Cómo hacer que su aplicación móvil cumpla con GDPR

¿Qué es el RGPD?

GDPR significa Reglamento General de Protección de Datos.
El RGPD será aplicable a partir del 25 de mayo de 2018. Está diseñado para proteger el almacenamiento y el uso de los datos del usuario, y para garantizar que el usuario tenga el control de sus datos, en lugar de que las empresas estén a cargo de los datos del usuario.

Definiciones clave del RGPD

Para ayudarlo a comprender el RGPD para aplicaciones, hay algunas definiciones clave a las que nos referiremos a lo largo de este artículo.
Controlador de datos: un controlador de datos es la entidad que determina los fines y los medios para recopilar y procesar datos personales. Si posee un sitio web o una aplicación móvil y está decidiendo qué se recopila, cómo se recopila y con qué propósito, usted es un controlador de datos.
Procesador de datos: un Procesador de datos es una organización que procesa datos personales en nombre de un controlador de datos. Por ejemplo, servicios de terceros que se conectan a su sitio web o aplicación, como Analytics (Google Analytics, KISSMetrics), Servicios en la nube (AWS), que acceden o alojan los datos de sus clientes.
Titular de los datos: persona física cuyos datos son objeto de tratamiento. Por ejemplo, un usuario de la aplicación o un visitante del sitio web.
Para obtener una lista completa de las definiciones del RGPD, puede leer el artículo 4 del reglamento.

¿Me afecta el RGPD?

¡Más probable es que sí!
El RGPD se aplica a todas las empresas con clientes o visitantes de sitios web o aplicaciones móviles que sean de la Unión Europea (UE). Esto significa que cualquier organización en el mundo que trabaje con datos personales de residentes de la UE de cualquier manera tiene la obligación de proteger los datos de sus usuarios y cumplir con el RGPD.

¿A qué se refiere "Datos personales" en el RGPD?

Los “ datos personales ” según el RGPD incluyen cualquier información relacionada con una persona identificable que pueda identificarse directa o indirectamente, en particular por referencia a un identificador.
El alcance de esto es amplio e incluye cualquier cosa, desde información personal hasta una cookie colocada en el navegador de alguien por una herramienta de seguimiento de análisis que podría usar para rastrear el uso de su sitio web.
Para su sitio web o aplicaciones, esto significa que debe considerar cómo recopila y almacena detalles de identificación personal, como nombres y direcciones de correo electrónico, pero también debe considerar cosas como las direcciones IP de los usuarios y las identificaciones de dispositivos (identificaciones únicas que los dispositivos comparten con SDK externos). para anuncios y análisis).

¿Qué significa el RGPD para su aplicación móvil?

Las multas por no cumplir con el RGPD son altas, ya sea el 4% de la facturación global anual o € 20 millones (¡lo que sea mayor!).
Con el cumplimiento de GDPR convirtiéndose en un requisito para todas las empresas con clientes o visitantes del sitio web, o usuarios de aplicaciones en la UE, probablemente le preocupe si su aplicación móvil cumple o no con GDPR.
Como editor de aplicaciones móviles, deberá comprender cómo obtiene, transfiere, almacena y maneja sus datos de usuario. Debe tomarse un tiempo para comprender exactamente cómo garantiza actualmente la seguridad de los datos para sus usuarios y qué puede hacer para mejorar esto a fin de tener una aplicación móvil compatible con GDPR.
Cennydd Bowles resume por qué debe cumplir, incluso si puede ser mucho trabajo inicialmente: “Puede terminar con conocimientos de clientes menos valiosos que antes. Algunos KPI pueden caer. Pero para las empresas que tienen relaciones directas con los clientes, todo es manejable y, por el lado positivo, no solo reduce el riesgo de cumplimiento, sino que se beneficia de una mayor confianza que sus clientes mostrarán en usted y en el mundo en línea en general”.
Hay algunos aspectos destacados clave que son relevantes para su aplicación móvil y su empresa en general que lo ayudarán a garantizar el cumplimiento del RGPD.
Desplácese hacia abajo para encontrar las 9 cosas que debe considerar para tener una aplicación móvil compatible con GDPR.

