Come rendere la tua app mobile conforme al GDPR

Cos'è il GDPR?

GDPR sta per Regolamento generale sulla protezione dei dati.
Il GDPR sarà applicabile dal 25 maggio 2018. È progettato per proteggere l'archiviazione e l'utilizzo dei dati degli utenti e per garantire che l'utente abbia il controllo dei propri dati, piuttosto che le società responsabili dei dati degli utenti.

Definizioni chiave del GDPR

Per aiutarti a comprendere il GDPR per le app, ci sono alcune definizioni chiave a cui faremo riferimento in questo articolo.
Titolare del trattamento: un titolare del trattamento è l'entità che determina le finalità e i mezzi della raccolta e del trattamento dei dati personali. Se possiedi un sito Web o un'app mobile e stai decidendo cosa viene raccolto, come viene raccolto e per quale scopo, sei un Titolare del trattamento.
Responsabile del trattamento: un Responsabile del trattamento è un'organizzazione che elabora i dati personali per conto di un titolare del trattamento. Ad esempio, servizi di terze parti che si collegano al tuo sito web o alla tua app, come Analytics (Google Analytics, KISSMetrics), Cloud Services (AWS), che accedono o ospitano i dati dei tuoi clienti.
Interessato: una persona fisica i cui dati sono oggetto di trattamento. Ad esempio, un utente di un'app o un visitatore di un sito web.
Per un elenco completo delle definizioni del GDPR, puoi leggere l' articolo 4 del regolamento.

Il GDPR mi riguarda?

Molto probabilmente sì!
Il GDPR si applica a tutte le aziende con clienti o visitatori di siti Web/app mobili che provengono dall'Unione Europea (UE). Ciò significa che qualsiasi organizzazione nel mondo che lavora con i dati personali dei residenti nell'UE in qualsiasi modo ha l'obbligo di proteggere i dati dei propri utenti ed essere conforme al GDPR.

A cosa si riferiscono i “Dati Personali” ai sensi del GDPR?

" Dati personali " ai sensi del GDPR include qualsiasi informazione relativa a una persona identificabile che può essere identificata direttamente o indirettamente, in particolare mediante riferimento a un identificatore.
L'ambito di questo è ampio e include qualsiasi cosa, dalle informazioni personali, a un cookie inserito nel browser di qualcuno da uno strumento di monitoraggio analitico che potresti utilizzare per tracciare l'utilizzo del tuo sito web.
Per il tuo sito web o le tue app, ciò significa che devi considerare come raccogli e memorizzi dettagli identificativi personali come nomi e indirizzi e-mail, ma anche considerare elementi come gli indirizzi IP degli utenti e gli ID dispositivo (ID univoci condivisi dai dispositivi con SDK esterni per annunci e analisi).

Cosa significa il GDPR per la tua app mobile?

Le multe per non essere conformi al GDPR sono elevate: 4% del fatturato globale annuo o 20 milioni di euro (a seconda di quale sia maggiore!).
Con la conformità al GDPR che sta diventando un requisito per ogni azienda con clienti o visitatori del sito Web o utenti di app nell'UE, probabilmente sei preoccupato se la tua app mobile è conforme al GDPR o meno.
In qualità di editore di app per dispositivi mobili, dovrai comprendere come ottenere, trasferire, archiviare e gestire i dati utente. Dovresti prenderti del tempo per capire esattamente come garantisci attualmente la sicurezza dei dati per i tuoi utenti e cosa puoi fare per migliorarlo al fine di avere un'app mobile conforme al GDPR.
Cennydd Bowles riassume il motivo per cui dovresti essere conforme, anche se inizialmente potrebbe essere un sacco di lavoro: "Potresti finire con informazioni sui clienti meno ricche di quelle che avevi prima. Alcuni KPI potrebbero diminuire. Ma per le aziende che hanno relazioni dirette con i clienti, è tutto gestibile e, al rialzo, non solo riduci il rischio di conformità, ma trarrai vantaggio dalla maggiore fiducia che i tuoi clienti mostreranno in te e nel mondo online in generale".
Ci sono alcuni punti salienti chiave che sono rilevanti per la tua app mobile e per la tua attività in generale che ti aiuteranno a garantire la conformità al GDPR.
Scorri verso il basso per trovare le 9 cose che dovresti considerare per avere un'app mobile conforme al GDPR.

