Costo-beneficio del tratamiento de nuestros datos personales y de la invasión a nuestros datos personales en las aplicaciones móviles (México)

costo_beneficio

Por Dulcemaría Martínez Ruíz

Introducción

Debido al incremento en el uso de los equipos de telefonía móvil y de tabletas electrónicas (dispositivos móviles), el uso de aplicaciones móviles ha venido también en aumento (aplicaciones), ya sea porque son necesarias para el funcionamiento de determinada plataforma, porque son gratuitas o porque están de moda entre nuestros amigos y familiares.

Al momento de instalar estas aplicaciones móviles, las mismas nos requieren datos personales e incluso nos solicitan acceso a carpetas, registros o datos adicionales contenidos en nuestros dispositivos móviles, información que en ocasiones es vital para el funcionamiento de las aplicaciones, pero además, en muchas de las ocasiones se nos piden datos personales adicionales o acceso a carpetas e información que nada tienen que ver con la aplicación en sí.

El requerirnos datos personales o información adicional, obedece al hecho de algunas de las aplicaciones además de ser nuestras fuentes de entretenimiento, comunicación, administración de documentos, o cualquier otra funcionalidad para las cuales las hayamos descargado, recopilan información adicional con la finalidad de perfilar el comportamiento de los clientes, vender publicidad, e incluso ceder o vender bases de datos e información personal, la cual no solo puede ser extraída de manera directa a través de la instalación de virus o programas que permiten el monitoreo de los comportamientos, preferencias, sitios visitados e incluso de las interacciones con otros usuarios de aplicaciones, sino también a través del uso de cookies.

1.    Planteamiento del problema

Conforme a lo antes señalado, el problema mayor no radica en el uso de los datos personales recopilados de manera adicional a los requeridos para llevar a cabo las operaciones básicas de la aplicación, sino en realidad radica en que el acceso a los mismos se realiza previo consentimiento expreso por parte de los titulares de los datos personales, ello ya que autorizamos el acceso a nuestros datos, a la intromisión de nuestra privacidad e incluso, autorizamos el que nos convirtamos en conejillos de indias experimentales con la finalidad de que nos observen día y noche con fines de perfilamiento y prospección comercial.

Ante la pregunta del cómo permitimos tales acciones, la respuesta es muy sencilla, debido a que en muchas de las ocasiones, descargamos las aplicaciones aceptando todas y cada una de las políticas o avisos de privacidad, sin fijarnos todas las cuestiones y puntos a los que estamos cediendo a cambio de una aplicación.

Posterior a lo anterior y ante el reclamo de los titulares respecto del exceso de datos e información personal recopilada, o incluso, del que los mismos sean usados para finalidades adicionales a las elementales para el funcionamiento de las plataformas, nos encontraremos con la cruda realidad de que en su momento se nos informó respecto de los datos recopilados y de las finalidades del tratamiento, se nos dio la oportunidad de elegir entre descargar o no la aplicación y con ello sus efectos colaterales, y nosotros aceptamos someternos a ello.

Pero el problema no solo está en la aceptación que realiza el titular respecto de la recopilación de datos personales y de las finalidades del tratamiento de los mismos, sino que también se encuentra respecto de que en los avisos de privacidad (i) la presentación de la información es presentada de una forma muy extensa, compleja e incluso técnica, (ii) es tanta la cantidad de aplicaciones como de avisos de privacidad, políticas de uso, y términos y condiciones que hay que leer, que en realidad es prácticamente imposible leerlos con detenimiento, pero sobre todo (iii) el hecho de que la aceptación respecto al uso de nuestros datos personales y finalidades para su tratamiento, sean o no elementales para el funcionamiento de la operación, se encuentran establecidas de manera conjunta, de manera que la aceptación  de los mismos se plantea como un “combo” es decir, aceptas el todo no nada.

2.    Propuesta alterna

Conforme al problema antes planteado, nos pueden venir muchas preguntas a la mente, tales como, el cómo hacer para que los usuarios lean los avisos de privacidad, cómo hacer para que entiendan de una forma clara y sencilla no solo el contenido del aviso, sino que en específico, entiendan los alcances e implicaciones de los datos personales recopilados y de las finalidades de su tratamiento, además de cómo hacer para que la aceptación de tales datos y finalidades no sea manejada mediante un combo.