1. Privacidad por diseño

La privacidad por diseño es ahora un requisito legal según el RGPD. Desde el momento en que comienza a crear su aplicación móvil, debe tener en cuenta la privacidad de sus usuarios.
De acuerdo con el artículo 23 del RGPD , su aplicación solo debe almacenar y procesar los datos del usuario que sean absolutamente necesarios.
Esto significa que cuando desarrolla su aplicación móvil, o hace que un tercero la desarrolle, debe tener en cuenta la protección de datos y la privacidad del usuario.
La privacidad por diseño no es un concepto nuevo y se refiere a pensar en la privacidad de los datos de los usuarios en su aplicación, sitio web o software desde el principio, en lugar de dejarlo como una ocurrencia tardía. La idea de privacidad por diseño incluye decidir qué datos necesita y qué datos no necesita. En la descripción general de Brian Pagan para diseñar aplicaciones teniendo en cuenta la privacidad, pregunta si realmente necesita un nombre de usuario Y fecha de nacimiento. En muchos casos, solo uno de estos campos es suficiente. Él escribe: “el riesgo de que alguien abra una tarjeta de crédito a mi nombre supera con creces el beneficio de recibir ese “feliz cumpleaños” correo no deseado correo electrónico de marketing de su empresa”.
Vale la pena considerar todas las opciones al diseñar y crear su aplicación móvil.
¡Además de ser un requisito legal, los usuarios de su aplicación apreciarán las consideraciones adicionales de privacidad que tiene para su beneficio!

Nuestra recomendación:

Piense en sus datos de usuario desde el principio y no deje que sea una ocurrencia tardía.
Si las páginas de su sitio web se están cargando dentro de su aplicación móvil (por ejemplo, un formulario de contacto), considere la recopilación de datos que ocurre en el sitio web cuando revise su aplicación.
Debe pensar en la privacidad por diseño cuando cree nuevas funciones o cree una nueva página en su aplicación para cumplir con el RGPD.
Además de esto, debe cifrar los datos personales con fuertes algoritmos de cifrado. Esto lo ayudará a minimizar el impacto de una violación de datos.

2. Solicite el consentimiento explícito

Según el RGPD, las empresas deben solicitar y recibir el consentimiento del usuario para recopilar, usar y mover datos personales.
Esto incluye datos recopilados para publicidad, análisis, registro de fallas o cualquier otra cosa. El opt-in debe ser comprensible y claro. No podrá salirse con la suya con términos y condiciones confusos que es probable que nadie lea o comprenda por completo.
El consentimiento explícito se puede otorgar fácilmente a través de una pantalla de suscripción cuando se inicia su aplicación. Los usuarios de su aplicación eligieron descargar su aplicación en primer lugar, por lo que es probable que la mayoría de las personas estén felices de otorgar su consentimiento para usar su aplicación y recibir más comunicaciones de su empresa, siempre que el destinatario pueda ver un beneficio.
Sus usuarios también deben poder retirar el consentimiento tan fácilmente como pueden darlo. Es posible que deba actualizar su Política de privacidad para abordar esto y agregar otra página en su sitio web donde los usuarios puedan optar por no participar.

Nuestra recomendación:

Cuando alguien se registra en su aplicación móvil, se le debe pedir que opte por que se recopilen sus datos o que reciba comunicaciones, como correos electrónicos o notificaciones automáticas. Recomendamos encarecidamente mostrar una pantalla de consentimiento al iniciar la aplicación, ya que esta es la única forma de cumplir completamente con el RGPD. También debe notificar a los usuarios en estas pantallas exactamente dónde se utilizarán sus datos. Por ejemplo, ¿serán rastreados en Google Analytics o se enviarán datos a Google Admob para mostrarles anuncios relevantes? ¡Tus usuarios necesitan saber, y es tu obligación informarles tan pronto como comiencen a usar tu aplicación móvil compatible con GDPR!
Además de esto , su aplicación móvil compatible con GDPR debe tener una página dedicada donde los usuarios pueden optar por no recibir sus comunicaciones o solicitar que se eliminen sus datos.
MobiLoud proporciona aplicaciones móviles con una página de configuración de notificaciones automáticas, que ayuda al menos en lo que respecta a las notificaciones de su aplicación.