1. Privacy in base alla progettazione

La privacy by Design è ora un requisito legale ai sensi del GDPR. Dal momento in cui inizi a creare la tua app mobile, dovresti considerare la privacy dei tuoi utenti.
Secondo l' articolo 23 del GDPR , la tua app deve contenere ed elaborare solo i dati dell'utente assolutamente necessari.
Ciò significa che quando sviluppi la tua app mobile o la sviluppi da una terza parte, devi considerare la protezione dei dati e la privacy degli utenti.
Privacy by Design non è un concetto nuovo e riguarda il pensare alla privacy dei dati degli utenti nella tua app, sito Web o software fin dall'inizio, piuttosto che lasciarla come un ripensamento. L'idea di privacy by design include la decisione di quali dati hai bisogno e quali dati no. Nella panoramica di Brian Pagan sulla progettazione di app tenendo conto della privacy, chiede se hai davvero bisogno di un nome utente E di una data di nascita. In molti casi è sufficiente uno solo di questi campi. Scrive: “il rischio che qualcuno apra una carta di credito a mio nome supera di gran lunga il vantaggio di ricevere quel “buon compleanno” spam e-mail di marketing dalla tua azienda.
Vale la pena considerare tutte le opzioni durante la progettazione e la creazione della tua app mobile.
Oltre ad essere un requisito legale, gli utenti della tua app apprezzeranno le ulteriori considerazioni sulla privacy che hai messo in atto a loro vantaggio!

La nostra raccomandazione:

Pensa ai tuoi dati utente fin dall'inizio e non lasciare che siano un ripensamento.
Se le pagine del tuo sito web vengono caricate all'interno della tua app mobile (ad es. un modulo di contatto), considera la raccolta di dati che avviene sul sito web durante la revisione della tua app.
Dovresti pensare a Privacy By Design quando crei nuove funzionalità o crei una nuova pagina sulla tua app per rimanere conforme al GDPR.
Inoltre, dovresti crittografare i dati personali con algoritmi di crittografia avanzati. Questo ti aiuterà a ridurre al minimo l'impatto di una violazione dei dati.

2. Chiedi il consenso esplicito

Ai sensi del GDPR, le aziende devono richiedere e ricevere il consenso dell'utente per raccogliere, utilizzare e spostare i dati personali.
Ciò include i dati raccolti per la pubblicità, l'analisi, la registrazione degli arresti anomali o qualsiasi altra cosa. L'opt-in deve essere comprensibile e chiaro. Non sarai in grado di farla franca con Termini e condizioni confusi che probabilmente nessuno leggerà o capirà completamente.
Il consenso esplicito può essere concesso facilmente tramite una schermata di attivazione all'avvio dell'app. Gli utenti della tua app hanno scelto di scaricare la tua app in primo luogo, quindi è probabile che la maggior parte delle persone sarà lieta di concedere il consenso per utilizzare la tua app e ricevere ulteriori comunicazioni dalla tua attività, a condizione che il destinatario possa vedere un vantaggio.
I tuoi utenti devono anche essere in grado di revocare il consenso con la stessa facilità con cui sono in grado di darlo. Potrebbe essere necessario aggiornare la tua Informativa sulla privacy per risolvere questo problema e aggiungere un'altra pagina sul tuo sito Web in cui gli utenti possono rinunciare.

