El informe jurídico 0016/2014 de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de una aplicación web y móvil para la gestión de zonas de aparcamiento regulado con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su reglamento de desarrollo. La aplicación permite a los usuarios emitir recibos para estacionamiento, recibir información sobre incumplimientos y gestionar hasta cinco matrículas de vehículos.
El informe destaca varias preocupaciones clave. En primer lugar, no queda claro quién es el responsable del tratamiento de los datos, ya que la potestad tributaria corresponde a la Corporación Municipal, lo que sugiere que la entidad consultante podría ser solo encargada del tratamiento. Además, la consulta no proporciona información detallada sobre cómo se manejarán los datos de los usuarios, lo cual es crucial dado que la aplicación puede implicar la recogida de datos de navegación y otros datos sensibles.
El Dictamen 2/2013 del Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE subraya la importancia de la limitación de la finalidad y la minimización de datos en las aplicaciones móviles. Los desarrolladores deben considerar atentamente los datos estrictamente necesarios para evitar el tratamiento de información innecesaria y potencialmente ilícita. Además, la captación de datos a través de dispositivos como cookies está sujeta a la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico, que exige el consentimiento informado de los usuarios.
El informe también señala que la aplicación no especifica las medidas de seguridad que se implementarán, ni los plazos de conservación de la información, ni cómo se atenderán los derechos de los afectados. Esto es crucial para garantizar la protección de los datos personales.
Una de las principales preocupaciones es que la aplicación permitirá a los usuarios recibir información sobre hasta cinco vehículos, sin necesariamente ser titulares o conductores habituales de esos vehículos. La consultante se limita a incluir una leyenda en la política de privacidad que afirma haber informado a las terceras personas sobre el tratamiento de sus datos, pero no hay manera de verificar que esta información se haya proporcionado ni que se haya obtenido el consentimiento de dichas personas.
El informe concluye que, a menos que se pueda establecer un vínculo claro entre el usuario de la aplicación y el vehículo (por ejemplo, a través del abono del impuesto municipal de vehículos), no debería informarse sobre la fecha, hora y ubicación de los vehículos que hubieran infringido las normas de estacionamiento. Una medida adecuada podría ser facilitar información sobre infracciones solo cuando el usuario proceda a su abono a través del aplicativo, estableciendo así una vinculación lógica entre el usuario y el vehículo.