6 CPDP 2013

Les Halles de Schaerbeek, Bruselas, 23 al 25 de enero de 2013.

DISPOSITIVOS MOVILES Y SUS APLICACIONES,

RIESGOS, DESAFIOS, OPORTUNIDADES Y TENDENCIAS FUTURAS.
Dra. Ana Brian Nougrres

Entre el 23 y el 25 de enero de 2013, pocos das antes de la celebracin del

Da Internacional de la Proteccin de Datos Personales y la Privacidad, se llev a
cabo en Les Halles de Schaerbeek de la ciudad de Bruselas, Blgica, la 6
Conferencia Internacional Computers, Privacy and Data Protection (CPDP 2013):
Reloading Data Protection, que cont con la presencia de ms de cuatrocientos
invitados, entre los cuales haba acadmicos, investigadores, autoridades de
control, representantes de organizaciones sin fines de lucro, todos ellos con
formacin en ciencias, tecnologa, derechos fundamentales, ciencias polticas. Las
discusiones sobre los distintos temas en anlisis se llevaron a cabo en la
atmsfera de independencia y respeto recproco que siempre ha caracterizado
estos encuentros, que se vienen desarrollando anualmente desde 2007. Se trata
de conferencias organizadas por la Universidad Vrije de Bruselas, la Universidad
de Namur y la Universidad de Tilburg, a la que se uni en la instancia entre otrosel Fraunhofer Institut fur System und Innovationsforschung.
Tuve el honor de ser uno de los dos uruguayos acreditados en el evento,
junto con el Dr. Felipe Rotondo, Presidente de la Unidad Reguladora y de Control
de Datos Personales, quien tuvo a su cargo una excelente conferencia en la que
ilustr al auditorio sobre la Proteccin de Datos en Uruguay.
Por su parte, el tema que convoc mi participacin fue el del Panel sobre
Dispositivos Mviles y sus Aplicaciones, riesgos, desafos, oportunidades y
tendencias futuras, que tuvo lugar el 24 de enero, en el que la participacin fue
multidisciplinar: desde representantes del gabinete poltico de la VicePresidencia
de la Comisin de Agenda Digital de la Comisin Europea (Carl-Christian Buhr),
pasando por un integrante de la Presidencia del Comit de Expertos en
Tecnologas de la Informacin de la Comission Nationale de Iinformatique et des
liberts, autoridad de control de proteccin de datos francesa, (Gwendal Le
Grand), investigadores (Frank Dumortier), abogados (Cedric Burton, Anna
Pateraki, quien suscribe) y representantes de empresas de telefona mvil (Dr.
Tobias Brutigam, Senior Legal Counsel, Legal and Intellectual Property, Nokia).
Presente en la mesa estuvo asimismo Pat Walshe, Director de GSMA, entidad que
representa los intereses de los operadores mviles alrededor del mundo y que ha

publicado un excelente conjunto de Directrices para el Diseo de Privacidad en el

Desarrollo de Aplicaciones Mviles1.
Se inici la discusin planteando la siguiente inquietud: El nmero creciente
de tabletas y telfonos inteligentes que hay en el mercado ha llevado a las
predicciones a evaluar que en 2014 se descargarn ms de 76.9 millones de
aplicaciones mviles. Hoy por hoy, hay miles de aplicaciones diferentes
disponibles en el mercado para cada tipo de dispositivo inteligente2. Sin duda
posible, la aparicin de los dispositivos mviles ha aumentado significativamente
los riesgos para la proteccin de los datos personales.
La creciente importancia que damos a los dispositivos mviles se puede
medir por la gran cantidad de telfonos mviles, telfonos inteligentes,
computadores personales, PDAs, tabletas, que proliferan en el mercado, que
estn a disposicin de todos, que utilizan redes para comunicarse, para procesar
informacin, en medios que no necesariamente poseen los requisitos mnimos de
seguridad. Esa informacin puede ser informacin relativa a agendas, a
coordinacin de reuniones, pero muchas veces tambin constituye informacin
personal, confidencial, que se vuelve altamente accesible para cualquier persona
que se proponga obtenerla.
Las vulneraciones a la seguridad de las comunicaciones pueden producirse
en el uso de comunicaciones no encriptadas, o como consecuencia de la
utilizacin de dispositivos de geolocalizacin, o mediante la utilizacin de sistemas
de comunicaciones de bajo rango, como puede ser el caso de bluetooth, que
pueden colaborar a efectos de que un tercero pueda asumir el control de un
dispositivo no protegido. Los riesgos tambin se pueden producir en instancias del
almacenamiento de la informacin, en tanto hay programas de almacenamiento
que son ms propensos a infectarse con malware o a generar entornos de
inseguridad, sea porque producen daos en la informacin, o daos en la
estabilidad del sistema.
Todas las aplicaciones mviles tienden a hacer la vida ms fcil a sus
usuarios, pero debemos tener presente que no todo es positivo, sino que hay una
tendencia creciente a preocuparse por la privacidad, que en la sociedad
norteamericana se ve fundamentalmente en las clases ms educadas de la
poblacin y en las que tienen mayores ingresos3.
En tal sentido, segn investigacin llevada a cabo en el Pew Research
Center durante 20124, ms de la mitad de los usuarios de aplicaciones mviles
1