Como propuesta de solución a los cuestionamientos antes planteados está la utilización de un modelo híbrido que contemple los principios de consentimiento, información y finalidad conforme a las obligaciones actuales establecidas la legislación mexicana al responsable, por ser el caso de estudio, así como la implementación de los siguientes elementos:

  • Realizar un catálogo de los tipos de datos personales y sus correspondientes finalidades del tratamiento, de manera que se pueda diferenciar entre los que son elementales para el funcionamiento de la aplicación, de las que son adicionales.
  • Adicional a que se señale o remita al contenido del Aviso de Privacidad y se establezca una casilla se aceptación del mismo, previo a la descarga, se podrían establecer casillas de aceptación adicionales conforme a lo siguiente:
  • Para los datos e información personal y las finalidades del tratamiento que sean elementales para el funcionamiento de la aplicación, establecer como requisito indispensable para la descarga de la aplicación la aceptación expresa para su recopilación y tratamiento.

De manera que en caso de que tal casilla de aceptación no sea seleccionada, no se pueda proceder con la descarga.

  • Para los datos e información personal y las finalidades del tratamiento que no sean indispensables para el funcionamiento de la aplicación, establecer como requisito opcional el que el titular acepte o no el acceso y uso de sus datos personales. Pero sin que ello sea un elemento indispensable para la descarga e instalación de la aplicación.

Incluso, se podrían llegar a subcategorías de datos personales y finalidades no indispensables para el funcionamiento de la aplicación.

  • Uso de un lenguaje sencillo y claro al momento de clasificar los tipos de datos personales y las finalidades del tratamiento, ello al momento de recopilar el consentimiento expreso y previo a la descarga de la aplicación.

En la actualidad, al momento de ver la información sobre la aplicación o al momento de seleccionar el descargar la aplicación, se despliega un listado de permisos que son requeridos para poder acceder a la aplicación, tales como acceso al directorio telefónico o información de contactos, acceso a fotografías, datos de geolocalización, entre otros (permisos de acceso). De manera que al final, de los mismos se tiene que seleccionar el botón de aceptar, para poder iniciar con la descarga.

Pero la propuesta es seguir manejando el mismo listado de permisos de acceso, pero de una manera clasificada, estableciendo en primer lugar y bajo un rubro de permisos de acceso elementales para el funcionamiento de la aplicación, el listado de los permisos que correspondan a tal clasificación. Como ya se mencionó, la aceptación o selección de la casilla de aceptación de los mismos sería indispensable para la descarga.

Posterior a ello y bajo el rubro que corresponda a las finalidades no indispensables para su tratamiento, tales como, permisos de acceso necesarios para fines de perfilamiento y usos comerciales, para fines estadísticos y de localización, entre otros, se listarían los permisos de acceso aplicables. Pero en este caso, si el usuario no selecciona la casilla de aceptación, ello no sería elemento indispensable para la descarga, y el responsable no podría tener acceso a tales datos personales, ni mucho menos realizar el tratamiento de los mismos.

3.    Principios para la protección de los datos personales

En el presente estudio lo he acotado al análisis de los principios de consentimiento, información y finalidad, ya que son los que mayor relevancia e impacto tienen en relación con el problema y propuesta alterna, antes planteados.

3.1.       Consentimiento

En primero lugar, conviene recordar que consentimiento es la manifestación de la voluntad del titular de los datos personales para se pueda llevar a cabo el tratamiento de dichos datos, además, es conveniente resaltar que entre otras características, dicho consentimiento tiene que ser realizado de manera libre, previo a tu recopilación y tratamiento, y de una manera informada.

Conforme a la legislación mexicana, en específico en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley  de Protección de Datos), se prevé el que el consentimiento se pueda obtener de manera expresa y por medios electrónicos, ópticos o de cualquier otra tecnología, pudiendo así los responsables de las aplicaciones móviles obtener el consentimiento para la recopilación de los datos personales, para el uso de determinados permisos de acceso y para el sometimiento de los mismos a determinadas finalidades del tratamiento.

En sentido práctico, lo más fácil para el responsable de la aplicación y por lo tanto, para el tratamiento de los datos personales, es acotarse al estricto cumplimiento de la ley y manejar la autorización para la recopilación de todos los datos y su correspondiente tratamiento de manera conjunta, es seguir manejando tal aceptación a manera de combo, tal y como lo mencionaba anteriormente.

Pero conforme a la propuesta alterna planteada, se propone la posibilidad de migrar a un modelo hibrido, pasando del modelo de aceptación del todo o nada, a un modelo en el cual el titular tenga la libertad de decidir respecto de la recopilación de sus datos personales, así como de las finalidades para el tratamiento de los mismos.

3.2.       Finalidad

En la Ley de Protección de Datos Personales se establece el que el tratamiento de los datos personales por parte del responsable debe estar acotado a las finalidades del tratamiento establecidas en el Aviso de Privacidad.

