La Agencia Española de Protección de Datos (AEPD), ha publicado el estudio técnico Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva , realizado en colaboración con la Universidad Politécnica de Madrid. El estudio, dirigido fundamentalmente a desarrolladores de apps y responsables de tratamiento de datos personales, pone de manifiesto el elevado riesgo de fugas de información personal que se presenta en el entorno de las aplicaciones móviles, y ofrece una guía para que las organizaciones puedan auditar sus apps, analizando los flujos de información personal en dispositivos Android.
La finalidad es que los responsables dispongan de las herramientas y utilicen las metodologías adecuadas para determinar que la política de privacidad que ofrecen al usuario cumple con la normativa de protección de datos.
La finalidad es que los responsables del tratamiento de datos dispongan de las herramientas y utilicen las metodologías adecuadas para determinar que la política de privacidad que se le está ofreciendo al usuario cumple con las garantías que exige el RGPD y la Ley Orgánica de Protección de Datos (3/2018).
El estudio destaca que el responsable del tratamiento de los datos de una app no siempre es el desarrollador directo y exclusivo de esta, ya que puede basarse en librerías de terceros, subcontrataciones o acuerdos y/o en la ejecución en el entorno de un tercero, teniendo como consecuencia “una potencial pérdida de control” y “un aumento de la complejidad para abordar los requisitos de cumplimiento en materia de protección de datos”. Por otro lado, los desarrolladores de aplicaciones, los responsables que subcontratan dichos desarrollos y los distribuidores o repositorios de apps tienen la obligación de aplicar los principios de responsabilidad proactiva recogidos en el Reglamento General de Protección de Datos (RGPD), como la privacidad por defecto y la privacidad desde el diseño.
El documento, dirigido fundamentalmente a desarrolladores de apps y responsables de tratamiento de datos personales, pone de manifiesto el complejo entorno de este ecosistema y la potencial pérdida de control
Para poder cumplir con estás obligaciones, el estudio detalla las técnicas existentes para analizar los flujos de información personal en aplicaciones móviles que se ejecutan en dispositivos con Android. En primer lugar, presenta el entorno de ejecución de estas aplicaciones, sus componentes fundamentales, los diferentes actores involucrados en el tratamiento de los datos y una breve descripción del ciclo de vida de los datos. Posteriormente, describe las principales técnicas y herramientas para análisis de flujos de información personal.
