TSM - Dezvoltatorii de aplicații mobile și datele personale. Vreo legătură?

Putem avea de-a face cu date personale în activitatea noastră? Ce implică? Sunt întrebări legitime pentru un dezvoltator de aplicații mobile. Și aceasta, deoarece colectarea acestor date a devenit un fenomen inerent lumii digitale și un subiect din ce în ce mai controversat odată cu evoluția aplicațiilor mobile. De asemenea, subiectul este cu atât mai de interes cu cât, în viitor, se prefigurează o înăsprire a sancțiunilor pentru nerespectarea legislației datelor cu caracter personal.

Prin urmare, fie că este interesat de o reputație bună în fața utilizatorului tot mai speriat de perspectiva de a i se invada viața personală, fie că vrea să se protejeze de eventuale sancțiuni legale, dezvoltatorul este obligat să țină cont de regulile aplicabile. Acestea sunt destul de multe și stufoase, iar acest articol nu își propune să le prezinte pe toate, detaliat. În schimb, pornind de la ipoteza de mai jos, ne-am propus să prezentam câteva principii relativ ușor de reținut pe care le puteți lua în considerare pentru a minimiza eventualele riscuri.

Ipoteză

A. este o societate din România și tocmai a finalizat procesul de dezvoltare a unei aplicații mobile. Este vorba despre o aplicație creată conform specificațiilor interne ale A., cu intenția de a o exploata comercial sub brandul propriu, nu despre o aplicație ce i-a fost comandată de către un client extern.

Înainte de a "urca" aplicația pe platformele online relevante (Magazin Play, App Store, etc.) pentru a o face disponibilă utilizatorilor, A. află că ar trebui să mai aibă în vedere un aspect: prin intermediul aplicației se vor colecta pe serverul său unele date privind utilizatorii și, uneori, se vor transfera către parteneri din străinătate. Dar nu știe dacă acestea reprezintă date cu caracter personal și dacă implică respectarea unor norme legale.

Ce date cu caracter personal pot colecta aplicațiile mobile?

Conform Directivei europene ePrivacy1 (directivă transpusă și în legislația din România), tot ce înseamnă echipament terminal electronic (telefoane, tablete, laptopuri, etc.) și orice informații stocate pe acestea fac parte din sfera privată a utilizatorului și sunt protejate conform Convenției Europene pentru Protecția Drepturilor Omului și a Libertăților Fundamentale.

Aceste informații pot fi considerate date cu caracter personal indiferent dacă privesc o persoană fizică identificată (de exemplu, prin nume) sau una identificabilă (care poate fi identificată în mod direct sau indirect). Pot avea legătură cu deținătorul dispozitivului electronic sau cu oricare altă persoană fizică (de exemplu, datele de contact ale prietenilor din agenda telefonica).

Iată câteva exemple: datele de localizare, geolocație, numele utilizatorului, contactele din agenda telefonică, e-mail, poze și videoclipuri, data nașterii, identificatori precum Unique Device Identifier (număr IMEI, etc.), numărul de telefon, istoricul apelurilor telefonice, a mesajelor sau a căutărilor pe Internet, informații privind plățile efectuate prin card, date biometrice precum recunoașterea facială, etc. .

Uneori, este posibil ca printre datele colectate să se regăsească și unele cu un regim aparte - datele personale cu caracter special (în engleză, sensitive personal data) precum: preferințele sexuale ale utilizatorilor, originea lor rasială/etnică sau apartenența lor politică, etc. . Acestea necesită atenție sporită (mai ales, dacă sunt colectate pentru a fi apoi folosite în publicitatea targetată comportamental, analytics, etc.).

