Como tornar seu aplicativo móvel compatível com GDPR

O que é o RGPD?

GDPR significa o Regulamento Geral de Proteção de Dados.
O GDPR será aplicável a partir de 25 de maio de 2018. Ele foi projetado para proteger o armazenamento e o uso de dados do usuário e para garantir que o usuário tenha o controle de seus dados, em vez de as empresas serem responsáveis ​​pelos dados do usuário.

Principais definições do GDPR

Para ajudá-lo a entender o GDPR para aplicativos, existem algumas definições-chave às quais nos referiremos ao longo deste artigo.
Controlador de Dados: Um Controlador de Dados é a entidade que determina as finalidades e os meios de coleta e processamento de dados pessoais. Se você possui um site ou aplicativo móvel e está decidindo o que é coletado, como é coletado e para qual finalidade, você é um Controlador de Dados.
Processador de Dados: Um Processador de Dados é uma organização que processa dados pessoais em nome de um controlador de dados. Por exemplo, serviços de terceiros que se conectam ao seu site ou aplicativo, como Analytics (Google Analytics, KISSMetrics), Cloud Services (AWS), que acessam ou hospedam seus dados de clientes.
Titular dos dados: uma pessoa singular cujos dados são tratados. Por exemplo, um usuário do aplicativo ou um visitante do site.
Para obter uma lista completa das definições do GDPR, você pode ler o Artigo 4 do regulamento.

O GDPR me afeta?

Muito provavelmente sim!
O GDPR se aplica a todas as empresas com clientes ou visitantes de sites/aplicativos móveis da União Europeia (UE). Isso significa que qualquer organização no mundo que trabalhe com dados pessoais de residentes da UE de qualquer maneira tem obrigações de proteger os dados de seus usuários e estar em conformidade com o GDPR.

A que se referem os “Dados Pessoais” no GDPR?

“ Dados Pessoais ” sob o GDPR incluem qualquer informação relacionada a uma pessoa identificável que possa ser identificada direta ou indiretamente, em particular por referência a um identificador.
O escopo disso é amplo e inclui desde informações pessoais até um cookie colocado no navegador de alguém por uma ferramenta de rastreamento de análise que você pode usar para rastrear o uso do seu site.
Para seu site ou aplicativos, isso significa que você deve considerar como coletar e armazenar detalhes de identificação pessoal, como nomes e endereços de e-mail, mas também considerar itens como endereços IP e IDs de dispositivos dos usuários (IDs exclusivos que os dispositivos compartilham com SDKs externos para anúncios e análises).

O que o GDPR significa para seu aplicativo móvel?

As multas por não estar em conformidade com o GDPR são altas – 4% do faturamento global anual ou € 20 milhões (o que for maior!).
Com a conformidade com o GDPR se tornando um requisito para todas as empresas com clientes ou visitantes de sites ou usuários de aplicativos na UE, você provavelmente está preocupado se seu aplicativo móvel é compatível ou não com o GDPR.
Como editor de aplicativos móveis, você precisará entender como obtém, transfere, armazena e lida com seus dados de usuário. Você deve levar algum tempo para entender exatamente como você atualmente garante a segurança de dados para seus usuários e o que você pode fazer para melhorar isso para ter um aplicativo móvel compatível com GDPR.
Cennydd Bowles resume por que você deve estar em conformidade, mesmo que inicialmente dê muito trabalho: “Você pode acabar com insights de clientes menos ricos do que antes. Alguns KPIs podem cair. Mas para as empresas que têm relacionamentos diretos com os clientes, tudo é gerenciável e, no lado positivo, você não apenas reduz o risco de conformidade, mas também se beneficia da maior confiança que seus clientes demonstrarão em você e no mundo online em geral.”
Existem alguns destaques importantes que são relevantes para seu aplicativo móvel e negócios em geral que ajudarão você a garantir a conformidade com o GDPR.
Role para baixo para encontrar as 9 coisas que você deve considerar para ter um aplicativo móvel compatível com GDPR.