La nostra raccomandazione:

Quando qualcuno si registra sulla tua app mobile, dovrebbe essere chiesto loro di acconsentire alla raccolta dei propri dati o alla ricezione di comunicazioni, come e-mail o notifiche push. Consigliamo vivamente di mostrare una schermata di consenso all'avvio dell'app, poiché questo è l'unico modo per essere completamente conformi al GDPR. Dovresti anche notificare agli utenti su queste schermate esattamente dove verranno utilizzati i loro dati. Ad esempio, verranno tracciati in Google Analytics o verranno inviati dati a Google Admob per mostrare loro annunci pertinenti? I tuoi utenti devono saperlo ed è tuo obbligo informarli non appena iniziano a utilizzare la tua app mobile conforme al GDPR!
Inoltre , la tua app mobile conforme al GDPR dovrebbe avere una pagina dedicata in cui gli utenti possono rifiutare le tue comunicazioni o chiedere che i loro dati vengano rimossi da loro.
MobiLoud fornisce alle app mobili una pagina delle impostazioni delle notifiche push, che aiuta almeno per quanto riguarda le notifiche della tua app.

3. Fornire visibilità e trasparenza

Uno degli aspetti più importanti del GDPR è il modo in cui vengono effettivamente utilizzati i dati che raccogli. Se sei un titolare del trattamento dei dati, devi essere consapevole di come i tuoi utenti possono gestire e proteggere efficacemente i loro dati utente.
Dimostrare visibilità e trasparenza attraverso un'Informativa sulla privacy chiara e comprensibile non solo avvantaggia gli utenti della tua app mobile, ma è un requisito degli App Store. Google rimuoverà la tua app se non riesce a trovare un'Informativa sulla privacy nella pagina del profilo del tuo Play Store e accessibile all'interno della tua app.
Dovresti anche fornire informazioni ai tuoi utenti su quali terze parti stai utilizzando per raccogliere o elaborare i dati degli utenti.
Ad esempio, se la tua app si connette a servizi esterni come soluzioni di analisi degli utenti (ad es. Google Analytics, Fabric), fornitori di pubblicità (ad es. Admob, MoPub) o fornitori di notifiche push (ad es. Firebase, OneSignal), dovresti rivelarlo chiaramente agli utenti nella tua Informativa sulla privacy.
Dovresti anche assicurarti che tutti i fornitori di terze parti che raccolgono i dati degli utenti siano conformi al GDPR. Saranno dei “responsabili del trattamento”, mentre tu rimarrai il “titolare del trattamento”. Pertanto, dovresti avere accordi scritti in atto che soddisfino il livello di garanzie in termini di protezione e sicurezza dei dati richiesto dal GDPR. Per alcuni di essi, potrai firmare accordi sul trattamento dei dati che aggiungono la formulazione richiesta ai termini esistenti del tuo accordo.

La nostra raccomandazione:

Crea o aggiorna la pagina delle Norme sulla privacy della tua app per la tua app mobile. Puoi scegliere di avere una barra laterale o una voce di menu che si collega ai termini legali della tua app mobile. Ciò consentirà agli utenti di trovare, leggere e comprendere facilmente come la tua app mobile utilizza i loro dati.
Se hai creato la tua app in base al contenuto del tuo sito web e stai usando MobiLoud, questo è molto semplice e può essere fatto aggiungendo un collegamento al menu della tua app dalla scheda Configurazione menu nelle impostazioni della tua app.

4 . Rispondere alle richieste degli utenti

Se qualcuno ti chiede come stai utilizzando i suoi dati, ai sensi del GDPR sei legalmente obbligato a rispondere. Questa è chiamata richiesta di accesso al soggetto.
Una richiesta di accesso al soggetto può essere eseguita fisicamente o digitalmente. Quando un utente chiede informazioni sui propri dati o una copia dei propri dati utilizzata nella tua app mobile, hai un mese per rispondere. Per richieste complicate, avrai fino a tre mesi per rispondere.
Potrebbe sembrare che dovrai investire più tempo e impegno nel servizio clienti, ma se la tua azienda è impostata per avere processi conformi al GDPR, non dovrebbe volerci troppo tempo. Alla fine della giornata, fornire un servizio clienti di alta qualità ai tuoi clienti e agli utenti di app mobili è una buona cosa!
Inizialmente puoi rispondere a questi ad hoc, ma alla fine vorrai avere un processo interno per generare una risposta per questo tipo di richiesta.