Mviles y Privacidad. Directrices para el diseo de privacidad en el desarrollo de aplicaciones, GSMA.

Junio de 2012.
2
Opinion 02/2013 on apps on smart devices, Article 29 Data Protection Party, adopted 27 February 2013.
3
Privacy and Data Management on Mobile Devices, Pew Research Center s Internet and American Life
Project. Septiembre 5 de 2012.
4
Privacy and Data Management on Mobile Devices, Pew Research Center s Internet and American Life
Project. Septiembre 5 de 2012.

(54%) han decidido no instalar aplicaciones en sus telfonos celulares porque

descubrieron cunta informacin personal tendran que compartir para usar dicha
aplicacin, y el 30% de los usuarios de aplicaciones mviles desinstalaron una
aplicacin que tenan en su celular por percibir que esta aplicacin estaba
colectando informacin personal que ellos no estaban dispuestos a compartir. El
mismo estudio analiza cmo una de cada diez personas sufri una invasin a su
privacidad por terceras personas desde su telfono celular.
En Europa, por su parte, se habla de que un 92% de los usuarios de
telefona celular estn preocupados por las aplicaciones de sus telfonos5, trtese
de aplicaciones de telefona propiamente dichas, de redes sociales, o de
buscadores de internet.
Como una forma de ganar la confianza de los usuarios, desde la Comisin
Europea se ha trabajado en la regulacin del procesamiento de los datos
personales, en pos del principio de transparencia y a efectos de que cada usuario
tenga control de su informacin personal para asegurar un sistema adecuado de
proteccin de sus datos. Transparencia y concientizacin se tornan en dos hitos
fundamentales; requerir el consentimiento del titular del dato previo al
procesamiento y proveerle de medidas suficientes de seguridad constituyen dos
metas a alcanzar por parte de desarrolladores y comercializadores de aplicaciones
mviles.
Las medidas tcnicas cumplen un rol importante como una forma de
prevenir las vulneraciones a la seguridad. Se trata de propender a que las
tecnologas cumplan la funcin de proteger la privacidad de los usuarios,
presentndose como TICs al servicio del hombre y al servicio del respeto a sus
derechos fundamentales.
Es de inters destacar, asimismo, que la encripcin de por s no es
suficiente para garantizar la proteccin de datos, sino que es necesario que
tambin los proveedores de datos mviles colaboren, as como los responsables
de los dispositivos y los usuarios. Las normas contractuales tambin proveen de
un medio interesante para enmarcar los derechos involucrados.
Desde la autoridad de control de datos personales de Francia, se enfatiz
que las aplicaciones incrementan los riesgos a la privacidad, y que los usuarios lo
nico que pueden hacer ante estos riesgos es desinstalar las aplicaciones, o
desactivar la geolocalizacin.
La educacin al usuario se presenta como una forma de eludir posibles
trucos y de lograr una adecuada proteccin de los datos personales de los sujetos
involucrados, procurando un comportamiento adecuado y conforme a estndares,
que pueden ser los que provee el GSMA (Global System for Mobile Operators and

Fuente: GSMA UK, segn Risks and benefis of mobile applications, NewEurope, February 12, 2013.

