Recomendaciones de la CNIL para respetar la privacidad de los usuarios

Negocio melicent. REPORT
Recomendaciones de la CNIL para respetar la privacidad de los usuarios
Recomendaciones de la CNIL para respetar la privacidad de los usuarios
-

El uso de aplicaciones móviles implica muy a menudo el tratamiento de datos personales: estos datos son proporcionados por los usuarios o recogidos directamente por la aplicación cuando accede a los recursos presentes en su teléfono inteligente o tableta. En este último caso, la aplicación solicita el acuerdo del usuario a través de un sistema puesto a disposición por los sistemas operativos: los permisos.

¿Qué es el permiso?

Los permisos de acceso (o “autorizaciones”) implementados dentro del sistema operativo del terminal móvil son dispositivos que permiten al usuario elegir qué funciones y datos son accesibles para cada una de sus aplicaciones móviles.

Gracias a estos dispositivos, el usuario elige si permite o no el acceso de las aplicaciones a los sensores (acelerómetro, ubicación, brillo, lente fotográfica, micrófono, etc.) o en la memoria (almacenamiento de archivos, fotos, videos, sonidos, agenda de contactos, historias varias, etc.) Son terminales móviles.

La gran mayoría de permisos tienen como único objetivo dar o bloquear el acceso técnico a determinados recursos protegidos, sin tener en cuenta los objetivos (o finalidades) para los que las aplicaciones lo solicitan. Se trata, por tanto, de permisos “técnicos” que no regulan el uso para el que se puede o no tratar la información. Recomendaciones de la CNIL se refieren a este tipo de permisos.

► Ver recomendación sobre aplicaciones móviles, parte 8.3.1.

Los permisos deben distinguirse de la obtención del consentimiento.

Los permisos técnicos son muy útiles para respetar la privacidad. Permiten a los usuarios bloquear técnicamente el acceso a determinados datos, garantizando así confidencialidad de la información. Este mecanismo ofrece una forma sencilla y directa de preservar su privacidad. (ver recomendación, parte 8.3.1, p. 78).

En concreto, al aceptar o rechazar permisos, el usuario comprende qué datos comparte con la aplicación. Esto le permite detectar solicitudes excesivas.como una linterna que solicita acceso a los contactos.

Sin embargo, Estos permisos “técnicos” no están diseñados para recopilar consentimiento. Usuarios, en el sentido del RGPD y de la Ley de Protección de Datos:

  • De hecho, sólo pretenden dar o bloquear el acceso a los recursos e información protegidos del terminal móvil independientemente de los fines perseguidos por el editor de la aplicación. El proveedor del sistema operativo solo sugiere explicar en la solicitud por qué se solicita el acceso. Estos Por lo tanto, es posible que se requieran permisos en situaciones en las que la normativa no exige el consentimiento del usuario. Por ejemplo, el acceso a la localización está exento del consentimiento para el propio funcionamiento de una aplicación de navegación, ya que estos datos son necesarios para el servicio. Sin embargo, el proveedor del sistema operativo exige que el editor solicite permiso para acceder a estos datos.
  • Incluso cuando se requiere consentimiento, una simple la solicitud de autorización no siempre permite obtener el consentimiento libre, específico, informado e inequívoco, de conformidad con el RGPD o la Ley de Protección de Datos (artículo 82). Sólo es suficiente en casos limitados, por ejemplo, si el permiso se refiere a un único procesamiento, un único propósito y un único destinatario de los datos (ver la recomendación, parte 8.3.2). En la mayoría de los casos, es necesario utilizar una plataforma de gestión del consentimiento además de la solicitud de permiso.

¿Qué recordar de las recomendaciones de la CNIL en materia de permisos?

Mejores prácticas para proveedores de sistemas operativos

La recomendación proporciona una serie de buenas prácticas para los proveedores de sistemas operativos en el contexto de la implementación de permisos, en relación con operaciones que deben ser cubiertasel alcance de los permisos o el nivel de información que deberían permitirlo.