La nostra raccomandazione:

Crea una pagina sia sul tuo sito web che sull'app mobile che includa le informazioni di contatto della tua attività. Ciò consentirà agli utenti di contattarti facilmente e di fornire trasparenza da parte tua. Sforzati di rispondere in modo rapido e chiaro a tutte le Richieste di accesso ai soggetti.

5. Il diritto all'oblio

L'articolo 17 del GDPR evidenzia il Diritto alla Cancellazione, ovvero il “diritto all'oblio” . Ciò significa che quando un utente ti chiede di rimuovere i suoi dati acquisiti tramite il tuo sito web o la tua app mobile, sei obbligato a rimuovere ogni dato personale che detieni su di lui in tutti i sistemi, sia che tu controlli i suoi dati direttamente o tramite uno strumento o SaaS che utilizzi nella tua app (ad esempio, Google Analytics).
Se desideri che la tua app mobile sia conforme al GDPR, puoi scegliere di fornire soluzioni come l'eliminazione dei dati degli utenti dal tuo database direttamente dall'app, oppure avere un semplice modulo di contatto o una pagina dedicata in cui un utente può richiedere la cancellazione dei propri dati .

La nostra raccomandazione :

Sii trasparente e consenti agli utenti di contattarti facilmente in merito alla cancellazione dei loro dati. Quando qualcuno chiede la cancellazione dei propri dati, prendi sul serio la richiesta e rispetta la richiesta su ogni sistema che controlli.
Sei inoltre obbligato a notificare ai Responsabili del trattamento di terze parti che i dati devono essere eliminati anche dai loro server. Questo può essere fatto chiamando una loro API che consente la cancellazione dei dati personali (se questo è reso disponibile dal provider).

6. Rivedi i servizi e gli SDK che utilizzi

Se la tua app invia dati personali a un servizio esterno per l'elaborazione (ad es. per analizzare l'utilizzo dell'app), devi essere chiaro e trasparente su dove si trovano e chi avrà il controllo dei dati trasferiti.
Quindi, dovresti firmare Contratti per l'elaborazione dei dati (DPA) con i tuoi responsabili del trattamento dei dati. I contratti scritti tra la tua azienda e i tuoi responsabili del trattamento dei dati saranno un requisito generale ai sensi del GDPR. Prima lo fai, meglio è!
Non dare per scontato che tutte le terze parti e gli SDK collegati alla tua app siano conformi al GDPR. Se si verifica una violazione dei dati su una delle tue terze parti che porta all'esposizione dei tuoi dati utente, sei responsabile.
È responsabilità del titolare del trattamento, in questo caso, tu, l'editore dell'app, garantire che tutti i processi di dati di Terze parti siano conformi al GDPR e dispongano di adeguate misure di sicurezza dei dati. Per garantire ciò, dovresti parlare direttamente con i tuoi partner di terze parti, chiedere loro la loro Informativa sulla privacy e i Termini più recenti e cosa stanno facendo per la conformità al GDPR.
Dovresti analizzare a fondo i fornitori che elaborano i tuoi dati e prenderti del tempo per capire se sono conformi al GDPR o meno. Se hanno sede negli Stati Uniti, sono registrati nell'ambito dello scudo UE-USA per la privacy? Qualsiasi azienda può autocertificarsi in base a questo e avere questa certificazione è necessario affinché quel fornitore sia conforme al GDPR.
Vale il tempo che ci vuole -
Marcus Turner, CTO di Enola Labs , afferma che: " In definitiva, livelli più elevati di sicurezza informatica sono un investimento necessario e utile per gli imprenditori che si preoccupano di proteggere i propri clienti e salvaguardare la propria attività. Dico spesso alle aziende che possono pagare un costo anticipato ora per proteggere i propri dati, o aspettare fino a un attacco alla sicurezza informatica e pagare un prezzo ancora più alto in seguito per ripulire il pasticcio. Aspettare potrebbe costarti molto bene il tuo business ”.
Quindi, assicurati di dedicare del tempo a rivedere i tuoi fornitori di tecnologia e investire in quelli necessari che ti aiuteranno a salvaguardare la tua attività dalla violazione del GDPR.