Cabe destacar que en dicha legislación en materia de protección de datos personales, se establece el que las finalidades que se señalen en el Aviso de Privacidad serán divididas entre finalidades primarias y secundarias, es decir, el responsable deberá distinguir entre las finalidades que dieron origen y son necesarias para la relación jurídica surgida entre el titular y el responsable del tratamiento, de aquellas que no lo son.

Lamentablemente el que la distinción entre facultades primarias y secundarias se lleve a cabo de manera expresa en el Aviso de Privacidad del responsable, no garantiza que el titular de los datos personales vaya a entender el contenido y alcance de las mismas, porque como ya se mencionó en el planteamiento del problema, en muchas de las ocasiones el titular ni siquiera lee el aviso de privacidad adjunto en la aplicación.

Además, otro de los derechos del titular de los datos personales es el de oponerse al tratamiento de sus datos personales cuando los fines  a los que son sometidos sean distintos de las finalidades que son necesarias para el cumplimiento de la obligación jurídica, sin embargo, cuando en las aplicaciones se maneja la aceptación de tales finalidades a manera de combo, no se le está dando la oportunidad al titular de que realice la oposición al tratamiento de las mismas de una manera previa al otorgamiento del consentimiento para su tratamiento.

Es por ello que se plantea el que de una manera sencilla y clara se le permita al titular de los datos personales el revisar a manera de checklist las finalidades para las cuales se recopilan los datos personales, señalando se manera expresa cuales son indispensables para el funcionamiento de la aplicación y cuales son adicionales.

Con la propuesta alterna analizada en el presente estudio, lo que se pretende no es limitar el tratamiento de los datos personales conforme a finalidades distintas de las necesarias para el funcionamiento elemental de la aplicación, sino la visión de tal propuesta es que dicho tratamiento se pueda realizar pero siempre y cuando el titular de los datos personales esté consciente de la información que se recopila de él, así como los usos a los cuales dichos datos van a ser destinados. Ello mediante el cumplimiento del principio de información.

3.3.       Información

El principio de información consiste en el respeto del derecho que tiene el titular de los datos personales de conocer cuales datos personales se recopilan de él y las finalidades del tratamiento a las cuales van a ser sometidos, ello realizado a través de la publicación y puesta a disposición del Aviso de Privacidad, el cual deberá cumplir de manera adicional con los demás requisitos que establece la legislación aplicable en materia de datos personales en México (legislación de datos personales).

Ahora bien, debido a que los Avisos de Privacidad deben de contar con diversos elementos y especificaciones establecidos en la legislación de datos personales, como ya se ha manifestado, los mismos suelen ser muy extensos, complejos e incluso técnicos, de manera que el titular casi nunca accede a ellos y ni les da lectura.

Para los casos como los de las aplicaciones, la legislación mexicana en materia de protección de datos personales contempla la posibilidad de que cuando el espacio para colocar los avisos sea muy reducido y no sea posible colocar el Aviso de Privacidad completo, tal y como es el caso de las aplicaciones, se podrá emplear un Aviso de Privacidad corto que al menos contendrá la identidad y domicilio del representante, las finalidades del tratamiento y los mecanismos que el responsable ofrece para que el titular pueda conocer el Aviso de Privacidad Integral o completo.

Sin embargo, conforme al planteamiento del problema expuesto el aviso de privacidad corto tampoco resuelve el problema de garantizar el que el titular pueda aceptar o no el tratamiento de las finalidades primarias o secundarias, ya que aunque se ponga a su disposición el aviso de privacidad completo, como ya se ha mencionado el problema real es que el titular no realiza la lectura del mismo, aunque tal Aviso completo sea informado mediante un vínculo electrónico que remita al sitio web en donde está montado el Aviso de Privacidad completo.

Por ello es que la propuesta planteada contempla la posibilidad de que adicional a establecer un Aviso de Privacidad corto que contenga los elementos antes señalados, se establezca de una forma muy clara y concreta cuales son los datos y finalidades del tratamiento indispensables para el tratamiento de la información y cuales no lo son, ello además de dar la oportunidad de el titular pueda aceptar o negar el tratamiento de sus datos personales conforme a tales finalidades.

En el caso de México, actualmente también se contempla en los Lineamientos del Aviso de Privacidad el que en el caso de medios electrónicos, la recopilación del consentimiento expreso, o expreso y por escrito, podrá ser mediante el establecimiento de una casilla de marcado o de aceptación, mediante la cual el titular podrá manifestar su conformidad o no con el contenido del Aviso de Privacidad. Lo cual es considerado una base fundamental para lo antes analizado, sin embargo, ello se enfoca y da pie a que la aceptación de la recopilación de información y la aceptación de las finalidades del tratamiento se realice a manera de combo.

