Apps y Acceso a Contactos: Cuando la Cortesía es un Delito
La anatomía de un permiso innecesario
Vivimos en una era de una generosidad digital conmovedora. Entregamos las llaves de nuestra vida privada a cambio de una linterna que cambia de color o un juego que consiste en apilar frutas. El gesto más común de esta entrega es aceptar que una aplicación acceda a nuestra lista de contactos. Un acto de fe digital. La pregunta, que parece ofender por su simpleza, es: ¿para qué? Si una app no tiene una función social, de comunicación o de compartir contenido con gente que conocemos, el acceso a nuestra agenda es, en el mejor de los casos, una curiosidad injustificada. En el peor, y más frecuente, es una recolección de datos indebida.
Técnicamente, el proceso es trivial. La aplicación, a través de una API (Interfaz de Programación de Aplicaciones), le pide al sistema operativo de tu celular el permiso para «leer» la base de datos donde se almacenan tus contactos. Si otorgás el permiso, la app puede copiar nombres, números de teléfono, correos electrónicos, direcciones y hasta las notas que asociaste a cada persona. Toda esa información viaja, en general, a los servidores de la empresa desarrolladora. Un tesoro de datos personales, no solo tuyos, sino de toda la gente que confió en vos para darte su número. Te convertiste, sin quererlo, en el vehículo de una filtración masiva. Felicitaciones.
Aquí entra en escena nuestra querida Ley 25.326 de Protección de Datos Personales. Una ley del año 2000, una pieza de arqueología legislativa que, sin embargo, contiene principios de una lógica aplastante. Uno de ellos es el principio de finalidad. Este principio dicta que los datos solo pueden ser recolectados con un propósito específico, explícito y legítimo, informado al titular de los datos. Si la linterna no necesita llamar a tu mamá para funcionar, pedir acceso a tus contactos viola este principio. Es así de simple. No hay letra chica. El problema es que la conveniencia del desarrollador para construir futuras funcionalidades o para vender bases de datos a terceros no califica como una «finalidad legítima» ante la ley. Es, más bien, la definición de un ilícito.
El consentimiento informado: Una ficción conveniente
El gran escudo de los desarrolladores es el «consentimiento». Ese pequeño botón de «Acepto» que presionamos con la misma ceremonia con la que tiramos un papel al tacho de basura. La ley argentina, en su artículo 5, es bastante clara sobre cómo debe ser ese consentimiento: previo, expreso e informado. «Previo» significa antes de que se tomen los datos. «Expreso» significa que debe haber una acción afirmativa, no vale el silencio o la inacción. «Informado» es la parte donde toda esta estructura se vuelve una obra de teatro del absurdo.
Informado significa que el usuario debe saber, en un lenguaje claro y sencillo, qué datos se recopilan, para qué se usan, quién es el responsable de la base de datos y cómo ejercer sus derechos. Lo que recibimos a cambio es un link a una «Política de Privacidad» de 8000 palabras en un inglés legalista que ni un abogado de Harvard leería en su lecho de muerte. Este documento no está diseñado para informar, sino para disuadir. Su mera existencia es la coartada. La industria se basa en la premisa de que nadie tiene el tiempo ni la energía para leerlos. Y tienen razón. Este «consentimiento» es, en la práctica, una extorsión. O aceptás nuestras condiciones invisibles, o no usás nuestra maravillosa app para ponerle bigotes a tus fotos.
Perspectiva del Acusador: El David Digital
Entonces, ¿qué hace el ciudadano de a pie cuando descubre que la app del horóscopo tiene el número del plomero, del psicólogo y de ese contacto que agendó como «No atender JAMÁS»? El camino es menos épico de lo que parece, y más burocrático. Es una maratón de paciencia, no una carrera de velocidad.
Primero, la evidencia. Es fundamental. Sacá capturas de pantalla de todo: del permiso que la app solicita, de la descripción en la tienda de aplicaciones donde no se justifica esa necesidad, de la sección de configuración de permisos del celular. Guardá el nombre exacto de la app y del desarrollador. Toda esta documentación es tu arsenal.