Câteva sfaturi utile

• Dacă dezvoltatorul este cel care deține controlul datelor colectate prin aplicație, poate fi considerat operator de date cu caracter personal - adică persoana care stabilește scopul şi mijloacele de prelucrare a datelor - și va fi ținut de obligațiile legale specifice, inclusiv înregistrarea la autoritatea competentă.
• Puneți la punct un mecanism intern și clar conturat privind prelucrarea datelor cu caracter personal, încă dinainte de a începe lucrul la crearea aplicației și de a scrie linii de cod. Acest procedeu se numește Privacy by Design (PBD) și este un concept care facilitează un rezultat calitativ mai ridicat. Cu titlu de exemplu, sunt ghidurile realizate de autoritățile din Marea Britanie și Australia pentru a veni în întâmpinarea dezvoltatorilor de aplicații mobile și pentru a promova Privacy by Design. În bună parte, aceste principii se pot aplica și dezvoltatorilor români.
• Puteți face un studiu intern de impact prin care să abordați aspecte precum: (i) ce date personale vă trebuie și de ce, (ii) cum le colectați, folosiți, stocați, transferați, (iii) cum obțineți acordul utilizatorului pentru a-i colecta datele (inclusiv pentru cazul în care modificați scopul pentru care folosiți datele), (iv) dacă le dezvăluiți terților, (v) posibile riscuri și moduri în care le puteți evita/reduce, etc. .
• Încercați să mențineți colectarea datelor la un nivel minim, doar pentru scopuri determinate și legitime (de exemplu, să colectați numai datele necesare funcționării aplicației). Studiilearată că utilizatorii tind să prefere și să rămână loiali aplicațiilor mobile cu o politică transparentă și minimală privind volumul de date colectate.
• La momentul instalării aplicației, va trebui să obțineți acordul utilizatorilor nu doar pentru a descărca aplicația pe telefonul sau tableta lor, dar și pentru a le prelucra datele pe care aplicația le va colecta.
• Pregătiți o politică privind prelucrarea datelor personale (în engleză, Privacy Policy) pe care să o puneți la dispoziția utilizatorilor (de exemplu, printr-un link) înainte să descarce și să instaleze aplicația și înainte să le colectați datele. Puteți folosi grafică și culoare pentru a face informația mai accesibilă.
• Privacy Policy ar trebui să indice, printre altele, tipurile de date colectate, scopul în care vor fi folosite (și de către cine), drepturile utilizatorilor, datele de contact ale dezvoltatorului aplicației. Aceste condiții esențiale trebuie îndeplinite pentru a se considera că ați oferit utilizatorilor informațiile necesare, iar aceștia și-au dat acordul informat și liber. Acordul liber implică să dați utilizatorului opțiunea să accepte sau să refuze prelucrarea datelor sale. De aceea, pentru a finaliza instalarea aplicației, ar trebui să fie disponibil și butonul "Refuză/Anulează" (prelucrarea datelor), nu doar butonul "Da, accept".
• Păstrați securitatea datelor colectate - depuneți toate eforturile necesare (inclusiv tehnice) pentru a vă asigura că baza de date nu este în pericol de a fi "spartă" și copiată ilicit. În caz de utilizare ilicită, puteți fi chemați în judecată de către utilizatori care pot cere acordarea de daune.
• În unele situații și în funcție de tipul aplicației, nu doar dezvoltatorul prelucrează aceste date, ci și distribuitorii aplicației, furnizorii de publicitate și analytics, librăriile third party, etc.; este util să explicați utilizatorilor modul în care datele lor vor fi folosite de către aceștia și de ce, etc.

Concluzie

Ca dezvoltatori, este în interesul vostru să implementați măsuri adecvate de protecție în aplicațiile mobile pe care le creați și le puneți pe piață. Privacy by Design este un concept din ce în ce mai popular și poate oferi o soluție tehnică unei probleme legale. Din ce în ce mai mult, aplicațiile care iau în serios și protecția datelor personale câștigă încrederea utilizatorilor, reușind să se diferențieze mai bine prin transparență.

Despre autori

Claudia Jelea este avocat specializat pe aspecte ce implică mediul online, comerțul electronic și IT&C, mărcile, drepturile de autor și protecția datelor cu caracter personal. Este membră a Baroului București și a Camerei Naționale a Consilierilor în Proprietate Industrială (mărci).

LinkedIn & Twitter: claudiajelea | www.jlaw.ro | www.avocatnet.ro/claudiajelea

Cătălin Constantinescu este student în anul IV la Facultatea de Drept, Universitatea București și este interesat de interferența dintre drept și IT.