Articles
Noticias del sector
Aplicaciones móviles: comprendiendo las recomendaciones de la CNIL (2024)
Noticias del sector
new

Aplicaciones móviles: comprendiendo las recomendaciones de la CNIL (2024)

Publicado  

11/1/2024

por 

Sebastien Gantou

9
min lectura

Published  

November 1, 2024

by 

Sebastien Gantou

10 min read
Resumen

El 24 de septiembre, tras una consulta pública, la autoridad francesa de protección de datos, Commission nationale de l'informatique et des libertés (CNIL), publicó sus recomendaciones para los actores en el mercado de aplicaciones móviles. El objetivo de estas nuevas recomendaciones es recordar a los players del sector los principios establecidos en los textos legales y ayudarlos a diseñar aplicaciones que respeten la protección de los datos y la privacidad de los usuarios.

Junto con las recomendaciones, la CNIL anunció una campaña de cumplimiento que comenzará en primavera, subrayando la importancia de entender estas nuevas directrices, evaluar el nivel de exposición de tu empresa y determinar los próximos pasos.

Soy Sebastien Gantou, DPO externo en Didomi, moderador de grupos de trabajo de expertos en protección de datos y director ejecutivo de la empresa Digital DPO. Utilizo mi experiencia, habilidades y conocimientos para servir a mi red y a mis clientes, especialmente en los sectores de los medios de comunicación y la publicidad en línea. Participo con frecuencia en las consultas previas de la EDPB o la CNIL sobre estos temas.

En este artículo, después de analizar cuidadosamente el 98 (!) En las páginas de las recomendaciones recientes de la CNIL, destaco los puntos principales que hay que recordar para entender lo que viene a continuación.

L; SECAR: La CNIL ha elaborado una política de cumplimiento para cada categoría de jugadores, en la que se detallan las obligaciones, los consejos y las mejores prácticas que espera que se apliquen.

Para lograrlo, especifica el alcance de las operaciones de procesamiento en las que participa cada parte, identifica las medidas que les permitirán cumplir con las regulaciones y garantiza que otros hagan lo mismo como parte de un enfoque de «Privacy by Design», a veces con un nivel de detalle que creará fuertes restricciones en términos de cumplimiento para el futuro.

Así cada player en esta industria (Anunciantes, Publishers, Desarrolladores de APPs, Marketplaces...) deberá aclarar sus funciones y definir sus relaciones, asegurarse de que los usuarios estén mejor informados, especialmente en lo que respecta a los permisos solicitados, y confirmar que el consentimiento se otorga de forma libre e informada. En relación con este último punto, la directiva se centra especialmente en las actividades de procesamiento con fines publicitarios o en el uso de los datos de las aplicaciones para la posterior segmentación publicitaria o basada en el comportamiento. De este modo, los CMP integrados en las aplicaciones se confirman oficialmente, si es que la confirmación fuera necesaria, como una herramienta para obtener y conservar pruebas del cumplimiento de la normativa. Disfruta de tu lectura.

Resumen de las recomendaciones de la CNIL sobre las aplicaciones móviles

La CNIL inició este proyecto de recomendaciones en 2023, emitiendo una convocatoria de contribuciones a los players del ecosistema de aplicaciones móviles, un resumen del cual la organización compartió posteriormente. Tras una consulta pública, la CNIL finalmente publicó sus recomendaciones finales en septiembre pasado.

El tamaño y la densidad del documento pueden hacer que a muchas empresas les resulte difícil resumirlo o entenderlo. Aquí, y en varios próximos eventos , destacaremos los elementos más importantes e identificaremos consejos prácticos antes de compartir nuestra interpretación.

¿Por qué esto es importante para la CNIL?

Hoy en día, las aplicaciones móviles desempeñan un papel central en la vida digital de los consumidores, ya sea para la comunicación, el entretenimiento, la orientación o las compras. En 2023, los usuarios descargaron una media de 30 aplicaciones y pasaron 3h30 al día en sus teléfonos (fuente: data.ai).

