La introducción de la legislación europea sobre privacidad de datos en línea tendrá importantes consecuencias en la forma en que las organizaciones tratan los datos personales de sus usuarios en cuanto a webs y aplicaciones, ya sean Android o IOS. Esta nueva ley plantea interrogantes para las organizaciones que manejan regularmente datos personales de residentes europeos.
¿Qué impacto tiene la legislación en las aplicaciones y operaciones web en línea?
En términos generales, esta ley garantiza que un individuo tenga control sobre sus datos. Esto significa que cuando una organización solicita información personal en línea, debe informar al cliente qué sucede con sus datos.
Los principales aspectos de esta nueva legislación son los siguientes:
- Acceso más fácil a tus propios datos. El usuario tiene más información sobre cómo se utilizan sus datos. Esta información debe estar disponible de manera clara.
- Capacidad para mover datos. Debería ser más fácil transferir tus datos personales a otro proveedor de servicios.
- Opción de eliminar tus datos. Si ya no deseas que se utilicen tus datos y existe una razón válida para ello, debes eliminar tus datos personales.
- Saber cuándo tus datos han sido pirateados. En el momento en que una organización ha sido pirateada, debe informar a la autoridad correspondiente de este evento lo antes posible. De esta forma, los usuarios pueden tomar las medidas.
Entonces, ¿cómo se implementa una aplicación que cumple con GDPR y le da al usuario control sobre sus datos personales? Aquí tienes varios consejos para aplicarlo.
Consejos para desarrollar apps que cumplan con GDPR
Determina si la aplicación necesita todos los datos personales que solicita
La implementación de privacidad ideal para cumplir con el RGPD es recopilar la menor cantidad de datos personales posible. Con los datos personales puedes pensar en: nombre, fecha de nacimiento, lugar de residencia, etc. Esto, por supuesto, no es posible en todas las situaciones, ya que esta información a veces es necesaria. Es importante que, en cualquier situación, la gerencia y los desarrolladores determinen cuál es la información más necesaria que se debe recopilar.
Cifra toda la información personal
Si una aplicación necesita almacenar información personal importante, es importante cifrar correctamente estos datos utilizando algoritmos de cifrado sólidos, incluido el hash. En el caso de la violación de datos de Ashley Madison, toda la información estaba disponible en texto sin formato.
Esto ha tenido importantes consecuencias para sus usuarios. Se debe indicar explícitamente que todos los datos personales están encriptados, por lo que estos datos no se pueden usar en caso de que la aplicación web sea pirateada. Esto también incluye información sobre: dirección, números de teléfono y lugar de residencia.
Piensa en OAUTH para transferir datos
Con OAuth, los usuarios pueden crear una cuenta simplemente usando una cuenta diferente. Estos protocolos proporcionan un inicio de sesión único y no ayudan a recopilar más información de la necesaria.
Utiliza una comunicación segura a través de HTTPS
Muchas organizaciones no utilizan HTTPS para sus sitios web porque se cree que no es necesario. Por ejemplo, si una aplicación no requiere ningún tipo de autenticación, es posible que HTTPS no parezca necesario. Sin embargo, es fácil pasar por alto algo. Algunas aplicaciones recopilan información personal a través del formulario «Contáctenos».
Si esta información se envía en texto sin cifrar, será visible en Internet. Además, debes asegurarte de que los certificados SSL se apliquen correctamente y no sean susceptibles a peligros relacionados con los protocolos SSL.
Informa a los usuarios cómo manejas la información de «contáctanos»
Las aplicaciones no solo recopilan información a través de autenticación o suscripciones. Los datos también se recopilan mediante formularios de contacto. Suele tratarse de información personal como: número de teléfono, lugar de residencia y dirección de correo electrónico. Informa a los usuarios durante cuánto tiempo y cómo se almacenan estos datos. Se recomienda encarecidamente utilizar una buena seguridad para almacenar esta información.
Asegúrate de que las sesiones y las cookies caduquen
Para cumplir con el RGPD, los usuarios deben conocer cómo la aplicación utiliza las cookies. Se debe informar al usuario que la aplicación utiliza cookies y ofrecer la opción de rechazar las cookies. Asegúrate de que las cookies se eliminen correctamente si alguien cierra la sesión o ya no está activo.
No rastrees a los usuarios para la inteligencia empresarial
Muchas aplicaciones de comercio electrónico rastrean a los usuarios para ver lo que buscan utilizando los resultados de búsqueda y los productos que compran. A menudo, empresas como Netflix y Amazon utilizan esta información para mostrar productos sugeridos. Dado que esta información se almacena con fines comerciales, el usuario debe tener la opción de aceptarla o no.
Si posteriormente se da el consentimiento para conservar esta información, se debe informar al usuario cómo se almacena esta información y durante cuánto tiempo. Por supuesto, toda la información personal debe estar encriptada.
Informar al usuario sobre los registros
Muchas aplicaciones utilizan ubicaciones o direcciones IP para autorizar un inicio de sesión. Esta información se almacena en caso de que alguien intente eludir esta autenticación. Notifica a los usuarios que esta información se almacenará y por cuánto tiempo. No almacenes información confidencial en registros, como la contraseña.
Preguntas de seguridad
Muchas aplicaciones utilizan preguntas de seguridad para confirmar la identidad de un usuario. Trata de asegurarte de que esta información no contenga ningún dato personal, como el nombre de la madre del usuario y ni siquiera el color favorito. Siempre que sea posible, intenta utilizar la autenticación de dos factores. Si eso no es posible, deja que el usuario haga sus propias preguntas y advierte que contiene información personal. La información personal debe almacenarse encriptada.
Elabora términos y condiciones claros
No intentes ocultar tus términos y condiciones. Para cumplir con GDPR bajo la nueva legislación de privacidad de la UE, los términos y condiciones deben estar disponibles en la página de destino. Además, los términos y condiciones deben ser claros y accesibles en todo momento cuando el usuario navega por la aplicación.
Es necesario que los usuarios acepten los términos y condiciones antes de poder acceder a la aplicación. Esto se aplica especialmente cuando se han modificado los términos y condiciones generales. No hace falta decir que los términos y condiciones están disponibles en un idioma que todos pueden entender.
Compartir datos con otras partes
Si tu organización comparte datos personales con otras partes, esto debe indicarse en los términos y condiciones generales. Esto puede ser a través de afiliados, agencias gubernamentales o complementos externos.
Establece pautas claras si tu aplicación es pirateada
Uno de los aspectos más importantes de la legislación europea es que se debe notificar a los usuarios si una aplicación ha sido pirateada. Las organizaciones deben establecer pautas claras para describir la tarea y los pasos que tomará la organización. Ten en cuenta que el usuario es informado de manera oportuna.
Eliminar datos de los usuarios que detienen el servicio
Muchas aplicaciones web no indican claramente qué sucede con la información personal cuando se elimina una cuenta o alguien cancela. Con la nueva legislación, las empresas deben eliminar toda la información personal. Debe entenderse que alguien puede dejar de usar el servicio y luego se eliminará su información. Las organizaciones que tratan una cuenta eliminada como inactiva pueden estar en contra de la ley.
Eliminar vulnerabilidades
Uno de los mayores riesgos de privacidad surge porque la aplicación es vulnerable. Esto siempre es un riesgo cuando un sistema maneja información confidencial del usuario. Una aplicación que no ha sido desarrollada para detectar riesgos a tiempo tiene más probabilidades de ser pirateada. Asegúrate de que tu organización tenga un programa para detectar riesgos cibernéticos y realizar pruebas de seguridad.