A introdução da legislação europeia sobre privacidade de dados online terá consequências importantes na forma como as organizações tratam os dados pessoais dos seus utilizadores em termos de websites e aplicativos, sejam Android ou IOS. Esta nova lei levanta questões para as organizações que lidam regularmente com dados pessoais de residentes europeus.
Qual o impacto da legislação nas aplicações e operações da web online?
Em termos gerais, esta lei garante que um indivíduo tenha controle sobre seus dados. Isso significa que, quando uma organização solicita informações pessoais online, ela deve informar ao cliente o que acontece com seus dados.
Os principais aspectos desta nova legislação são os seguintes:
- Acesso mais fácil aos seus próprios dados. O usuário tem mais informações sobre como seus dados são usados. Esta informação deve ser disponibilizada de forma clara.
- Capacidade de mover dados. Deve ser mais fácil transferir seus dados pessoais para outro provedor de serviços.
- Opção para excluir seus dados. Se você não quiser mais que seus dados sejam usados e houver uma razão válida para isso, você deve excluir seus dados pessoais.
- Saiba quando seus dados foram hackeados. No momento em que uma organização for invadida, você deve informar a autoridade competente desse evento o mais rápido possível. Desta forma, os usuários podem fazer as medições.
Então, como você implementa um aplicativo compatível? RGPD e dá ao usuário controle sobre seus dados pessoais? Aqui estão várias dicas para aplicá-lo.
Dicas para desenvolver aplicativos compatíveis com GDPR
Determine se o aplicativo precisa de todos os dados pessoais solicitados
A implementação de privacidade ideal para cumprir com o GDPR é coletar o mínimo de dados pessoais possível. Com dados pessoais você pode pensar em: nome, data de nascimento, local de residência, etc. Isso, obviamente, não é possível em todas as situações, pois essa informação às vezes é necessária. É importante em qualquer situação que a gerência e os desenvolvedores determinem quais são as informações mais necessárias para coletar.
Criptografe todas as informações pessoais
Se um aplicativo precisar armazenar informações pessoais confidenciais, é importante criptografar adequadamente esses dados usando algoritmos de criptografia fortes, incluindo hash. No caso da violação de dados do Ashley Madison, todas as informações estavam disponíveis em texto simples.
Isso teve consequências importantes para seus usuários. Deve ser explicitamente declarado que todos os dados pessoais são criptografados, portanto, esses dados não podem ser usados caso o aplicativo da web seja invadido. Isso também inclui informações sobre: endereço, números de telefone e local de residência.
Pense OAUTH para transferir dados
Com o OAuth, os usuários podem criar uma conta simplesmente usando uma conta diferente. Esses protocolos fornecem um logon único e não ajudam a coletar mais informações do que o necessário.
Use comunicação segura por HTTPS
Muitas organizações não usam HTTPS para seus sites porque acredita-se que não seja necessário. Por exemplo, se um aplicativo não requer nenhum tipo de autenticação, o HTTPS pode não parecer necessário. No entanto, é fácil perder alguma coisa. Alguns aplicativos coletam informações pessoais por meio do formulário "Fale Conosco".
Se esta informação for enviada em texto não criptografado, será visível na Internet. Além disso, você deve certificar-se de que certificados SSL são aplicados corretamente e não são suscetíveis a perigos relacionados aos protocolos SSL.
Deixe os usuários saberem como você lida com as informações de "fale conosco"
Os aplicativos não apenas coletam informações por meio de autenticação ou assinaturas. Os dados também são coletados por meio de formulários de contato. Geralmente são informações pessoais, como: número de telefone, local de residência e endereço de e-mail. Ele informa aos usuários por quanto tempo e como esses dados são armazenados. É altamente recomendável usar uma boa segurança para armazenar essas informações.
Certifique-se de que as sessões e os cookies expiram
Pára cumprir com o GDPR, os usuários devem estar cientes de como o aplicativo usa cookies. O usuário deve ser informado de que o aplicativo usa cookies e ter a opção de rejeitar cookies. Certifique-se de que os cookies sejam excluídos corretamente se alguém fizer logout ou não estiver mais ativo.
Não rastreie usuários para inteligência de negócios
Muitos aplicativos de comércio eletrônico rastreiam os usuários para ver o que eles estão procurando usando os resultados da pesquisa e os produtos que compram. Empresas como Netflix e Amazon costumam usar essas informações para exibir produtos sugeridos. Uma vez que esta informação é armazenada para fins comerciais, o usuário deve ter a opção de aceitá-la ou não.
Se posteriormente for dado consentimento para reter essas informações, o usuário deve ser informado sobre como essas informações são armazenadas e por quanto tempo. Claro, todas as informações pessoais devem ser criptografadas.
Informar o usuário sobre os registros
Muitos aplicativos usam locais ou endereços IP para autorizar um login. Essas informações são armazenadas caso alguém tente burlar essa autenticação. Notifica os usuários que essas informações serão armazenadas e por quanto tempo. Não armazene informações confidenciais em logs, como a senha.
Questões de segurança
Muitos aplicativos usam perguntas de segurança para confirmar a identidade de um usuário. Procure certificar-se de que essas informações não contenham nenhum dado pessoal, como o nome da mãe do usuário e nem mesmo a cor favorita. Sempre que possível, tente usar a autenticação de dois fatores. Se isso não for possível, deixe o usuário fazer suas próprias perguntas e avise que contém informações pessoais. As informações pessoais devem ser armazenadas criptografadas.
Deixe os termos e condições claros
Não tente esconder seus termos e condições. Para estar em conformidade com o GDPR sob a nova legislação de privacidade da UE, os termos e condições devem estar disponíveis na página de destino. Além disso, os termos e condições devem ser claros e acessíveis em todos os momentos em que o usuário navegar no aplicativo.
Os usuários são obrigados a concordar com os termos e condições antes de poderem acessar o aplicativo. Isso se aplica especialmente quando os termos e condições gerais foram alterados. Escusado será dizer que os termos e condições estão disponíveis em um idioma que todos podem entender.
Compartilhamento de dados com outras partes
Se sua organização compartilhar dados pessoais com outras partes, isso deve ser declarado nos termos e condições gerais. Isso pode ser feito por meio de afiliados, agências governamentais ou plugins de terceiros.
Defina diretrizes claras se seu aplicativo for invadido
Um dos aspectos mais importantes de lei europeia é que os usuários devem ser notificados se um aplicativo for invadido. As organizações devem estabelecer diretrizes claras para descrever a tarefa e as etapas que a organização tomará. Tenha em mente que o usuário é informado em tempo hábil.
Excluir dados de usuários que interrompem o serviço
Muitos aplicativos da web não informam claramente o que acontece com as informações pessoais quando uma conta é excluída ou alguém cancela. Com a nova legislação, as empresas devem excluir todas as informações pessoais. Deve-se entender que alguém pode parar de usar o serviço e, em seguida, suas informações serão excluídas. As organizações que tratam uma conta excluída como inativa podem ser contra a lei.
Elimine vulnerabilidades
Um dos maiores riscos de privacidade surge porque o aplicativo é vulnerável. Isso é sempre um risco quando um sistema lida com informações confidenciais do usuário. Um aplicativo que não foi desenvolvido para detectar riscos a tempo tem maior probabilidade de ser hackeado. Certifique-se de que sua organização tenha um programa para detectar riscos cibernéticos e realizar testes de segurança.