La nostra raccomandazione:

Dovresti avere contratti solo con fornitori che possono fornire "garanzie sufficienti che i requisiti GDPR saranno soddisfatti e che i dati dei tuoi utenti siano sufficientemente protetti.
Molti fornitori disporranno di pagine GDPR sul proprio sito Web o avranno aggiornato la propria Informativa sulla privacy o Termini e condizioni per garantire la conformità al GDPR. Dovresti familiarizzare con questo o parlare con qualcuno del loro supporto o team legale per capire se sono conformi al GDPR o meno.

7. Notifiche di violazione dei dati

Per aumentare la fiducia tra clienti e aziende, e sulla scia di importanti violazioni dei dati da parte di aziende come Yahoo!, Uber, Equifax e altre, il GDPR impone scadenze più strette per le aziende per notificare alle autorità di vigilanza nazionali e ai loro utenti. La divulgazione deve avvenire entro 72 ore.
Per garantire che ciò sia possibile per la tua azienda, potresti dover investire in tecnologia per garantire una sorveglianza continua dei tuoi dati e che ti avviserà quando sono presenti rischi. Dovresti anche stabilire una procedura chiara su come reagire a una violazione dei dati, incluso come informerai gli utenti e come proteggerai i loro dati.

La nostra raccomandazione:

Stabilire una chiara procedura passo passo da utilizzare in caso di violazione dei dati, che includa il modo in cui informerai gli utenti e le autorità di controllo nazionali della violazione.

8. Nomina di un responsabile della protezione dei dati

La tua azienda potrebbe dover nominare un responsabile della protezione dei dati (DPO) per essere conforme al GDPR. Questo vale per te se:

• Sei un'autorità pubblica (ad eccezione dei tribunali che agiscono nella loro capacità giudiziaria);
• Le tue attività principali richiedono un monitoraggio su larga scala, regolare e sistematico delle persone (ad esempio, monitoraggio del comportamento online); o
• Le tue attività principali consistono nel trattamento su larga scala di categorie speciali di dati o dati relativi a condanne penali e reati.

Anche se ciò potrebbe non applicarsi a tutti i lettori, se il tuo sito Web o la tua app mobile elabora grandi quantità di dati individuali, dovresti considerare se hai bisogno o meno di un responsabile della protezione dei dati che ti aiuti a monitorare la conformità interna, informare e consigliare sugli obblighi di protezione dei dati della tua azienda , e fungere da punto di contatto per gli interessati (ossia i tuoi utenti) e le autorità di controllo.

La nostra raccomandazione:

Valuta se la tua azienda ha bisogno o meno di un DPO per essere conforme. In tal caso, dovresti nominarne uno e informare gli utenti del tuo sito Web o dell'app mobile su come possono contattare il tuo DPO.

9. Crittografia e archiviazione dei dati

La tua applicazione mobile dovrebbe utilizzare SSL o HTTPS per le comunicazioni esterne. Quando si comunicano informazioni personali di qualsiasi tipo, tali dati devono essere crittografati. Non crittografare i dati significa che le informazioni inviate saranno in chiaro e saranno esposte su Internet.
Se hai creato un'app che si connette al tuo sito web o ai server web e trasmette dati sensibili (ad es. nome utente/password), devi verificare di utilizzare SSL per tutte le connessioni dalla tua app.
La crittografia non è rilevante solo per le comunicazioni esterne. Tutti i dati raccolti dalla tua app mobile dovrebbero essere archiviati in un luogo sicuro e anche i tuoi backup dovrebbero essere crittografati. Gli utenti dovrebbero anche sapere per quanto tempo verranno conservati i loro dati.