Lo anterior es un punto de oportunidad para la legislación, ya que incluso por lo que respecta al Principio de Información, el esquematizar la información y solicitar la aceptación expresa para las finalidades del tratamiento adicionales al funcionamiento elemental de las aplicaciones web, es una forma de garantizar que si bien no todas las personas lean las implicaciones base del tratamiento, por lo menos más personas lo hagan.

En la legislación mexicana, en específico en los Lineamientos del Aviso de Privacidad si bien se contempla que en los casos en los cuales el espacio o los formularios sean muy pequeños, se podrá colocar un Aviso de Privacidad Corto, mediante el cual se informe al titular al menos el nombre y domicilio del responsable, las finalidades del tratamiento y se establezcan los mecanismos mediante los cuales se pone a disposición el Aviso de Privacidad completo, sin embargo, ello no resuelve el que en realidad los titulares de los datos den lectura a los Avisos cortos o completos, y menos aún si el titular comprendió o no el contenido e implicaciones de los datos remitidos y de las facultades autorizadas.

4.    Derechos de acceso, rectificación, cancelación y oposición

En la legislación mexicana en materia de protección de datos personales al igual que en la mayoría de los países que regulan el tratamiento de dichos datos personales, se establece como derecho de los titulares el que puedan ejercitar ante el responsable sus derecho de acceso, rectificación, cancelación y oposición al tratamiento de tales datos personales (derechos ARCO).

Sin embargo, debido a la forma de operación y funcionamiento de las aplicaciones, como primero se da una aceptación global de la recopilación o acceso a ciertos datos personales, así como de las finalidades de su tratamiento, sean o no indispensables para el funcionamiento de la aplicación, al momento de realizar la aceptación del Aviso de Privacidad y con la consecuente instalación de la aplicación, lo que puede ocurrir es que en segundos nuestra información pueda estar dispersada en la web, haya sido transferida a terceros para su tratamiento o incluso ya esté siendo tratada con fines de perfilamiento comercial.

Posterior a lo anterior, aunque realicemos la desinstalación de la aplicación de nuestros equipos móviles o incluso recurramos al ejercicio de nuestros derechos ARCO, ya no podremos hacer mucho respecto de la información que ya fue previamente difuminada o distribuida, ya que en su momento otorgamos la autorización expresa para que ello aconteciera.

Es por lo que la medida propuesta es a su vez una medida preventiva para que desde el momento en el que se recopila el consentimiento, el titular tenga la oportunidad de conocer, comprender y decidir respecto del tratamiento de sus datos personales.

Es mejor que actuar de manera preventiva respecto de la protección de nuestros datos personales, a que actuemos de manera reactiva e incluso ante la imposibilidad de recuperar la protección de los datos personales que ya fueron dispersados.

Conclusiones

La forma mediante la cual se otorga el consentimiento en las aplicaciones móviles respecto del acceso a nuestros datos personales, así como de las finalidades a las cuales los mismos van a ser sometidas, es un punto de oportunidad tanto para la legislación en materia de protección de datos personales en México, como para los responsables que realizan el tratamiento correspondiente.

Por ello, con la propuesta alterna aquí analizada lo que se propone es encontrar un modelo hibrido o intermedio que permita tanto el cumplimiento de la ley, como el que los responsables puedan ir un paso más allá del mero cumplimiento de la misma, ello para garantizar que en realidad el titular esté comprendiendo de una forma clara y sencilla las finalidades a las cuales se someterá el tratamiento de sus datos personales.

Ahora bien, lo anterior puede ser que sea visto por los responsables como una carga administrativa o técnica establecida de manera adicional a las que ya se establecen en la legislación aplicable, pero desde ahí podemos cambiar nuestra forma de pensar, ya que al final lo que pudiera resultar una carga puede ser un elemento diferenciador que me permita garantizar la satisfacción de los clientes, mediante el incremento de la confianza que tenga en mí, además de que ello se puede convertir en un elemento diferenciador que me permita llevar una ventaja competitiva en el mercado.

Bibliografía

29, G. d. (8 de diciembre de 2011). Dictamen 16/2011 sobre la recomendación de mejores prácticas de EASA/IAB. Recuperado el 20 de julio de 2014, de http://ec.europa.eu:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp188_es.pdf

Diputados, C. d. (05 de Julio de 2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

Diputados, C. d. (21 de Diciembre de 2011). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf

Economía, S. d. (17 de enero de 2013). Lineamientos del Aviso de Privacidad. Recuperado el 20 de julio de 2014, de Diario Oficial de la Federación:
http://www.dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013

Mañas, José Luis Piñar; Lina Ornelas Núnez;. (2013). La Protección de Datos Personales en México (Primera ed.). México: Tirant Lo Blanch Monografías.