Privacidad para aplicaciones de software

Reconociendo la importancia de la industria del software en la Argentina, siendo el país de Latinoamérica con la tasa de exportación de software más alta de la región, y la importancia que reviste la protección de los datos personales, la Dirección Nacional de Protección de Datos Personales (la “Dirección”) aprobó la “Guía de buenas prácticas en privacidad para el desarrollo de aplicaciones” (la “Guía”) mediante la Disposición N° 18/2015 (la “Disposición”), publicada en el Boletín Oficinal el día 16 de abril de 2015.

La Guía utiliza un lenguaje muy claro y sencillo y está dirigida principalmente a los desarrolladores de software, quienes normalmente no están familiarizados con los principios que contiene la Ley de Protección de Datos Personales N° 25.326 (la “LPDP”).

En ese sentido, la Guía recuerda que las aplicaciones de software tienen la habilidad de recolectar, tratar y procesar datos personales y, por lo tanto, es importante que el software cumpla con los términos de la LPDP.

A tal fin, la Guía enumera algunos principios básicos:

1. debe obtenerse el consentimiento previo, expreso e informado del titular de los datos;
2. el uso de los datos personales debe limitarse al fin para el cual fueron recolectados;
3. los datos personales recolectados deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieran obtenido;
4. los datos personales deben protegerse de accesos no autorizados a través de las correspondientes medidas de seguridad; y
5. toda persona que intervenga en el proceso de tratamiento de datos personales tienen una obligación de confidencialidad que subsiste aún después de finalizada la relación con el responsable de la base  de datos.

Asimismo, la Guía incluye las siguientes recomendaciones para la protección de la privacidad y de los datos personales durante el proceso de desarrollo del software:

1. tomar en cuenta la privacidad durante el proceso mismo de desarrollo;
2. desarrollar la aplicación usando un concepto de privacy by design, considerando las implicancias relacionadas con la privacidad desde el inicio del proceso;
3. establecer políticas de privacidad claras y de fácil acceso;
4. configurar por defecto como activas las opciones de privacidad (privacy by default);
5. permitir que los usuarios del software puedan elegir sus preferencias de privacidad;
6. limitar la cantidad de datos personales que se recolectan;
7. proteger los datos personales recolectados y elegir una persona en la organización que sea responsable de controlar el cumplimiento de  tales obligaciones; y
8. utilizar las llamadas Privacy-Enhancing Technologies para proteger los datos personales de los usuarios mediante la minimización o eliminación de la recolección de datos personales.

Más aún, la Guía destaca la importancia de establecer Políticas de Privacidad que sean claras y transparentes con el fin de informar a los usuarios de las aplicaciones qué datos personales se recolectarán, cuál es el fin de la recolección, cómo serán usados, y quién tendrá acceso a los mismos (incluyendo cualquier tercera persona).

Por otro lado, la Guía se refiere a la problemática específica de las aplicaciones para dispositivos móviles reconociendo las dificultades que el tamaño de las pantallas presenta en términos de la correcta visualización de las Políticas de Privacidad. A tal fin, sugiere que los desarrolladores analicen soluciones creativas para mostrar a los usuarios cuáles son sus prácticas de privacidad, lo que puede incluir, entre otras cosas, el uso de gráficos, colores y sonidos a fin de captar su atención.

Por último, la Guía se refiere a las aplicaciones pensadas por los niños y sugiere (i) limitar lo máximo posible la recolección de sus datos; (ii) contemplar medidas de seguridad más estrictas; (iii) evitar compartir información personal de niños con terceros; y (iv) cuando corresponda, obtener el consentimiento de los padres.