3. Proporcionar visibilidad y transparencia

Uno de los aspectos más importantes de GDPR es cómo se utilizan realmente los datos que recopila. Si es un controlador de datos, debe saber cómo sus usuarios pueden administrar y proteger de manera efectiva sus datos de usuario.
Demostrar visibilidad y transparencia a través de una Política de privacidad clara y comprensible no solo beneficia a los usuarios de su aplicación móvil, sino que es un requisito de las tiendas de aplicaciones. Google eliminará su aplicación si no pueden encontrar una Política de privacidad en la página de perfil de su Play Store y accesible dentro de su aplicación.
También debe proporcionar información a sus usuarios sobre qué terceros está utilizando para recopilar o procesar datos de usuario.
Por ejemplo, si su aplicación se conecta a servicios externos, como soluciones de análisis de usuarios (p. ej., Google Analytics, Fabric), proveedores de publicidad (p. ej., Admob, MoPub) o proveedores de notificaciones automáticas (p. ej., Firebase, OneSignal), debe comunicárselo claramente a los usuarios. en su Política de Privacidad.
También debe asegurarse de que todos los proveedores externos que recopilan datos de usuario cumplan con el RGPD. Serán "procesadores de datos", mientras que usted seguirá siendo el "controlador de datos". Como tal, debe contar con acuerdos por escrito que cumplan con el nivel de garantías en términos de protección de datos y seguridad que exige el RGPD. Para algunos de ellos, podrá firmar acuerdos de procesamiento de datos que agreguen la redacción requerida a los términos existentes de su acuerdo.

Nuestra recomendación:

Cree o actualice la página de Política de privacidad de su aplicación para su aplicación móvil. Puede optar por tener una barra lateral o un elemento de menú que se vincule a los términos legales de su aplicación móvil. Esto permitirá a los usuarios encontrar, leer y comprender fácilmente cómo su aplicación móvil utiliza sus datos.
Si creó su aplicación en función del contenido de su sitio web y está utilizando MobiLoud, esto es muy simple y puede hacerlo agregando un enlace al menú de su aplicación desde la pestaña Configuración del menú en la configuración de su aplicación.

4 . Responder a las solicitudes de los usuarios

Si alguien le pregunta cómo está utilizando sus datos, según el RGPD , está legalmente obligado a responderle. Esto se denomina Solicitud de acceso de sujeto.
Una solicitud de acceso de sujeto se puede realizar de forma física o digital. Cuando un usuario solicita información sobre sus datos o una copia de sus datos que se utilizan en su aplicación móvil, tiene un mes para responder. Para solicitudes complicadas, tendrá hasta tres meses para responder.
Esto puede parecer que necesitará invertir más tiempo y esfuerzo en el servicio al cliente, pero si su empresa está configurada para tener procesos compatibles con GDPR, no debería tomar demasiado tiempo. Al final del día, brindar un servicio al cliente de alta calidad a sus clientes y usuarios de aplicaciones móviles es algo bueno.
Inicialmente, puede responder a estos ad-hoc, pero eventualmente querrá tener un proceso interno para generar una respuesta para este tipo de solicitud.

Nuestra recomendación:

Cree una página tanto en su sitio web como en su aplicación móvil que incluya la información de contacto de su empresa. Esto permitirá a los usuarios contactarlo fácilmente y brindará transparencia de su parte. Haga un esfuerzo por responder rápida y claramente a todas las solicitudes de acceso de sujetos.

5. El derecho al olvido

El artículo 17 del RGPD destaca el derecho de borrado, o el “derecho al olvido” . Esto significa que cuando un usuario le pide que elimine sus datos adquiridos a través de su sitio web o aplicación móvil, usted está obligado a eliminar todos los datos personales que tenga sobre ellos en todos los sistemas, ya sea que controle sus datos directamente o a través de una herramienta o SaaS que utilice. en su aplicación (por ejemplo, Google Analytics).
Si desea que su aplicación móvil cumpla con el RGPD, puede optar por brindar soluciones como eliminar los datos del usuario de su propia base de datos directamente desde la aplicación, o tener un formulario de contacto simple o una página dedicada donde un usuario puede solicitar que se eliminen sus datos. .

Nuestra recomendación :

Sea transparente y permita que los usuarios se comuniquen con usted fácilmente para borrar sus datos. Cuando alguien solicite que se borren sus datos, tómese la solicitud con seriedad y cumpla con la solicitud en todos los sistemas que controle.
También está obligado a notificar a los Procesadores de datos de terceros que los datos también deben eliminarse de sus servidores. Esto se puede hacer llamando a una API de ellos que permite la eliminación de datos personales (si el proveedor lo pone a disposición).