related companies Association, empresa dedicada a promover la estandardizacin

y promocin de la tecnologa GSM).
Este tipo de dificultades nos muestran la importancia de la informacin que
pueda brindarse a los desarrolladores sobre las reglas de proteccin de datos, de
manera que ellos puedan crear aplicaciones que sean respetuosas de la
privacidad.
En el panel se analiz, asimismo, que una vez operada la desactivacin de
una aplicacin en un dispositivo mvil, no existe un sistema que d aviso a los
desarrolladores de que deben dejar de colectar datos en tal dispositivo.
Asimismo, cuando se instala una aplicacin, no se exponen los detalles de
cul informacin personal ser colectada y analizada. Muchas veces los datos son
enviados a otros desarrolladores que los utilizan, lo cual se constituye en una
irregularidad ms. En esos casos, segn Frank Dumortier, investigador de la
Universidad de Namur (CRIDS), lo nico que puede hacerse es confiar en Apple
o en Google6.
Se plante, tambin, el hecho de que aplicar una parte de una pantalla, que
de por s es pequea, para mostrar las polticas de seguridad y de privacidad de
una aplicacin, muchas veces puede transformar la apariencia de la aplicacin en
mucho menos atractiva, y por tanto mucho menos competitiva.
El representante de NOKIA presente en el panel fue quien remarc que,
ms all de todo riesgo, los beneficios que brindan las aplicaciones son notorios
en la vida diaria de las personas. Explic que NOKIA otorga importancia especial a
que todas las aplicaciones que oferta cumplan con los requerimientos necesarios
referentes a la privacidad, al punto que si nos los cumple las aplicaciones no son
tenidas en cuenta por la empresa, lo cual explica por qu NOKIA no oferta
demasiadas aplicaciones.
No obstante estos cuidados, manifiesta que la empresa tiene sede en 70
pases y tiene personal de 113 nacionalidades distintas, lo cual plantea dificultades
en cuanto al entrenamiento del personal, que necesariamente debe variar de
conformidad con la jurisdiccin donde se desempea.
Tambin es de trascendencia lo referente a las transferencias
internacionales de datos, as como el gerenciamiento de los datos por terceras
personas en caso de tercerizacin, ante las dificultades para las notificaciones y
para dar al usuario las debidas opciones.
Otro de los problemas interesantes a tener en cuenta al momento de reglar
estos temas se presenta por saber quin es el encargado del control cuando las
partes son varias, y si las reglas deben variar segn la cantidad de partes
6

La traduccin es de nuestra responsabilidad.

involucradas. El hecho de que las partes involucradas sean numerosas provee de

mayor cantidad de riesgos para la proteccin de datos, en tanto la responsabilidad
se presenta diluida entre desarrolladores de las aplicaciones, propietarios de las
aplicaciones, proveedores de las aplicaciones, creadores de los sistemas
operativos, y terceras partes que pueden estar involucradas ya sea en el anlisis o
en la publicidad de los proveedores. Entre todos estos sujetos se aprecia una
yuxtaposicin de responsabilidades referentes a la proteccin de datos, y hemos
de apreciar que para lograr los estndares ms altos de privacidad es necesario
que las distintas partes involucradas colaboren en el sistema general.
A la fecha de la Conferencia, la necesidad de nuevas pautas regulatorias
era evidente, y as se mostraba constantemente al desarrollar los riesgos para la
privacidad que se generan por las aplicaciones mviles, y cmo estos no estaban
siendo adecuadamente atendidos por los marcos legales existentes, generando
preocupacin a los reguladores.
Las recomendaciones tradas a consideracin por el International Working
Group on Data Protection in Telecommunications (675.41.18) estaban requiriendo
mayores precisiones y el proyecto de ley impulsado por el Representante de U.S.
Hank Johnson (D-Ga.) en el sentido de requerir a los desarrolladores de
aplicaciones que publicitaran la forma como obtienen la informacin
y
que
permitieran a los usuarios solicitar que se borraran sus datos personales que se
encontraran almacenados, nos estaban tambin mostrando dicha necesidad de
adoptar nuevos marcos regulatorios.
Los dichos vertidos en la Conferencia nos llevaron a la reflexin sobre la
importancia de las reglas asumidas por las partes contractualmente, que todos los
sujetos involucrados deben tener presentes las regulaciones sobre proteccin de
datos personales y cmo hacerlas efectivas, el inters en que los proveedores
sean confiables, y a tener presente que a efectos de una adecuada proteccin de
la privacidad es necesario que varios elementos funcionen conjugadamente:
medidas tcnicas, educacin, comportamiento, estndares, funcionamiento
transparente y que las tecnologas funcionen al servicio del hombre y de sus
derechos fundamentales.
Es as como, pocas semanas despus de la Conferencia, el 27 de febrero
de 2013, se emiti la Opinin No. 2/2013 del Grupo de Trabajo del artculo 29 de
la Directiva 95/46/EC de la Comisin Europea, sobre aplicaciones en dispositivos
inteligentes, que fuera publicada el 15 de marzo ppdo., que vino a proveer sobre
un marco de regulacin aplicable al procesamiento de datos personales en el
desarrollo, distribucin y uso de aplicaciones en dichos dispositivos, que otorga
especial consideracin al requerimiento del consentimiento, a los principios de
finalidad y minimizacin de los datos, a la necesidad de adoptar medidas
adecuadas de seguridad, a la obligacin de informar correctamente a los usuarios
sobre sus derechos, a una retencin peridica razonable y, especficamente, al
procesamiento justo de los datos colectados de los nios y acerca de ellos.

