La introducció de la legislació europea sobre privadesa de dades en línia tindrà importants conseqüències en la manera com les organitzacions tracten les dades personals dels seus usuaris quant a webs i aplicacions, ja siguin Android o IOS. Aquesta nova llei planteja interrogants per a les organitzacions que manegen regularment dades personals de residents europeus.
Quin impacte té la legislació a les aplicacions i operacions web en línia?
En termes generals, aquesta llei garanteix que un individu tingui control sobre les dades. Això significa que quan una organització demana informació personal en línia, ha d'informar al client què passa amb les dades.
Els aspectes principals d'aquesta nova legislació són els següents:
- Accés més fàcil a les teves pròpies dades. L'usuari té més informació sobre com s'utilitzen les vostres dades. Aquesta informació ha d'estar disponible clarament.
- Capacitat per moure dades. Hauria de ser més fàcil transferir les dades personals a un altre proveïdor de serveis.
- Opció d'eliminar les vostres dades. Si ja no vols que s'utilitzin les teves dades i hi ha una raó vàlida per fer-ho, has d'eliminar les teves dades personals.
- Saber quan les teves dades han estat piratejats. En el moment en què una organització ha estat piratejada, heu d'informar l'autoritat corresponent d'aquest esdeveniment al més aviat possible. Daquesta manera, els usuaris poden prendre les mesures.
Aleshores, com s'implementa una aplicació que compleix GDPR i dóna a l'usuari control sobre les seves dades personals? Aquí tens diversos consells per aplicar-ho.
Consells per desenvolupar apps que compleixin amb GDPR
Determina si l'aplicació necessita totes les dades personals que sol·licita
La implementació de privadesa ideal per complir amb el RGPD és recopilar la menor quantitat de dades personals possible. Amb les dades personals podeu pensar en: nom, data de naixement, lloc de residència, etc. Això, per descomptat, no és possible en totes les situacions, ja que aquesta informació de vegades és necessària. És important que, en qualsevol situació, la gerència i els desenvolupadors determinin quina és la informació més necessària que cal recopilar.
Xifra tota la informació personal
Si una aplicació necessita emmagatzemar informació personal important, és important xifrar correctament aquestes dades utilitzant algoritmes de xifratge sòlids, inclòs el hash. En el cas de la violació de dades d'Ashley Madison, tota la informació estava disponible en text sense format.
Això ha tingut importants conseqüències per als usuaris. Cal indicar explícitament que totes les dades personals estan encriptades, per la qual cosa aquestes dades no es poden fer servir en cas que l'aplicació web sigui piratejada. Això també inclou informació sobre: adreça, números de telèfon i lloc de residència.
Pensa en OAUTH per transferir dades
Amb OAuth, els usuaris poden crear un compte simplement fent servir un compte diferent. Aquests protocols proporcionen un inici de sessió únic i no ajuden a recopilar més informació de la necessària.
Utilitza una comunicació segura mitjançant HTTPS
Moltes organitzacions no utilitzen HTTPS per als seus llocs web perquè es creu que no cal. Per exemple, si una aplicació no requereix cap tipus d'autenticació, és possible que HTTPS no sembli necessari. No obstant, és fàcil passar per alt alguna cosa. Algunes aplicacions recopilen informació personal a través del formulari «Contacti'ns».
Si aquesta informació s'envia en text sense xifrar, serà visible a Internet. A més, has d'assegurar-te que els certificats SSL s'apliquin correctament i no siguin susceptibles a perills relacionats amb els protocols SSL.
Informa els usuaris com maneges la informació de «contacta'ns»
Les aplicacions no només recopilen informació mitjançant autenticació o subscripcions. Les dades també es recopilen mitjançant formularis de contacte. Se sol tractar d'informació personal com: número de telèfon, lloc de residència i adreça de correu electrònic. Informa els usuaris durant quant de temps i com s'emmagatzemen aquestes dades. Es recomana encaridament utilitzar una bona seguretat per emmagatzemar aquesta informació.
