la Información de la UNIR. Miembro de OdiseIA (Observatorio de Inteligencia Artificial). Miembro del Proyecto “Derechos y garantías frente a las decisiones automatizadas en entornos de IA, IoT, big data y robótica”, liderado por Lorenzo Cotino. Colaboradora honorífica del Departamento de Derecho Constitucional de la UCM.