El Derecho a la Privacidad de los seres humanos a menudo se ve vulnerado en el ecosistema de internet. En 2018 se adoptó en Europa el Reglamento General de Protección de Datos (RGPD) (https://gdpr-info.eu/), cuyo objetivo es defender la privacidad de los ciudadanos de la Unión Europea exigiendo responsabilidades a los sistemas que acceden a la información personal de sus usuarios. Sin embargo, aunque contamos con la ley más completa de la historia, evaluar su cumplimiento por parte de los responsables de datos todavía es una tarea muy difícil.

Uno de los aspectos más relevantes del RGPD son las transferencias de datos personales a terceros países u organizaciones internacionales. Este tipo de transferencias de datos personales ponen en riesgo el nivel de protección de los datos de los usuarios si los países destino no cuentan con un adecuado nivel de protección, por ello la ley europea se encarga de regularlas.

El Art. 45 del RGPD dice lo siguiente: “Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.” En caso de que el país destino no cumpla esta condición, el responsable deberá ofrecer garantías adecuadas, las cuales se recogen en los artículos 46, 47 y 49.

Por otro lado, el RGPD se basa en la transparencia y en la comunicación al interesado de las prácticas que se llevan a cabo con sus datos. En lo relativo a transferencias internacionales, el Art. 13 dice lo siguiente: “Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: […] en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.”

Uno de los proyectos llevado a cabo por el grupo de investigación ha sido el diseño de un sistema cuyo objetivo es analizar el cumplimiento de los artículos citados del RGPD en lo relativo a transferencias internacionales en aplicaciones móviles.

Cuando se trata de aplicaciones móviles, uno de los elementos clave de la evaluación de cumplimiento es la política de privacidad, en la que los responsables de los datos informan a los usuarios de las prácticas llevadas a cabo con sus datos. La técnica más utilizada actualmente para analizar este tipo de textos es el procesamiento de lenguaje natural o NLP (Natural Language Processing). Las técnicas de NLP, combinadas con aprendizaje automático, permiten identificar elementos relevantes en una política de privacidad e incluso obtener un resumen de los aspectos legales más importantes. En este caso el objetivo de las técnicas desarrolladas consiste en identificar la intención del responsable de transferir datos personales y la mención de garantías adecuadas.

Pero el análisis de las políticas no es suficiente para determinar si una aplicación cumple con los aspectos analizados del RGPD, también es necesario conocer el comportamiento real de las aplicaciones. Para abordar esta tarea, una de las técnicas más adecuadas es el análisis dinámico de aplicaciones. El análisis dinámico consiste en ejecutar una aplicación en un dispositivo real o un emulador y observar el comportamiento real de la aplicación mientras se ejecuta. Para observar el comportamiento se captura el tráfico que la aplicación envía fuera del móvil mediante un ataque de tipo MITM (man-in-the-middle) proxy. Ese sistema nos permite detectar si una aplicación está mandando datos personales fuera del país.

Los dos módulos principales del sistema desarrollado (módulo de análisis de políticas de privacidad y módulo de análisis de tráfico) han sido integrados en una plataforma alojada en la nube. Esta plataforma incluye un módulo capaz de conectarse a Google Play para buscar y descargar aplicaciones Android.

El sistema final ha permitido llevar a cabo un experimento a gran escala del cumplimiento normativo de las aplicaciones más descargadas de Google Play en España. En total se han analizado más de 16.000 aplicaciones seleccionadas entre las más descargadas, un número de aplicaciones suficientemente grande que permite conocer evaluar el cumplimiento del ecosistema de aplicaciones Android.

El dato más relevante es que solo el 13% de las aplicaciones analizadas cuenta con un enlace en Google Play que contiene una política de privacidad en español. El resto de las aplicaciones o no tiene un enlace en Google Play a su política (13%), o tiene un enlace que no funciona (3%) o la política se encuentra escrita en otro idioma (71%). Esto ya va en contra del RGPD ya que las aplicaciones disponibles en España deberían contar con una política en español como la AEPD (Agencia Española de Protección de Datos) dice en una de sus notas técnicas: “…también se tendrá en cuenta el idioma empleado, por ejemplo, aplicaciones disponibles en castellano y destinadas por tanto a usuarios hispanohablantes, deben proporcionar la política de privacidad en castellano sin perjuicio de que pueda mostrarse en otros idiomas.” (https://www.aepd.es/sites/default/files/2019-09/informe-politicas-de-privacidad-adaptacion-RGPD.pdf).

El módulo de análisis de tráfico se ha encargado de analizar el comportamiento del 13% de aplicaciones con políticas en español. Se ha detectado un total de 811 aplicaciones mandando información personal fuera del dispositivo. De este total de aplicaciones el 89% mandaban los datos fuera de la Unión Europea realizando por tanto transferencias internacionales. Si comparamos estos resultados con el análisis de las políticas de privacidad, podemos ver que el 74% de las aplicaciones que mandan datos fuera de Europa no indican ningún tipo de intención de transferencia en sus políticas de privacidad y el 92% no incluyen ningún tipo de garantía adecuada.

Este breve resumen de los resultados obtenidos deja claro que, pese a que las transferencias internacionales de datos es una práctica muy común en las aplicaciones móviles, no se están tratando de manera adecuada según el RGPD, lo que provoca que el nivel de protección de las personas físicas garantizado por el RGPD se ve menoscabado. Una vez realizada esta evaluación a gran escala del cumplimiento del RGPD de las aplicaciones Android en España, nuestro objetivo es ponernos en contacto con los proveedores de las aplicaciones que se encuentran en situación irregular para que nos ofrezcan su visión del problema, y las posibilidades de solución.

Evaluación del cumplimiento normativo de las aplicaciones Android en España por anadiezm está licenciado bajo una Licencia Creative Commons Atribución-NoComercial-SinDerivar 4.0 Internacional.