1. Privacidade por Design

Privacidade por Design agora é um requisito legal sob o GDPR. A partir do momento em que você começa a criar seu aplicativo móvel, você deve considerar a privacidade de seus usuários.
De acordo com o artigo 23 do GDPR , seu aplicativo deve armazenar e processar apenas dados do usuário que sejam absolutamente necessários.
Isso significa que, quando você está desenvolvendo seu aplicativo móvel ou quando um terceiro o desenvolve, precisa considerar a proteção de dados e a privacidade do usuário.
Privacidade por design não é um conceito novo e se refere a pensar na privacidade dos dados de seus usuários em seu aplicativo, site ou software desde o início, em vez de deixá-lo como uma reflexão tardia. A ideia de privacidade por design inclui decidir quais dados você precisa e quais dados você não precisa. Na visão geral de Brian Pagan para projetar aplicativos com privacidade em mente, ele pergunta se você realmente precisa de um nome de usuário E data de nascimento. Em muitos casos, apenas um desses campos é suficiente. Ele escreve: “o risco de alguém abrir um cartão de crédito em meu nome supera em muito o benefício de obter aquele “feliz aniversário” Spam e-mail de marketing da sua empresa.”
Vale a pena considerar todas as opções ao projetar e construir seu aplicativo móvel.
Além de ser um requisito legal, os usuários do seu aplicativo apreciarão as considerações extras de privacidade que você implementou para benefício deles!

Nossa recomendação:

Pense nos dados do usuário desde o início e não deixe que isso seja uma reflexão tardia.
Se as páginas do seu site estiverem sendo carregadas no seu aplicativo móvel (por exemplo, um formulário de contato), considere a coleta de dados acontecendo no site ao revisar seu aplicativo.
Você deve pensar em Privacidade por design ao criar novos recursos ou criar uma nova página em seu aplicativo para permanecer em conformidade com o GDPR.
Além disso, você deve criptografar dados pessoais com algoritmos de criptografia fortes. Isso ajudará você a minimizar o impacto de uma violação de dados.

2. Peça consentimento explícito

De acordo com o GDPR, as empresas devem solicitar e receber o consentimento do usuário para coletar, usar e mover dados pessoais.
Isso inclui dados coletados para publicidade, análise, registro de falhas ou qualquer outra coisa. O opt-in deve ser compreensível e claro. Você não poderá se safar com Termos e Condições confusos que provavelmente ninguém lerá ou entenderá completamente.
O consentimento explícito pode ser concedido facilmente por meio de uma tela de ativação quando o aplicativo é iniciado. Os usuários do seu aplicativo optaram por fazer o download do seu aplicativo em primeiro lugar, portanto, é provável que a maioria das pessoas dê o consentimento para usar seu aplicativo e receber mais comunicações de sua empresa, desde que o destinatário possa ver um benefício.
Seus usuários também devem poder retirar o consentimento com a mesma facilidade com que o dão. Você pode precisar atualizar sua Política de Privacidade para resolver isso e adicionar outra página em seu site onde os usuários podem optar por não participar.

Nossa recomendação:

Quando alguém se registra em seu aplicativo móvel, deve ser solicitado que eles aceitem que seus dados sejam coletados ou que recebam comunicações, como e-mails ou notificações push. É altamente recomendável mostrar uma tela de consentimento na inicialização do aplicativo, pois essa é a única maneira de estar totalmente em conformidade com o GDPR. Você também deve notificar os usuários nessas telas exatamente onde seus dados serão usados. Por exemplo, eles serão rastreados no Google Analytics ou terão dados enviados ao Google Admob para mostrar anúncios relevantes? Seus usuários precisam saber, e é sua obrigação informá-los assim que começarem a usar seu aplicativo móvel compatível com GDPR!
Além disso , seu aplicativo móvel compatível com GDPR deve ter uma página dedicada onde os usuários podem optar por não receber suas comunicações ou solicitar que seus dados sejam removidos.
MobiLoud fornece aplicativos móveis com uma página de configurações de notificação por push, o que ajuda pelo menos no que diz respeito às notificações do seu aplicativo.