Las aplicaciones acceden a información confidencial, como la ubicación en tiempo real, las fotos o los datos de salud, y a menudo requieren numerosos permisos (micrófono, contactos, etc.). Además, varios actores participan en el funcionamiento de una aplicación, lo que aumenta el riesgo de que se recopilen o compartan datos personales. ‍

En sus recomendaciones, la CNIL reitera la importancia de diseñar aplicaciones respetuosas con la privacidad y destaca que «los entornos móviles presentan más riesgos que la web para la privacidad y la seguridad de los datos».

El presidente de la CNIL reafirmó recientemente esta preocupación durante un discurso dirigido a los editores de contenido en línea (GESTE).

¿Cuál es el alcance legal?

La CNIL tiene como objetivo desarrollar recomendaciones para un mejor cumplimiento del RGPD (Reglamento General de Protección de Datos). Recordemos que la recomendación tiene un alcance amplio. Completa sus directrices de 2020 sobre »Cookies y otros rastreadores». Por lo tanto, no se dirige explícitamente a los medios de comunicación, los minoristas y el sector de la publicidad digital, sino también a las aplicaciones de servicios, las aplicaciones de juegos y las redes sociales.

Publicados en Legifrance, los consejos y las mejores prácticas constituyen, a pesar de lo que algunos puedan decir, un conjunto fundamental de disposiciones que la autoridad espera encontrar en vigor durante las inspecciones que comenzarán el próximo año. La publicación es un acto de derecho no vinculante.

Esta doctrina también forma parte del trabajo del EDPB sobre las condiciones de aplicación del artículo 5.3 de la Directiva sobre la privacidad electrónica (la consulta a nivel europeo también se abrirá en 2024).

¿A quién afectan las recomendaciones?

Las recomendaciones abarcan a todos los involucrados en el desarrollo y la entrega de aplicaciones móviles. El resultado es un documento que a veces es muy (¿quizás también?) detallado pero que aborda:

  • Editores hacen que las aplicaciones móviles estén disponibles para los usuarios.
  • Desarrolladores escriben el código informático de la aplicación móvil.
  • Proveedores de SDK desarrollan funciones integradas por los desarrolladores.
  • Proveedores de sistemas operativos proporcionan el entorno en el que se ejecutarán las aplicaciones móviles.
  • Proveedores de tiendas de aplicaciones proporcionan plataformas de descarga.

¿Cuáles son los objetivos de la CNIL con esta recomendación?

Los tres objetivos, según lo establecido por la autoridad supervisora, son:

  • Aclarar y definir el rol de cada jugador
  • Mejorar la información de los usuarios sobre el uso de sus datos
  • Garantizar que el consentimiento sea informado y otorgado libremente

De acuerdo con el RGPD, el usuario se coloca en el centro de una información completa y transparente para permitir la recopilación del consentimiento opcional para el procesamiento no estrictamente necesario para los servicios suscritos, todo dentro de un ecosistema aclarado. Algunos editores profesionales de aplicaciones también destacaron esta necesidad, ya que consideran que carecen de suficiente información durante las negociaciones iniciales o de flexibilidad a la hora de implementar determinados SDK.

Veamos cada objetivo en detalle.

Aclarar y enmarcar el rol de cada jugador

El análisis de la CNIL sobre el tema parece ser exhaustivo y está bien fundamentado. Tras identificar a los actores y sus funciones, los califica según el RGPD con casos de uso concretos. Por lo tanto, la autoridad de protección de datos define una matriz para determinar y compartir las responsabilidades entre los actores del ecosistema móvil. A lo largo de las recomendaciones, se detallan las consecuencias de este análisis inicial, especificando las obligaciones respectivas de las partes para brindar seguridad jurídica a los profesionales. La mayoría de estas obligaciones deben formalizarse en instrumentos legales contractuales o en la información que debe proporcionarse antes de la implementación de las operaciones de procesamiento.

He notado que la CNIL establece el nivel de cumplimiento y diligencia esperado en sus recomendaciones. Publicado en detalle en Légifrance, es probable que sirvan de guía para la aplicación futura y para la agenda 2025 de la DPA.

Mejorar la información de los usuarios sobre el uso de sus datos

Esto se ha convertido ahora en un ejercicio rutinario como parte de la implementación progresiva de su doctrina RGPD: la CNIL recomienda mejorar la información al usuario sobre cómo se utilizan sus datos.