La nostra raccomandazione:

Assicurati che la tua app utilizzi comunicazioni sicure tramite SSL e HTTP e assicurati che il tuo certificato SSL sia stato distribuito correttamente.
Tutti i dati archiviati dovrebbero utilizzare la crittografia e dovresti fornire trasparenza agli interessati per quanto tempo conserverai questi dati.

10. Registra e giustifica la tua raccolta di dati

L'articolo 30 del GDPR prevede che ciascun titolare del trattamento, o rappresentante del titolare del trattamento, "conserva un registro delle attività di trattamento sotto la propria responsabilità"
Ciò significa che per garantire la tua conformità al GDPR, dovresti iniziare a documentare tutti i dati che raccogli (te stesso o tramite una terza parte).
Dovresti creare un registro sicuro e completo delle tue attività di raccolta dati.
Per un buon esempio di come farlo, ti consigliamo di leggere il passaggio 1 della guida alle risorse per l'avvio alla conformità al GDPR .
Questo registro dovrebbe includere tutti i tipi di dati personali che stai raccogliendo sui visitatori e sugli utenti del sito web. Dai nomi delle persone (se raccolti) agli indirizzi IP fino al paese in cui si trovano.
Quindi, dovresti giustificare il motivo per cui stai raccogliendo questi dati. Devi identificare dove lo stai archiviando, per quanto tempo è archiviato, come può essere giustificata la raccolta dei dati e altro ancora.

La nostra raccomandazione:

Assicurati di essere pienamente consapevole di ogni tipo di dati utente che stai raccogliendo e assicurati di poter giustificare il motivo per cui li stai raccogliendo.
Una documentazione chiara e completa a cui puoi fare riferimento non solo ti aiuterà quando i clienti o gli utenti chiedono informazioni sulle tue politiche GDPR, ma garantirà la conformità alle normative e salvaguarderà sia la tua azienda che l'app mobile.

Avvolgendo

Il GDPR è un requisito legale ed è inevitabile per qualsiasi azienda che interagisce in qualsiasi modo con persone e clienti nell'UE.
Chiunque venga trattato i dati deve poter esercitare i propri diritti sui propri dati, anche se è sotto il tuo controllo.
Avrai bisogno di un'app mobile conforme al GDPR. Senza garantire la conformità, rischi di ingenti multe e di perdere la fiducia che i tuoi clienti hanno nella tua attività! Per questo motivo, la creazione di un processo per garantire la conformità per la tua azienda e l'app mobile dovrebbe essere una priorità per te.
Riteniamo che non dovresti vedere il GDPR come un mal di testa, nonostante le sue regole rigide. Fornire ai tuoi utenti un'app mobile conforme al GDPR farà loro sapere che li apprezzi e che ti impegni per la sicurezza dei loro dati. Per molte aziende, garantire la conformità sarà un valore aggiunto e farà sì che i tuoi utenti si fidino della tua app mobile, quindi dovresti abbracciarla!
Se vuoi saperne di più sul GDPR, abbiamo incluso collegamenti a diverse risorse di seguito:

• Leggi l'intero Regolamento generale sulla protezione dei dati pubblicato dal Parlamento europeo per familiarizzare con esso.
• Leggi l'eccellente guida di Kyvio per comprendere il GDPR, questo articolo di SafeDK e questa pratica guida al GDPR per gli sviluppatori.
• Leggi la guida rapida e sporca di Startup Resources per ottenere la conformità per le startup e le piccole imprese
• Autocertifica la tua attività in base allo scudo UE-USA per la privacy. Ciò fornisce alle aziende su entrambe le sponde dell'Atlantico un meccanismo per conformarsi ai requisiti dell'UE in materia di protezione dei dati durante il trasferimento di dati personali dall'Unione europea agli Stati Uniti.

Se il tuo sito web è conforme al GDPR e stai cercando di creare un'app mobile conforme al GDPR, MobiLoud offre una soluzione che sarà conforme al GDPR e fornirà alla tua azienda una nuova piattaforma per il coinvolgimento e la portata degli utenti.