3. Fornecendo Visibilidade e Transparência

Um dos aspectos mais importantes do GDPR é como os dados que você coleta são realmente usados. Se você é um controlador de dados, precisa estar ciente de como seus usuários podem gerenciar e proteger efetivamente seus dados de usuário.
Provar visibilidade e transparência por meio de uma Política de Privacidade clara e compreensível não apenas beneficia os usuários de seu aplicativo móvel, mas também é um requisito das App Stores. O Google removerá seu aplicativo se não encontrar uma Política de Privacidade na página de perfil da sua Play Store e acessível dentro do seu aplicativo.
Você também deve fornecer informações aos seus usuários sobre quais terceiros você está usando para coletar ou processar dados do usuário.
Por exemplo, se seu aplicativo se conecta a serviços externos, como soluções de análise de usuários (por exemplo, Google Analytics, Fabric), provedores de publicidade (por exemplo, Admob, MoPub) ou provedores de notificação por push (por exemplo, Firebase, OneSignal), você deve divulgar isso claramente aos usuários na sua Política de Privacidade.
Você também deve certificar-se de que todos os provedores terceirizados que coletam quaisquer dados do usuário estejam em conformidade com o GDPR. Eles serão “processadores de dados”, enquanto você permanece o “controlador de dados”. Como tal, você deve ter acordos escritos em vigor que atendam ao nível de garantias em termos de proteção e segurança de dados que o GDPR exige. Para alguns deles, você poderá assinar contratos de processamento de dados que adicionam a redação necessária aos termos existentes do seu contrato.

Nossa recomendação:

Crie ou atualize a página de Política de Privacidade do seu aplicativo para seu aplicativo móvel. Você pode optar por ter uma barra lateral ou um item de menu vinculado aos termos legais do seu aplicativo móvel. Isso permitirá que os usuários encontrem, leiam e entendam facilmente como seu aplicativo móvel está usando seus dados.
Se você construiu seu aplicativo com base no conteúdo do seu site e está usando o MobiLoud, isso é muito simples e pode ser feito adicionando um link ao menu do seu aplicativo na guia Configuração do menu nas configurações do seu aplicativo.

4 . Responder às solicitações do usuário

Se alguém perguntar como você está usando seus dados, de acordo com o GDPR, você é legalmente obrigado a responder a eles. Isso é chamado de Solicitação de Acesso do Assunto.
Uma Solicitação de Acesso do Sujeito pode ser feita fisicamente ou digitalmente. Quando um usuário solicita informações sobre seus dados ou uma cópia de seus dados usados ​​em seu aplicativo móvel, você tem um mês para responder. Para solicitações complicadas, você terá até três meses para responder.
Pode parecer que você precisará investir mais tempo e esforço no atendimento ao cliente, mas se sua empresa estiver configurada para ter processos em conformidade com o GDPR, isso não deve levar muito do seu tempo. No final das contas, fornecer atendimento ao cliente de alta qualidade para seus clientes e usuários de aplicativos móveis é uma coisa boa!
Inicialmente, você pode responder a esses ad-hoc, mas eventualmente desejará ter um processo interno para gerar uma resposta para esse tipo de solicitação.

Nossa recomendação:

Crie uma página em seu site e aplicativo para dispositivos móveis que inclua suas informações de contato comercial. Isso permitirá que os usuários entrem em contato com você facilmente e forneça transparência do seu lado. Faça um esforço para responder rápida e claramente a todas as Solicitações de Acesso do Assunto.

5. O Direito de Ser Esquecido

O artigo 17.º do RGPD destaca o direito ao apagamento, ou o “direito ao esquecimento” . Isso significa que quando um usuário solicita que você remova seus dados adquiridos por meio de seu site ou aplicativo móvel, você é obrigado a remover todos os detalhes pessoais que possui sobre eles em todos os sistemas, independentemente de controlar seus dados diretamente ou por meio de uma ferramenta ou SaaS que você usa em seu aplicativo (por exemplo, Google Analytics).
Se você deseja que seu aplicativo móvel seja compatível com GDPR, você pode optar por fornecer soluções como excluir dados do usuário de seu próprio banco de dados diretamente do aplicativo ou ter um formulário de contato simples ou uma página dedicada onde um usuário pode solicitar que seus dados sejam apagados .

Nossa recomendação :

Seja transparente e permita que os usuários entrem em contato com você facilmente para apagar seus dados. Quando alguém solicitar que seus dados sejam apagados, leve a solicitação a sério e cumpra a solicitação em todos os sistemas que você controla.
Você também é obrigado a notificar os Processadores de Dados de Terceiros de que os dados também devem ser excluídos de seus servidores. Isso pode ser feito chamando uma API deles que permite a exclusão de dados pessoais (se isso for disponibilizado pelo provedor).

