Actualmente existen en el mundo cientos de miles de aplicaciones disponibles a través de diferentes tiendas online de aplicaciones para cada tipo de dispositivo, smartphones y tabletas. Podemos adquirirlas fácilmente a través de la App Store de Apple, Play Store de Google, la Store de Microsoft Windows Phone o a través de Blackberry World, bien pagando o bien gratuitamente, en unos pocos minutos tendremos instalada en nuestro dispositivo una aplicación lista para su funcionamiento.

Por hacernos una idea, según se indica en el propio Dictamen, estas tiendas reciben diariamente 1.600 nuevas aplicaciones y el  usuario medio de  teléfono inteligente se descarga 37, lo que se ha materializado en 13,4 billones de descargas  en todo el mundo de aplicaciones en total durante el primer trimestre de 2013.

Si tomamos como referencia el número de clientes de telefonía móvil en España del Observatorio Nacional de las Telecomunicaciones y de la SI, nos encontramos con que en julio de 2013, el número de líneas de telefonía móvil automática superó los 55,19 millones.

La penetración de smartphones, con 63,2% de los usuarios de teléfono móvil, es la más alta de la UE. Teniendo en cuenta estos datos, deberíamos detenernos un momento y pensar cuáles son las implicaciones que todo esto puede tener en el día a día de nuestros clientes, de nuestros colaboradores o simplemente, de nuestra propia empresa.
 
Las aplicaciones recogen grandes cantidades de datos a partir de los dispositivos y  pueden procesarlos para proporcionar servicios nuevos e innovadores al usuario  final. Por hacernos una idea, si usted tiene un Smartphone, que probablemente lo tenga, no tardaría más de un minuto en hacer una fotografía y enviársela a su lista de contactos, a un amigo o simplemente compartirla en una red social. Si sumamos este envío de información con que la propia aplicación puede estar tomando datos de su ubicación y momento en el que ha realizado la fotografía, nos damos cuenta de la cantidad de datos que una simple aplicación pueda estar almacenando. Ni que decir tiene que si esa fotografía se le realizó a un documento sensible para la empresa, el riesgo que estamos asumiendo es muy elevado.

Conforme la actual LOPD, los datos personales que una empresa pueda almacenar, deben ser tratados con diligencia y en observancia a determinadas medidas de seguridad. Es obligación de la empresa instruir a sus empleados en el correcto tratamiento de los datos que se recogen, declarar los ficheros donde se almacenan, así como mantener un sistema de seguridad óptimo, a fin de proteger los ficheros de datos para preservar la confidencialidad, integridad y disponibilidad de los mismos.

En base a ello, se debe desarrollar un reglamento interno de seguridad (Documento de Seguridad) que defina e implante los procedimientos requeridos para mantener la salvaguarda de los datos protegidos, a disposición de sus empleados, quienes previamente deberán  ser formados y concienciados en materia de seguridad de la información al personal de su plantilla que gestione datos personales.

Llegados a este punto con estos dos frentes abiertos (por un lado el auge de las aplicaciones móviles y por otro el deber empresarial de proteger los datos) se hace patente el hecho de que las aplicaciones móviles pueden suponer una brecha en la seguridad de las empresas si no se adoptan las medidas adecuadas.

Si bien a día de hoy muchas empresas cumplen con las obligaciones formales en cuanto a la LOPD y recogen en sus reglamentos internos de seguridad las normas de protección en el tratamiento de datos de carácter personal, incluyendo sistemas en cuanto a la destrucción del papel, la utilización de fotocopiadoras, la codificación de claves para el acceso a los sistemas informáticos o incluso sistemas biométricos de acceso a determinados almacenes de datos, es cierto que el tratamiento de las aplicaciones móviles aún no se está contemplando a fondo.

Si bien es cierto que a través del Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes, las autoridades europeas han abordado este tema y van a tratar de optimizar una norma aplicable en todos los Estados Miembros a fin de regular esta situación, también lo es la necesidad de que las empresas de tomar medidas a día de hoy pare evitar problemas relativos a la pérdida de datos o mal uso de los mismos.

Actualmente el uso de los dispositivos móviles está muy extendido en la empresa. Las hay que proporcionan teléfonos o tablets a sus empleados y las hay que no, lo que supone en determinados casos,  que los empleados utilicen sus teléfonos particulares para uso profesional.

Tanto las aplicaciones que emplean un sistema Android como las que emplean iOs comparten nuestros datos con terceras personas o entidades. Haciendo una comparativa de las aplicaciones gratuitas más descargadas, se puede determinar que cerca del 50% comparten datos personales con terceras personas, recogen nuestra lista de contactos o incluso información del calendario.

El problema ya no es que compartan la información y tengan la “obligación” de mantener la seguridad, confidencialidad y calidad de la misma, sino que no se encripta para mantenerla protegida, lo que deja rienda suelta a “oportunistas”, malware y otros sistemas, puedan recoger y hacer un mal uso de dicha información.

Viendo esto no tengan la menor duda de que el uso de aplicaciones móviles puede implicar una brecha en la seguridad de los datos y, si dichos datos son sensibles para nuestra empresa, nuestros clientes o cualquier persona sobre cuyos datos tengamos el deber de proteger, el problema está servido.

Es aconsejable, por lo tanto, adoptar medidas para el uso de aplicaciones de terceros en los dispositivos de todos los empleados de una empresa, o incluso la prohibición del uso de las mismas. Si los dispositivos son propiedad de los empleados, sería recomendable prohibir a los mismos la utilización de estos para fines profesionales, instruyendo y concienciando al personal sobre el uso exclusivo de los teléfonos fijos y ordenadores de la empresa, por ejemplo.

En cuanto al uso de aplicaciones en los teléfonos profesionales, no estaría de más limitar su uso o prohibir la descarga de determinadas aplicaciones que no garanticen la salvaguarda de los datos, así como establecer medidas de seguridad para el uso de las mismas o limitar el envío de datos dependiendo del tipo de datos que se estén manejando.

Todas estas medidas deberían recogerse en el reglamento interno de seguridad de la sociedad, así como deberían ser trasladadas a los empleados para su correcta puesta en funcionamiento. No tendría sentido realizar una fuerte inversión en protección de datos si la plantilla de trabajadores suele enviarse entre ellos fotos del contenido de expedientes a través del Whatsapp de sus teléfonos móviles personales.