6. Revise los servicios y SDK que usa

Si su aplicación envía datos personales a un servicio externo para su procesamiento (p. ej., para analizar el uso de la aplicación), debe ser claro y transparente sobre dónde está esto y quién tendrá el control de los datos transferidos.
Luego, debe firmar acuerdos de procesamiento de datos (DPA) con sus procesadores de datos. Los contratos por escrito entre su empresa y sus procesadores de datos serán un requisito general según el RGPD. ¡Cuanto antes lo hagas, mejor!
No dé por sentado que todos los terceros y los SDK conectados a su aplicación cumplen con el RGPD. Si hay una violación de datos en uno de sus Terceros que lleva a que sus datos de usuario queden expuestos, usted es responsable.
Es responsabilidad del controlador de datos, en este caso, usted, el editor de la aplicación, asegurarse de que todos los procesos de datos de terceros cumplan con el RGPD y tengan implementadas las medidas de seguridad de datos adecuadas. Para asegurarse de esto, debe hablar directamente con sus socios externos, preguntarles sobre sus Términos y Política de privacidad más recientes y qué están haciendo para cumplir con el RGPD.
Debe analizar a fondo a los proveedores que procesan sus datos y tomarse el tiempo para comprender si cumplen o no con el RGPD. Si tienen su sede en los EE. UU., ¿están registrados en el marco del Escudo de la privacidad entre la UE y los EE. UU.? Cualquier empresa puede autocertificarse bajo esto, y se requiere tener esta certificación para que ese proveedor cumpla con GDPR.
Vale la pena el tiempo que toma -
Marcus Turner, CTO de Enola Labs dice que, “ En última instancia, los niveles más altos de seguridad cibernética son una inversión necesaria y valiosa para los dueños de negocios que se preocupan por proteger a sus clientes y salvaguardar su negocio. A menudo les digo a las empresas que pueden pagar un costo inicial ahora para proteger sus datos, o esperar hasta un ataque de seguridad cibernética y pagar un precio aún mayor más tarde para limpiar el desorden. Esperar puede muy bien costarle su negocio “.
Por lo tanto, asegúrese de tomarse el tiempo para revisar a sus proveedores de tecnología e invertir en los necesarios que ayudarán a proteger su negocio del incumplimiento del RGPD.

Nuestra recomendación:

Solo debe tener contratos con proveedores que puedan proporcionar "garantías suficientes" de que se cumplirán los requisitos del RGPD y que los datos de sus usuarios estarán suficientemente protegidos.
Muchos proveedores tendrán páginas de GDPR en su sitio web o han actualizado su Política de privacidad o Términos y condiciones para garantizar el cumplimiento de GDPR. Debe familiarizarse con esto o hablar con alguien de su equipo de soporte o legal para saber si cumplen o no con el RGPD.

7. Notificaciones de violación de datos

Para aumentar la confianza entre los clientes y las empresas, y a raíz de las filtraciones de datos notables de empresas como Yahoo!, Uber, Equifax y más, el RGPD impone plazos más estrictos para que las empresas notifiquen a las autoridades nacionales de supervisión y a sus usuarios. La divulgación debe ocurrir dentro de las 72 horas.
Para asegurarse de que esto sea posible para su negocio, es posible que deba invertir en tecnología para garantizar la vigilancia continua de sus datos y que le notifique cuando existan riesgos. También debe establecer un procedimiento claro sobre cómo reaccionará ante una violación de datos, incluido cómo informará a los usuarios y cómo protegerá sus datos.

Nuestra recomendación:

Establezca un proceso claro paso a paso que pueda utilizar en caso de una violación de datos que incluya cómo informará a los usuarios y a las autoridades nacionales de supervisión sobre la violación.

8. Designación de un Delegado de Protección de Datos

Es posible que su empresa deba designar un responsable de protección de datos (DPO) para cumplir con el RGPD. Esto se aplica a usted si:

• es una autoridad pública (a excepción de los tribunales que actúan en su capacidad judicial);
• Sus actividades principales requieren un seguimiento sistemático, regular y a gran escala de las personas (por ejemplo, el seguimiento del comportamiento en línea); o
• Sus actividades principales consisten en el procesamiento a gran escala de categorías especiales de datos o datos relacionados con condenas y delitos penales.

Si bien es posible que esto no se aplique a todos los lectores, si su sitio web o aplicación móvil procesa grandes cantidades de datos individuales, debe considerar si necesita o no un oficial de protección de datos para ayudarlo a monitorear el cumplimiento interno, informar y asesorar sobre las obligaciones de protección de datos de su empresa. y actuar como punto de contacto para los interesados ​​(es decir, sus usuarios) y las autoridades supervisoras.

Nuestra recomendación:

Evalúe si su empresa necesita o no un DPO para cumplir. Si es así, debe designar uno e informar a los usuarios de su sitio web o aplicación móvil sobre cómo pueden ponerse en contacto con su RPD.

