Las malas prácticas de privacidad de la app MeToca del Ministerio de Igualdad

El Ministerio de Igualdad lanzó la semana pasada una nueva app llamada MeTocaque tiene como objetivo facilitar la organización del reparto de tareas en el hogar. MeToca ha sido polémica por el elevado presupuesto invertido en la creación de una aplicación que muestra una apariencia y funcionalidad extremadamente sencillas. Según informó Europa Press, el coste de la app desarrollada por la consultora tecnológica Wairbut S.A. ha sido de 211.750 euros.

Más allá de la justificación de ese presupuesto para el resultado obtenido, la app presenta varias carencias en cuanto a la política de privacidad y el tratamiento de los datos personales de los usuarios que infringen algunos aspectos de la normativa vigente en protección de datos.

Ausencia de política de privacidad

Durante la primera semana que ha estado disponible y hasta el día de ayer, los usuarios de la aplicación no tuvieron ningún acceso a la política de privacidad de la aplicación que es obligatoria de acuerdo con el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales. El error ha sido subsanado en la página de la aplicación en Google Play, la tienda de aplicaciones de Android, pero no así en App Store, tienda de aplicaciones para iOS, ni en la propia aplicación en ninguna de sus dos versiones.

Según explican desde el departamento jurídico de la consultoría especializada en protección de datos Grupo Ático 34, la política de privacidad es un documento legal que informa del tratamiento que una organización realiza de los datos personales de los usuarios de un sitio web o aplicación. Es obligatorio proporcionársela al usuario, siempre y cuando haya un tratamiento de datos personales, y debe estar “publicada en su sitio web y disponible en sus apps si también existen”.

En el caso de una aplicación, puede estar incluida en los términos de servicio que se aceptan al usarla o accesible desde los ajustes de la misma. Esto no sucede en el caso de MeToca, donde en ningún momento se presentan al usuario los términos del servicio para que los acepte ni hay una política de privacidad incluida en la app o enlazada desde ella.

Sin consentimiento expreso al tratamiento de los datos

Según el artículo 12 del RGPD, la política de privacidad debe ser “sencilla, concisa, transparente y comprensible” y cumplir con una serie de principios entre los que se encuentra el de “transparencia, lealtad y licitud”. Es decir, “se necesita el consentimiento expreso del usuario para poder realizar el tratamiento de datos personales”, señalan desde Grupo Ático 34.

En muchas aplicaciones, este consentimiento se obtiene con un mensaje, al iniciar la aplicación, del estilo “al continuar, aceptas los Términos del servicio y confirmas que has leído la Política de privacidad [etc]”, con los documentos enlazados para su consulta. En MeToca, el usuario no recibe esta información ni otorga ningún consentimiento expreso al tratamiento de sus datos personales.

“La Ley establece sanciones importantes para quien incurra en la omisión del aviso de privacidad, a quien haga uso de los datos de privacidad a pesar de que el titular se haya opuesto a ello, así como a quien incumpla con la solicitud que haga el titular sobre sus derechos ARCOPOL [Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición]”, explica Grupo Ático 34.

Así, “el incumplimiento del artículo 13 del RGPD puede ser sancionado con multas de hasta el 4% del volumen de negocio del total anual global del ejercicio financiero anterior” mientras que la LOPDGDD, en su artículo 72, considera infracción muy grave “la omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica”.

“Los datos no se pueden eliminar”

Otro aspecto cuestionable de la privacidad en MeToca es el derecho del usuario a la supresión de sus datos personales recogidos por la aplicación. Según indica la app en su página de Google Play, MeToca recoge información personal que no se especifica más allá de que incluye el nombre del usuario y un genérico “Otra información”. También se indica que “los datos no se pueden eliminar. El desarrollador no te da la opción de solicitar que se eliminen tus datos”, lo que contraviene que un usuario pueda ejercer sus derechos ARCOPOL.

Sin embargo, en la política de privacidad enlazada ayer desde la página de la app en Google Play, sí se da acceso a un formulario con el que se puede solicitar a través de un procedimiento bastante farragoso. El usuario que quiera ejercer sus derechos sobre sus datos personales cuenta con un enlace a un “formulario” que le conduce a través de tres páginas de la web del Ministerio de Igualdad, antes de identificarse con el sistema Cl@ve o una firma electrónica y acceder finalmente al formulario.

Esta opción, sin embargo, no está disponible con la versión de MeToca para iOS dado que la política de privacidad no está habilitada en la app ni en su página en App Store, donde el enlace a la política de privacidad conduce a una página vacía que indica un Error 404. En la información de MeToca en App Store no se especifica si el desarrollador permite la eliminación de los datos o no.

Tal y como explican desde Grupo Ático 34, el responsable del tratamiento de los datos debe “dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 [RGPD] facilitando al afectado la información básica”. Esta información básica debe contener “la posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, entre los que se encuentra el derecho de supresión de estos [datos personales]”.