En particular, se anima a los proveedores de sistemas operativos a diseñar su sistema de permisos de tal manera que permita al editor elegir el alcance de los permisos con la mayor precisión posible. Por lo tanto, un sistema de permisos ideal permite al editor elegir :

  • el grado de precisión los datos facilitados en función de la finalidad perseguida (por ejemplo: localización más o menos precisa);
  • el alcance material autorización (por ejemplo: acceso a fotografías seleccionadas en lugar de a la galería de medios global);
  • el duración durante la concesión de la autorización (por ejemplo: activación única del permiso o por una duración predeterminada).

El propósito de los permisos es permitir que las personas tengan control sobre sus datos ; en ningún caso deben conducir a favorecer las aplicaciones diseñadas por el proveedor del sistema operativo.

► Ver recomendación, parte 8.3

El editor debe elegir los permisos para implementar e identificar las situaciones en las que se debe recopilar el consentimiento.

El editor debe elegir permisos que desea implementar para el funcionamiento de su solicitud. En este sentido, la recomendación orienta en primer lugar las elecciones del editor de la aplicación en cuanto al uso de permisos.

En particular, deberá identificar:

  • caso por caso, entre los permisos puestos a disposición por el sistema operativoaquello que permita cumplir los objetivos perseguidos, respetando el principio de minimización : cuando el sistema operativo lo permite, la CNIL recomienda que el editor elija, para cada permiso, la versión menos intrusiva que responda a sus necesidades.
  • como responsable del tratamiento, las situaciones en las que la normativa exige el consentimiento además del permiso impuesto por el proveedor del SO. Para ello será necesario determinar si el El procesamiento relacionado con permisos implica operaciones de lectura/escritura. que requieren el consentimiento del usuario (artículo 82 de la Ley de Protección de Datos). En este caso, implementar una plataforma de gestión del consentimientoPlataforma de gestión de consentimiento » o CMP) puede ser necesario además de la solicitud de permiso “técnico”. La recomendación orienta a los desarrolladores sobre el forma de obtener el consentimiento en este marco. En este sentido, la CNIL considera una buena práctica recoger los consentimientos de forma contextual en función de las acciones realizadas en lugar de un único cribado inicial.

► Ver recomendación sobre aplicaciones móviles, parte 5.5 y parte 6.2.3, págs. 52-53

¿Cómo articular permiso y recogida de consentimiento?

Cuando se presentan al usuario tanto un CMP como una solicitud de permiso, su articulación no debe generar confusión para estos últimos.

El consentimiento se puede obtener antes o después de solicitar el permiso. Sin embargo, la CNIL recomienda que el desarrollador, en colaboración con el editor responsable del tratamiento, garantice que esta articulación se realice de manera para promover la comprensión del usuario.

La siguiente infografía especifica cómo se puede realizar esta articulación para evitar confusiones al usuario:

Ver la infografía en formato PDF

Este diagrama se refiere a la articulación entre la ventana de solicitud (CMP) y los permisos técnicos, y no a los permisos destinados a autorizar o rechazar la realización de determinadas acciones con miras a un fin específico (permisos “para un propósito”).

Como se muestra en el diagrama anterior, el responsable del tratamiento es libre de elegir el orden en el que se presentan el permiso y el CMP (A o B).

El responsable del tratamiento, para implementar su tratamiento de datos, debe, por un lado, poder acceder técnicamente a los datos (permiso) y, por otro lado, demostrar que ha obtenido el consentimiento de acuerdo con los requisitos establecidos por el RGPD (CMP ). Si no se concede una u otra de estas autorizaciones, la CNIL aconseja no mostrar la segunda solicitud para evitar atraer innecesariamente a los usuarios.

► Ver recomendación, parte 6.2.3

-

PREV La serie Honor 400 recibirá una importante actualización de batería en 2025
NEXT La fuga de la computadora portátil Lenovo Yoga insinúa el procesador Nvidia N1x Arm en colaboración con MediaTek

Related posts

Los expertos coinciden | Nueva definición de obesidad

Se revela el informe condenatorio del fiscal especial Jack Smith contra Donald Trump

Inezgane… agresión física a un guardia de seguridad en el ejercicio de sus funciones

Los investigadores aún no pueden arrestar a Yoon Suk-yeol