Por Lisandro Frene
El 16 de abril fue publicada la Disposición Nº 18/2015 de la Dirección Nacional de Protección de Datos Personales(“DNPDP”) que contiene una “GUIA DE BUENAS PRACTICAS EN PRIVACIDAD PARA EL DESARROLLO DE APLICACIONES".
Si bien pareciera tratarse de lineamientos facultativos dirigidos a los desarrolladores de aplicaciones (la norma es poco clara en este aspecto) que procuran incorporar los principios genéricos de la Ley 25.326 al caso particular de las aplicaciones de software, la norma contiene algunos puntos específicos interesantes para tener en cuenta en el diseño de programas informáticos, entre los cuales pueden destacarse los siguientes:
- Las aplicaciones deben incorporar el concepto de “Privacyby default”, según el cual “la configuración de la privacidad debe estar activada de manera predeterminada, de manera tal que implique un acto de voluntad del titular desactivar o compartir información personal”. Ello implica que “la aplicación no comparta información personal a menos que el mismo titular configure las opciones de privacidad permitiéndolo”.
- Entre los “Aspectos técnicos” la norma menciona la “Correcta utilización de los permisos”, estableciendo al respecto que “Si se trata de una aplicación móvil, verifica que los permisos que requiere sean los estrictamente necesarios para el funcionamiento adecuado”. Como ejemplo de “mal uso de los permisos” menciona aplicaciones de carácter técnico que innecesariamente requieran acceso a los contactos del titular del dato o a su calendario.
- Otro aspecto técnico contemplado es el de la “Geolocalización” (acceso a los datos de localización del titular del dato), para lo cual la norma dispone que se debe “notificar y obtener el permiso del titular del dato, incluso si se trata de metadatos de geolocalización de fotos o videos”.
- Respecto de la “Política de Privacidad” que toda aplicación debe tener, la norma específica –entre varias otras cuestiones-:
o“Es importante que la política refleje el tratamiento de datos que hace tu aplicación, así que no “cortes y pegues” una política genérica de otra aplicación o desarrollador, sino que trata de desarrollar una que sea comprensiva de las particularidades de tu aplicación”. Con esto la norma pretende evitar las políticas de privacidad “globales”, en línea con el criterio –no escrito- de la DNPDP al respecto;
i) Si se introducen cambios en la Política de Privacidad, deben ser notificados.
ii) Los términos definidos en la política de privacidad deben ser acordes con los de la Ley 25.326.
iii) Hacer mención específica a la Disposición 11/06 sobre medidas de seguridad y confidencialidad de los datos.
iv) Designar el “encargado de protección de los datos”, que “puede ser una persona física o un área dentro de la organización”.
- Por otra parte, la norma confirma “que el almacenamiento en la nube se considera una transferencia internacional de datos”, para lo cual se requieren los contratos de transferencia internacional correspondientes.
Opinión
GRB Legal
opinión
ver todosBergstein Abogados
Alfaro Abogados
González Rossi Abogados