Las conclusiones finales de dicho documento se dividen en

recomendaciones para los desarrolladores de aplicaciones, para los proveedores
de aplicaciones, para los proveedores de sistemas operativos y de dispositivos y
para los terceros.
A los desarrolladores de aplicaciones el Grupo de Trabajo recomienda: que
analicen los riesgos y adopten las medidas de seguridad necesarias; que informen
proactivamente a los usuarios sobre las vulneraciones a la seguridad de
conformidad con los requerimientos de las directivas; que informen a los usuarios
sobre el principio de proporcionalidad con referencia a los datos que se colectan o
acceden desde los dispositivos, de los perodos de retencin y de las medidas de
seguridad aplicadas; que desarrollen herramientas que habiliten la retencin de los
datos conforme preferencias o contextualizadamente; que incluyan informacin en
sus polticas dedicadas a los usuarios europeos; que desarrollen e implementen
herramientas simples y seguras para el acceso a los usuarios, sin colectar
demasiados datos; que, conjuntamente con los responsables de los dispositivos y
de sus sistemas operativos, desarrollen soluciones innovadoras para informar a
los usuarios.
En cuanto a los proveedores de aplicaciones, se les recomienda: que
desarrollen medidas de informacin para los usuarios; que todas las aplicaciones
que ofrezcan estn sujetas a mecanismos de reputacin pblica; que implementen
mecanismos amigables para desinstalar aplicaciones; que provean de canales de
retroalimentacin sobre privacidad y seguridad para los usuarios; que colaboren
con los desarrolladores de aplicaciones para informar a los usuarios sobre
vulneraciones a la seguridad; que pongan sobre aviso a quienes vayan a
desarrollar aplicaciones para el mercado europeo sobre las disposiciones
regulatorias que rigen en cuanto al consentimiento y a las transferencias
internacionales de datos.
El Grupo de Trabajo recomienda a los proveedores de dispositivos y de sus
sistemas operativos: que habiliten a los usuarios para desinstalar aplicaciones y
les provean de sistemas para borrar los datos que consideren relevantes; que
ofrezcan y faciliten regularmente actualizaciones de seguridad; que aseguren que
los requisitos relativos al consentimiento se vean honrados; que ayuden
activamente a desarrollar y facilitar alertas a los usuarios cuando sus datos son
utilizados por las aplicaciones; que desarrollen auditoras que dejen rastros que
habiliten a los usuarios finales ver claramente qu aplicaciones han accedido a los
datos de sus dispositivos y a cantidad de datos de trfico por aplicacin, en
relacin con el trfico realizado a iniciativa del usuario.
Por ltimo, las recomendaciones del Grupo del Artculo 29 refieren a
terceros, a quienes indican: que deben desarrollar herramientas de acceso para
los usuarios que sean simples y seguras, y que no coleccionen datos personales
excesivos adicionalmente; que slo colecten y procesen los datos que son
consistentes con el contexto en que el usuario provee los datos.