El proceso incluye tres pasos principales. El primero consiste en organizar la información como un registro de las actividades de procesamiento, que luego debe presentarse en avisos y políticas de privacidad claros y accesibles y mostrarse en los momentos apropiados en la aplicación móvil. Finalmente, el último paso es garantizar que la información se actualice antes de cualquier cambio y, si es necesario, que se obtengan nuevas solicitudes de consentimiento.

En esta etapa, hay dos puntos principales a tener en cuenta.

En primer lugar, la CNIL ya no menciona la opción de «continuar sin aceptar», que se estableció en las Recomendaciones sobre «cookies y rastreadores» 2020 y desde entonces ha sido adoptado por muchos sitios web y aplicaciones. En segundo lugar, se destacan especialmente los permisos, y ahora se ha formalizado un marco legal para aceptar funciones técnicas. Esta aclaración especifica la distinción entre los permisos técnicos y el consentimiento, especialmente cuando pueden entrar en conflicto. Aunque la CNIL no detalla cómo los editores pueden obtener información del Sistema Operativo para aplicar las opciones de los usuarios mediante un restablecimiento de la configuración, es posible que este problema se presente en los próximos meses.

Sobre este tema, la CNIL busca que esta información ayude a los usuarios a comprender si los permisos solicitados son realmente necesarios para la funcionalidad de la aplicación.

La CNIL aclara sus expectativas: las decisiones tomadas y las razones que las justifican deben estar documentadas.

Garantizar que el consentimiento sea informado y no coaccionado (otorgado libremente)

Esto no es nada nuevo para los clientes de Didomi, pero sirve de recordatorio para aquellos que aún no han implementado una CMP en sus aplicaciones móviles. La CNIL hace hincapié en la obligación de obtener el consentimiento para procesar datos que no sean necesarios para el funcionamiento de las aplicaciones, por ejemplo con fines publicitarios (una vez más, se destaca debido al volumen de datos y al número de partes involucradas).

Como era de esperar, se reafirman los requisitos para un consentimiento válido y el imperativo de implementar una CMP para la publicidad en línea. Esto significa registrar si los usuarios han dado su consentimiento o no y conservar la prueba de su validez. En este sentido, reiteraré los principios del consentimiento que son la base del CMP de Didomi: el consentimiento debe ser informado, otorgado libremente, específico, inequívoco, retirado con la misma facilidad que se otorga y demostrable tanto en su expresión como en las condiciones que lo validan.

¿Se ven afectados todos los datos procesados en una aplicación?

No, y es importante aclarar esto: el procesamiento de datos en cuestión incluye actividades sujetas al Reglamento General de Protección de Datos (RGPD) o a la Directiva de privacidad electrónica. Por lo tanto, la recomendación de la CNIL no cubre el procesamiento de datos que se produce únicamente en el dispositivo del usuario, sin acceso externo y solo a petición del usuario.

Subrayando los principales impactos

Los editores de aplicaciones deberán mejorar su documentación interna (registros específicos de procesamiento, avisos de información, políticas de privacidad, contratos y justificaciones de calificación) y establecer procedimientos (gobernanza del procesamiento de datos, coordinación de permisos, administración de actualizaciones y actualizaciones de análisis de impacto).

Esto los llevará a actuar con la debida diligencia (registro de los procesamientos, cuestionarios y recopilación de información de los SDK) y a fortalecer el proceso de contratación a la hora de seleccionar a los proveedores, asignando así una mayor responsabilidad a los desarrolladores. Esto también exige hacer un seguimiento de las instrucciones que se proporcionan a los desarrolladores y del compromiso asumido por los SDK en relación con la cadena de procesamiento y el cumplimiento de solicitudes de acceso de sujetos de datos.

Mi interpretación: ¿Qué debemos esperar de esta recomendación?

Algunos editores del sector anticiparon estas recomendaciones para establecer las condiciones de una mejor seguridad jurídica entre los jugadores.