Assegureu-vos que les sessions i les galetes caduquin
Per a la complir amb el RGPD, els usuaris han de conèixer com laplicació utilitza les cookies. Cal informar a l'usuari que l'aplicació utilitza galetes i oferir l'opció de rebutjar les galetes. Assegureu-vos que les galetes s'eliminin correctament si algú tanca la sessió o ja no està actiu.
No rastreges els usuaris per a la intel·ligència empresarial
Moltes aplicacions de comerç electrònic rastregen els usuaris per veure el que busquen utilitzant els resultats de cerca i els productes que compren. Sovint empreses com Netflix i Amazon utilitzen aquesta informació per mostrar productes suggerits. Com que aquesta informació s'emmagatzema amb finalitats comercials, l'usuari ha de tenir l'opció d'acceptar-la o no.
Si posteriorment es dóna el consentiment per conservar aquesta informació, cal informar a l'usuari com s'emmagatzema aquesta informació i durant quant de temps. Per descomptat, tota la informació personal ha d'estar encriptada.
Informar l'usuari sobre els registres
Moltes aplicacions utilitzen ubicacions o adreces IP per autoritzar un inici de sessió. Aquesta informació s'emmagatzema en cas que algú intenti eludir aquesta autenticació. Notifica als usuaris que aquesta informació s'emmagatzemarà i per quant de temps. No emmagatzemis informació confidencial a registres, Com la contrasenya.
Preguntes de seguretat
Moltes aplicacions fan servir preguntes de seguretat per confirmar la identitat d'un usuari. Tracta d'assegurar-te que aquesta informació no contingui cap dada personal, com ara el nom de la mare de l'usuari i ni tan sols el color preferit. Sempre que sigui possible intenta utilitzar l'autenticació de dos factors. Si això no és possible, deixa que l'usuari faci les seves preguntes i adverteix que conté informació personal. La informació personal s'ha d'emmagatzemar encriptada.
Elabora termes i condicions clars
No intentis amagar els teus termes i condicions. Per complir amb GDPR sota la nova legislació de privadesa de la UE, els termes i condicions han d'estar disponibles a la pàgina de destinació. A més, els termes i les condicions han de ser clars i accessibles en tot moment quan l'usuari navega per l'aplicació.
Cal que els usuaris acceptin els termes i les condicions abans de poder accedir a l'aplicació. Això s'aplica especialment quan s'han modificat els termes i les condicions generals. No cal dir que els termes i condicions estan disponibles en un idioma que tothom pot entendre.
Compartir dades amb altres parts
Si la vostra organització comparteix dades personals amb altres parts, això s'ha d'indicar en els termes i condicions generals. Això pot ser mitjançant afiliats, agències governamentals o complements externs.
Estableix pautes clares si la teva aplicació és piratejada
Un dels aspectes més importants de la legislació europea és que s'ha de notificar als usuaris si una aplicació ha estat piratejada. Les organitzacions han d'establir pautes clares per descriure la tasca i els passos que l'organització prendrà. Tingueu en compte que l'usuari és informat de manera oportuna.
Eliminar dades dels usuaris que detenen el servei
Moltes aplicacions web no indiquen clarament què passa amb la informació personal quan s'elimina un compte o algú cancel·la. Amb la nova legislació, les empreses han d'eliminar tota la informació personal. Cal entendre que algú pot deixar d'usar el servei i després s'eliminarà la informació. Les organitzacions que tracten un compte eliminat com a inactiva poden estar en contra de la llei.
Eliminar vulnerabilitats
Un dels riscos de privadesa més grans sorgeix perquè l'aplicació és vulnerable. Això sempre és un risc quan un sistema maneja informació confidencial de lusuari. Una aplicació que no ha estat desenvolupada per detectar riscos a temps té més probabilitats de ser piratejada. Assegureu-vos que la vostra organització tingui un programa per detectar riscos cibernètics i realitzar proves de seguretat.