Aplicaciones móviles, prepárense para las inspecciones de la CNIL: Perspectivas cruzadas entre expertos legales y técnicos sobre las recomendaciones de la CNIL
En este Encuentro Cruzado, Nasséma Mahmoudi, Consultora Senior y ex DPO, y Romain Linotte, Consultor Senior y experto en recopilación de datos en aplicaciones, repasan las últimas recomendaciones de la CNIL relativas a las aplicaciones móviles.
¿Por qué la conformidad de las aplicaciones móviles es un tema prioritario para las empresas en 2025?
Nasséma: Porque la CNIL prevé una campaña de controles dedicada a las aplicaciones móviles desde la primavera de 2025.
Esta campaña es la culminación de una estrategia iniciada en 2022, cuando la CNIL presentó su plan de acción en tres etapas:
-
consulta con los actores del ecosistema móvil para comprender mejor los retos del sector,
-
publicación de guías para acompañar a los profesionales y usuarios,
-
controles específicos para reforzar la conformidad.
En 2023, el regulador también había designado el rastreo de usuarios por aplicaciones móviles como una prioridad de control, confirmando su exigencia de una estricta aplicación del RGPD por parte de los actores del sector. La publicación, el 24 de septiembre de 2024, de la versión final de su recomendación aporta la última piedra a este edificio.
Romain: Desde un punto de vista técnico, mientras la CNIL ha precisado a lo largo de los años las reglas aplicables en la web, el entorno móvil se ha mantenido más en segundo plano. Ante la falta de recomendaciones específicas, los editores y desarrolladores de aplicaciones han tenido que adaptar, como han podido, las exigencias de la autoridad a sus propias limitaciones.
Con la publicación de la “Recomendación relativa a las aplicaciones móviles” el pasado septiembre, las expectativas de la CNIL son ahora claras, y la autoridad ya ha anunciado el inicio de una fase de controles específicos para la primavera de 2025. Las empresas deben prepararse desde ya, implementando soluciones técnicas conformes para evitar sanciones y pérdida de confianza de los usuarios.
¿Cuáles son las particularidades del entorno móvil? ¿Por qué es complejo asegurar su conformidad con el RGPD?
Romain: El entorno móvil es especialmente complejo de asegurar y hacer conforme al RGPD debido a su estructura técnica. Las aplicaciones pueden recopilar datos de forma continua (geolocalización, identificadores únicos, biometría), e integran a menudo SDKs de terceros que escapan al control directo de los desarrolladores.
Además, las reglas impuestas por los sistemas operativos, como el App Tracking Transparency de Apple o las restricciones de Android, complican aún más la gestión del consentimiento y la trazabilidad de los flujos de datos.
Nasséma: Desde un punto de vista jurídico, la conformidad de las aplicaciones móviles al RGPD es un desafío, porque implica una multiplicidad de actores con responsabilidades entrelazadas: desarrolladores, editores, proveedores de SDK, tiendas de aplicaciones (app stores) y sistemas operativos (OS).
A menudo es difícil identificar claramente los roles (responsable del tratamiento, encargado del tratamiento, tercero) y las responsabilidades de cada uno de estos actores, sobre todo porque algunos desempeñan simultáneamente varios roles (Apple y Google, en particular).
Además, los editores de aplicaciones deben conciliar la adaptación de sus obligaciones regulatorias al entorno de la aplicación — por ejemplo, asegurar una información completa a la persona afectada sin arruinar la experiencia del usuario — pero también con las políticas impuestas por los OS, especialmente en materia de permisos.
¿Cuáles son los impactos concretos y cambios aportados por esta nueva recomendación de la CNIL?
Nasséma: Estas recomendaciones no modifican fundamentalmente las reglas ya aplicables en materia de protección de datos personales. Sin embargo, permiten precisar las expectativas de la CNIL respecto a la conformidad de las aplicaciones móviles.
El regulador se interesa en todos los actores del ecosistema móvil: editores, desarrolladores, proveedores de OS, tiendas de aplicaciones y SDK, clarificando y delimitando sus responsabilidades respectivas. Para cada uno propone una “checklist” sintética que permite evaluar su nivel de conformidad.
Estas recomendaciones toman en cuenta las problemáticas específicas del entorno móvil, haciendo especial énfasis en el papel del consentimiento y su articulación con los permisos técnicos, que la CNIL ilustra con casos prácticos. También se presta especial atención al control de los SDK: editores y desarrolladores deben ser vigilantes en su selección y obtener información para documentar su propia conformidad.
Romain: En el plano técnico, estas recomendaciones formalizan obligaciones ya implementadas por muchos equipos móviles, aunque a menudo de manera incompleta. La gestión del consentimiento, la limitación de permisos y el control de los SDK de terceros son preocupaciones habituales para la mayoría de los equipos de aplicaciones.
Sin embargo, esta oficialización y los futuros controles impulsarán a ciertos equipos a ponerse al día en algunos puntos de conformidad o a ir aún más allá en sus buenas prácticas.
¿Cómo pueden prepararse eficazmente las empresas para la campaña de controles de la CNIL prevista para la primavera de 2025?
Nasséma: Como en toda iniciativa de conformidad, el primer paso es definir claramente el perímetro de la auditoría. En el caso de una aplicación móvil, esto implica cartografiar exhaustivamente los tratamientos asociados a su uso y la arquitectura técnica subyacente.
Luego será necesario analizar y documentar la conformidad de cada tratamiento identificado respecto a la recomendación de la CNIL, prestando especial atención a la información y el consentimiento de los usuarios, así como a las relaciones con los proveedores, en particular desarrolladores y SDK.
Romain: Es esencial integrar a los equipos jurídicos, de seguridad y de negocio desde el inicio del proceso de conformidad. Es la colaboración entre estas partes interesadas la que permitirá garantizar una visión exhaustiva del perímetro de la aplicación y asegurar que las medidas técnicas respeten tanto las obligaciones regulatorias como las buenas prácticas en el tratamiento y seguridad de los datos personales.
Esto incluye el análisis de los flujos de datos, la gestión de permisos y la implementación de las correcciones necesarias, como la actualización de las CMP y el refuerzo de la seguridad. Este enfoque colaborativo garantiza una conformidad rápida y eficaz, especialmente crucial ante el plazo fijado por la CNIL para la primavera de 2025.