Debido a la complejidad y al alto nivel de detalle del documento, existe el riesgo de que se malinterprete, por lo que es esencial que los DPO participen al nivel correcto. Ahora, todo gira en torno a la implementación. Thomas Adhumeau, director de privacidad en Didomi, se hace eco de esta perspectiva y compartió esta visión durante una charla para Mind Media:

«El proyecto es muy detallado. Pero, paradójicamente, cuanto más nos alejamos de la generalidad, mayor es el riesgo de que sea incompleto, lo que podría llevar a malentendidos».

- Thomas Adhumeau, director de privacidad en Didomi (fuente: Mind Media)

Prevemos movilizar a los actores clave, principalmente los medios de comunicación y las grandes entidades de comercio electrónico, con el apoyo de empresas de tecnología publicitaria que trabajan en la publicidad targetizada en Francia y de varias empresas y sectores que actualmente están siendo revisados por la CNIL, sobre la base de las prioridades de la autoridad para 2023.

La CNIL planea incluir las APPS en su acción específica, programada para 2025, e implicará una ola de inspecciones y cumplimiento de la ley en sectores específicos.

Gradualmente, gracias a la presión de las inspecciones, la influencia de las principales partes interesadas y el trabajo de los DPO’s, estas recomendaciones se difundirán y afectarán a las discusiones sobre los marcos contractuales que rigen los servicios entre los actores.

Observo cuatro limitaciones principales en esta etapa:

  • El documento está en francés, mientras que muchas partes interesadas, especialmente los proveedores de SDK, las agencias y los SSP, residen predominantemente en EE. UU. o trabajan en inglés.
  • Ámbito nacional francés, a pesar del liderazgo de la CNIL en el procesamiento técnico innovador dentro de la EDPB. La falta de avances en una nueva regulación de la privacidad electrónica y el hecho de que no todas las autoridades nacionales supervisen el procesamiento de la privacidad electrónica constituirán obstáculos.
  • Importante énfasis en los desarrolladores, que suelen ser autónomos con medios limitados para formarse, lo que puede representar un riesgo para los editores.
  • Como DPO de las principales editoriales, lamento la falta de un mecanismo que permita a los editores de aplicaciones volver a los usuarios a sus elecciones de configuración tras una actualización de información clara y transparente. Esto puede llevarlos a tomar decisiones diferentes a las que se establecieron inicialmente en la configuración general de su dispositivo.

En la práctica, ¿qué medidas concretas deberían tomar las empresas interesadas?

Prepárate: los pasos para el cumplimiento se programarán en los próximos 6 meses

Los 6 pasos fundamentales que debes implementar si te ves afectado por estas nuevas recomendaciones para lograr el cumplimiento:

¿Cómo apoyará Didomi a sus clientes?

Como proveedor de SDK, Didomi ayudará a sus clientes a documentar sus actividades de procesamiento relacionadas con la recopilación y el almacenamiento de las elecciones de los usuarios en el CMP.

Como su socio de cumplimiento, Didomi brinda acceso a sus equipos de atención al cliente para responder a sus preguntas o guiarlo hacia expertos que pueden ayudarlo a abordar sus desafíos.

¿Más preguntas? Visita nuestra página CMP dedicada a las aplicaciones móviles y ponte en contacto con nuestro equipo:

{{cmp-para-aplicaciones móviles}}

El autor
Sebastien Gantou
Data Protection Officer at Didomi & CEO at Digital DPO
Data Protection Officer (DPO-DPD certified by CNIL) | GDPR Expert| Media, digital & advertising
Acceder al perfil del autor

Artículos relacionados

Noticias del sector
Combinando privacidad y rendimiento en un mundo centrado en el usuario (evento)
October 21, 2024
Leer el artículo
Noticias del sector
Actualización sobre Google's Privacy Sandbox: Navegando el nuevo paradigma de las third-party cookies
July 29, 2024
Leer el artículo
Noticias del sector
Las nuevas regulaciones para CTV de Google para la recolección del consentimiento
July 11, 2024
Leer el artículo
Noticias del sector
El final de las third-party cookies en Chrome: la guía definitiva
May 29, 2024
Leer el artículo
Noticias del sector
Las cookies analíticas, ¿necesitan consentimiento en España? Actualización de la AEPD
January 26, 2024
Leer el artículo
Noticias del sector
Paywalls en España: Últimas actualizaciones de la AEPD
January 26, 2024
Leer el artículo