L'introduzione della normativa europea in materia privacy dei dati online avrà conseguenze importanti sul modo in cui le organizzazioni trattano i dati personali dei propri utenti in termini di siti Web e applicazioni, siano esse Android o IOS. Questa nuova legge solleva interrogativi per le organizzazioni che gestiscono regolarmente i dati personali dei residenti europei.
Che impatto ha la legislazione sulle applicazioni e sulle operazioni web online?
In termini generali, questa legge garantisce che un individuo abbia il controllo sui propri dati. Ciò significa che quando un'organizzazione richiede informazioni personali online, deve dire al cliente cosa succede ai suoi dati.
Gli aspetti principali di questa nuova normativa sono i seguenti:
- Accesso più facile ai propri dati. L'utente ha maggiori informazioni su come vengono utilizzati i suoi dati. Queste informazioni devono essere rese disponibili in modo chiaro.
- Possibilità di spostare i dati. Dovrebbe essere più facile trasferire i tuoi dati personali a un altro fornitore di servizi.
- Possibilità di cancellare i tuoi dati. Se non desideri più che i tuoi dati vengano utilizzati e c'è un motivo valido, devi cancellare i tuoi dati personali.
- Scopri quando i tuoi dati sono stati violati. Nel momento in cui un'organizzazione è stata violata, devi informare l'autorità competente di questo evento il prima possibile. In questo modo, gli utenti possono effettuare le misurazioni.
Quindi, come si implementa un'applicazione conforme? GDPR e dà all'utente il controllo sui propri dati personali? Ecco alcuni suggerimenti per applicarlo.
Suggerimenti per lo sviluppo di app conformi al GDPR
Determina se l'app ha bisogno di tutti i dati personali richiesti
L'implementazione ideale della privacy per rispettare il GDPR è raccogliere il minor numero possibile di dati personali. Con i dati personali si possono pensare a: nome, data di nascita, luogo di residenza, ecc. Questo, ovviamente, non è possibile in tutte le situazioni, poiché a volte queste informazioni sono necessarie. È importante in ogni situazione che il management e gli sviluppatori determinino quali sono le informazioni più necessarie da raccogliere.
Cripta tutte le informazioni personali
Se un'applicazione deve archiviare informazioni personali sensibili, è importante crittografare correttamente questi dati utilizzando algoritmi di crittografia avanzati, incluso l'hashing. Nel caso della violazione dei dati di Ashley Madison, tutte le informazioni erano disponibili in chiaro.
Ciò ha avuto conseguenze importanti per i suoi utenti. Deve essere esplicitamente dichiarato che tutti i dati personali sono crittografati, quindi questi dati non possono essere utilizzati nel caso in cui l'applicazione web venga violata. Ciò include anche informazioni su: indirizzo, numeri di telefono e luogo di residenza.
Pensa a OAUTH per trasferire i dati
Con OAuth, gli utenti possono creare un account semplicemente utilizzando un account diverso. Questi protocolli forniscono un unico accesso e non aiutano a raccogliere più informazioni del necessario.
Usa la comunicazione sicura su HTTPS
Molte organizzazioni non utilizzano HTTPS per i loro siti Web perché si ritiene che non sia necessario. Ad esempio, se un'applicazione non richiede alcun tipo di autenticazione, HTTPS potrebbe non sembrare necessario. Tuttavia, è facile perdere qualcosa. Alcune applicazioni raccolgono informazioni personali tramite il modulo "Contattaci".
Se queste informazioni vengono inviate in chiaro, saranno visibili su Internet. Inoltre, dovresti assicurarti che Certificati SSL sono applicati correttamente e non sono suscettibili di pericoli legati ai protocolli SSL.
Fai sapere agli utenti come gestisci le informazioni "contattaci".
Le app non raccolgono solo informazioni tramite autenticazione o abbonamenti. I dati vengono raccolti anche tramite moduli di contatto. Di solito si tratta di informazioni personali come: numero di telefono, luogo di residenza e indirizzo e-mail. Informa gli utenti per quanto tempo e come vengono archiviati questi dati. Si consiglia vivamente di utilizzare una buona sicurezza per archiviare queste informazioni.