El segundo paso, dictado por el artículo 16 de la Ley 25.326, es el llamado derecho de acceso y supresión. Tenés que intimar al responsable de la base de datos, es decir, a la empresa detrás de la app. Hay que enviar una comunicación fehaciente (una carta documento es el método más seguro, aunque un correo electrónico con constancia de lectura puede servir en una primera instancia) exigiendo dos cosas: 1) que te informen qué datos personales tuyos y de tus contactos tienen almacenados y con qué finalidad, y 2) que procedan a la supresión inmediata de todos los datos que no sean estrictamente necesarios para la funcionalidad principal de la aplicación. Tienen 10 días corridos para responder sobre el acceso y 5 días hábiles para la supresión. No van a responder. O lo harán con un texto genérico.
Cuando el silencio o la evasiva sea la respuesta, llega el tercer paso: la denuncia ante la Agencia de Acceso a la Información Pública (AAIP). Es un trámite gratuito que se puede hacer online. Se presenta toda la evidencia recopilada y la prueba de la intimación previa. La AAIP tiene la facultad de investigar, de imponer sanciones que van desde apercibimientos hasta multas de una pila de pesos, y de ordenar la eliminación de los datos. No es rápido, pero es el único mecanismo institucional que tiene el ciudadano para hacer valer sus derechos. Es como ir al único surtidor de nafta en medio del desierto. Lento, tedioso, pero es lo que hay.
Perspectiva del Acusado: El Goliat con pies de barro
Ahora, pongámonos en los zapatos del desarrollador. Un emprendedor brillante, quizás, que solo quería que su app «tuviera todo» por si acaso. La lógica suele ser: «pidamos todos los permisos ahora y después vemos para qué los usamos». Es una lógica de acaparamiento digital que, lamentablemente, puede salir muy cara. Defenderse de una acusación de tratamiento de datos indebido es complejo, sobre todo cuando la acusación es cierta.
El primer consejo legal, y el más obvio, es no llegar a esta situación. La famosa «Privacidad desde el Diseño» (Privacy by Design) no es un concepto esotérico para hipsters de Silicon Valley. Es una estrategia de supervivencia. Significa que, antes de escribir una sola línea de código, te preguntes: ¿Qué es lo mínimo indispensable que necesito del usuario para que mi servicio funcione?. A este principio se lo llama minimización de datos. Si tu app es una calculadora, no necesita acceso a la cámara. Si es un juego offline, no necesita acceso a los contactos. Parece una revelación, pero es la base para no terminar con una multa que te funda el emprendimiento.
Si ya es tarde y la intimación llegó, la peor estrategia es la soberbia o el silencio. Ignorar una carta documento es admitir la derrota antes de empezar. Lo correcto es buscar asesoramiento legal especializado inmediatamente. Un abogado podrá analizar la Política de Privacidad (si es que existe y es medianamente decente), evaluar el riesgo y trazar una estrategia. A veces, la solución más barata es acceder a la solicitud del usuario: eliminar los datos, pedir disculpas y corregir la aplicación para las futuras versiones. Admitir un error a tiempo puede ahorrar un futuro quilombo legal y reputacional.
La defensa en la AAIP o en un posible juicio civil por daños y perjuicios se centrará en demostrar que el consentimiento fue válido y que la finalidad estaba justificada. Una tarea titánica si, en los hechos, no lo estaba. Argumentar que «el usuario aceptó» sin poder demostrar que se le informó adecuadamente es como decir que alguien aceptó comprar un auto con el motor fundido porque firmó un papel sin leer. Puede que en algún caso cuele, pero la tendencia es proteger al usuario, la parte débil de la relación. En definitiva, la mejor defensa es un buen ataque, pero a los propios malos hábitos de programación y diseño. Recolectar solo lo necesario no es una limitación, es profesionalismo. El resto es una invitación al desastre.