9. Cifrado y almacenamiento de datos

Su aplicación móvil debe usar SSL o HTTPS para comunicaciones externas. Al comunicar información personal de cualquier tipo, esos datos deben estar encriptados. No cifrar los datos significa que la información enviada estará en texto claro y estará expuesta en Internet.
Si creó una aplicación que se conecta a su sitio web o servidores web y transmite datos confidenciales (por ejemplo, un nombre de usuario/contraseña), debe verificar que está utilizando SSL para todas las conexiones desde su aplicación.
El cifrado no solo es relevante para las comunicaciones externas. Todos los datos que recopila su aplicación móvil deben almacenarse en un lugar seguro y sus copias de seguridad también deben estar encriptadas. Los usuarios también deben saber durante cuánto tiempo se conservarán sus datos.

Nuestra recomendación:

Asegúrese de que su aplicación utilice comunicaciones seguras a través de SSL y HTTP, y asegúrese de que su certificado SSL se haya implementado correctamente.
Todos los datos almacenados deben usar encriptación, y debe proporcionar transparencia a los interesados ​​sobre cuánto tiempo retiene estos datos.

10. Registre y justifique su recopilación de datos

El artículo 30 del RGPD establece que cada controlador de datos, o representante del controlador, "mantendrá un registro de las actividades de procesamiento bajo su responsabilidad".
Esto significa que para garantizar el cumplimiento del RGPD, debe comenzar a documentar todos los datos que recopila (ya sea usted mismo o a través de un tercero).
Debe crear un registro seguro y completo de sus actividades de recopilación de datos.
Para ver un buen ejemplo de cómo hacer esto, recomendamos leer el Paso 1 de la guía de recursos para empresas emergentes para el cumplimiento del RGPD .
Este registro debe incluir todos y cada uno de los datos personales que recopila sobre los visitantes y usuarios del sitio web. Desde los nombres de las personas (si se recopilaron) hasta las direcciones IP del país en el que se encuentran.
Luego, debe justificar por qué está recopilando estos datos. Debe identificar dónde lo está almacenando, cuánto tiempo se almacena, cómo se puede justificar la recopilación de datos y más.

Nuestra recomendación:

Asegúrese de estar completamente al tanto de todos los tipos de datos de usuario que está recopilando y asegúrese de que puede justificar por qué los está recopilando.
La documentación clara y completa a la que puede consultar no solo lo ayudará cuando los clientes o usuarios pregunten sobre sus políticas de GDPR, sino que también garantizará el cumplimiento normativo y protegerá tanto su negocio como su aplicación móvil.

Terminando

GDPR es un requisito legal e inevitable para cualquier empresa que interactúe de alguna manera con personas y clientes en la UE.
Cualquier persona cuyos datos sean procesados ​​debe poder ejercer sus derechos sobre sus datos, incluso si está bajo su control.
Deberá tener una aplicación móvil compatible con GDPR. ¡Sin garantizar el cumplimiento, corre el riesgo de recibir grandes multas y perder la confianza que sus clientes tienen en su negocio! Por esta razón, la creación de un proceso para garantizar el cumplimiento de su aplicación comercial y móvil debe ser una prioridad para usted.
Creemos que no debe ver el RGPD como un dolor de cabeza, a pesar de sus estrictas reglas. Proporcionar a sus usuarios una aplicación móvil compatible con GDPR les hará saber que los valora y que está comprometido con la seguridad de sus datos. Para muchas empresas, garantizar el cumplimiento será un valor agregado y hará que sus usuarios confíen en su aplicación móvil, ¡así que debería aceptarla!
Si desea obtener más información sobre GDPR, hemos incluido enlaces a varios recursos a continuación:

• Lea todo el Reglamento General de Protección de Datos publicado por el Parlamento Europeo para familiarizarse con él.
• Lea la excelente guía de Kyvio para comprender el RGPD, este artículo de SafeDK y esta guía práctica del RGPD para desarrolladores.
• Lea la Guía rápida y sucia de Startup Resources para cumplir con las normas para Startups y pequeñas empresas
• Autocertifique su negocio bajo el marco del Escudo de privacidad UE-EE. UU. Esto proporciona a las empresas de ambos lados del Atlántico un mecanismo para cumplir con los requisitos de protección de datos de la UE al transferir datos personales de la Unión Europea a los Estados Unidos.

Si su sitio web cumple con GDPR y está buscando crear una aplicación móvil compatible con GDPR, MobiLoud ofrece una solución que cumplirá con GDPR y le brindará a su empresa una nueva plataforma para la participación y el alcance de los usuarios.