Assicurati che le sessioni e i cookie scadano
a rispettare il GDPR, gli utenti devono essere consapevoli di come l'applicazione utilizza i cookie. L'utente deve essere informato che l'applicazione utilizza i cookie e offerta la possibilità di rifiutare i cookie. Assicurati che i cookie vengano eliminati correttamente se qualcuno si disconnette o non è più attivo.
Non tenere traccia degli utenti per la business intelligence
Molte app di eCommerce tengono traccia degli utenti per vedere cosa stanno cercando utilizzando i risultati di ricerca e i prodotti che acquistano. Aziende come Netflix e Amazon utilizzano spesso queste informazioni per visualizzare i prodotti suggeriti. Poiché queste informazioni sono archiviate per scopi commerciali, l'utente deve avere la possibilità di accettarle o meno.
Se successivamente viene fornito il consenso alla conservazione di tali informazioni, l'utente deve essere informato su come queste informazioni vengono conservate e per quanto tempo. Naturalmente, tutte le informazioni personali devono essere crittografate.
Informare l'utente sui record
Molte applicazioni utilizzano posizioni o indirizzi IP per autorizzare un accesso. Queste informazioni vengono memorizzate nel caso qualcuno tenti di aggirare questa autenticazione. Avvisa gli utenti che queste informazioni verranno archiviate e per quanto tempo. Non archiviare informazioni riservate nei registri, come la password.
Domande di sicurezza
Molte applicazioni utilizzano domande di sicurezza per confermare l'identità di un utente. Cerca di assicurarti che queste informazioni non contengano dati personali, come il nome della madre dell'utente e nemmeno il colore preferito. Quando possibile, prova a utilizzare l'autenticazione a due fattori. Se ciò non è possibile, consentire all'utente di porre le proprie domande e avvisare che contiene informazioni personali. Le informazioni personali devono essere archiviate crittografate.
Rendi chiari i termini e le condizioni
Non cercare di nascondere i tuoi termini e condizioni. Per essere conformi al GDPR ai sensi della nuova legislazione sulla privacy dell'UE, i termini e le condizioni devono essere disponibili sulla pagina di destinazione. Inoltre, i termini e le condizioni devono essere chiari e accessibili in ogni momento quando l'utente naviga nell'applicazione.
Gli utenti sono tenuti ad accettare i termini e le condizioni prima di poter accedere all'app. Ciò vale soprattutto quando i termini e le condizioni generali sono stati modificati. Inutile dire che i termini e le condizioni sono disponibili in una lingua comprensibile a tutti.
Condivisione dei dati con altre parti
Se la tua organizzazione condivide dati personali con altre parti, ciò dovrebbe essere indicato nei termini e condizioni generali. Ciò può avvenire tramite affiliati, agenzie governative o plug-in di terze parti.
Stabilisci linee guida chiare se la tua app è stata violata
Uno degli aspetti più importanti di diritto europeo è che gli utenti dovrebbero essere avvisati se un'app è stata violata. Le organizzazioni dovrebbero stabilire linee guida chiare per descrivere il compito e le fasi che l'organizzazione dovrà intraprendere. Tieni presente che l'utente viene informato in modo tempestivo.
Elimina i dati degli utenti che interrompono il servizio
Molte applicazioni web non indicano chiaramente cosa succede alle informazioni personali quando un account viene eliminato o qualcuno cancella. Con la nuova normativa, le aziende devono cancellare tutte le informazioni personali. Dovrebbe essere chiaro che qualcuno può interrompere l'utilizzo del servizio e quindi le sue informazioni verranno eliminate. Le organizzazioni che considerano inattivo un account eliminato potrebbero essere contrarie alla legge.
Elimina le vulnerabilità
Uno dei maggiori rischi per la privacy sorge perché l'app è vulnerabile. Questo è sempre un rischio quando un sistema gestisce informazioni riservate dell'utente. È più probabile che un'applicazione che non è stata sviluppata per rilevare i rischi in tempo venga violata. Assicurati che la tua organizzazione disponga di un programma per rilevare i rischi informatici e condurre test di sicurezza.