6. Revise os serviços e SDKs que você usa

Se o seu aplicativo enviar dados pessoais para um serviço externo para processamento (por exemplo, para analisar o uso do aplicativo), você precisa ser claro e transparente sobre onde isso está e quem controlará os dados transferidos.
Em seguida, você deve assinar Contratos de Processamento de Dados (DPAs) com seus processadores de dados. Contratos escritos entre sua empresa e seus processadores de dados serão um requisito geral sob o GDPR. Quanto antes você fizer isso, melhor!
Não presuma que todos os terceiros e SDKs conectados ao seu aplicativo são compatíveis com GDPR. Se houver uma violação de dados em um de seus terceiros que leve à exposição de seus dados de usuário, você será responsável.
É responsabilidade do controlador de dados, neste caso, você, o editor do aplicativo, garantir que todos os processos de dados de terceiros estejam em conformidade com o GDPR e tenham as medidas de segurança de dados apropriadas em vigor. Para garantir isso, você deve conversar diretamente com seus parceiros terceirizados, perguntar a eles sobre a Política de Privacidade e os Termos mais recentes e o que eles estão fazendo para conformidade com o GDPR.
Você deve analisar minuciosamente os fornecedores que processam seus dados e dedicar algum tempo para entender se eles são ou não compatíveis com o GDPR. Se estiverem sediados nos EUA, estão registrados sob a Estrutura do Escudo de Privacidade UE-EUA? Qualquer empresa pode se autocertificar sob isso, e é necessário ter essa certificação para que esse fornecedor esteja em conformidade com o GDPR.
Vale a pena o tempo que leva -
Marcus Turner, CTO da Enola Labs , diz que, “ Em última análise, níveis mais altos de segurança cibernética são um investimento necessário e valioso para proprietários de empresas que se preocupam em proteger seus clientes e proteger seus negócios. Costumo dizer às empresas que elas podem pagar um custo inicial agora para proteger seus dados ou esperar até um ataque de segurança cibernética e pagar um preço ainda maior depois para limpar a bagunça. Esperar pode muito bem custar o seu negócio ”.
Portanto, certifique-se de reservar um tempo para revisar seus fornecedores de tecnologia e investir nos necessários que ajudarão a proteger sua empresa de violar o GDPR.

Nossa recomendação:

Você só deve ter contratos com fornecedores que possam fornecer 'garantia suficiente' de que os requisitos do GDPR serão atendidos e os dados de seus usuários estarão suficientemente protegidos.
Muitos fornecedores terão páginas do GDPR em seus sites ou atualizaram sua Política de Privacidade ou Termos e Condições para garantir a conformidade com o GDPR. Você deve se familiarizar com isso ou conversar com alguém de seu suporte ou equipe jurídica para entender se eles são compatíveis com GDPR ou não.

7. Notificações de violação de dados

Para aumentar a confiança entre clientes e empresas, e após notáveis ​​violações de dados de empresas como Yahoo!, Uber, Equifax e outras, o GDPR está impondo prazos mais curtos para as empresas notificarem as autoridades supervisoras nacionais e seus usuários. A divulgação deve acontecer em até 72 horas.
Para garantir que isso seja possível para sua empresa, talvez seja necessário investir em tecnologia para garantir a vigilância contínua de seus dados e que o notifique quando houver riscos. Você também deve estabelecer um procedimento claro sobre como reagirá a uma violação de dados – incluindo como informará os usuários e como protegerá seus dados.

Nossa recomendação:

Estabeleça um processo passo a passo claro que você pode usar em caso de violação de dados que inclua como você informará os usuários e as autoridades supervisoras nacionais sobre a violação.

8. Nomeação de um responsável pela proteção de dados

Sua empresa pode precisar nomear um Diretor de Proteção de Dados (DPO) para estar em conformidade com o GDPR. Isso se aplica a você se:

• Você é uma autoridade pública (exceto os tribunais que atuam em sua capacidade judicial);
• Suas atividades principais exigem monitoramento de indivíduos em larga escala, regular e sistemático (por exemplo, rastreamento de comportamento online); ou
• Suas atividades principais consistem no processamento em larga escala de categorias especiais de dados ou dados relacionados a condenações criminais e infrações.

Embora isso possa não se aplicar a todos os leitores, se o seu site ou aplicativo móvel processar grandes quantidades de dados individuais, você deve considerar se precisa ou não de um Encarregado de Proteção de Dados para ajudá-lo a monitorar a conformidade interna, informar e aconselhar sobre as obrigações de proteção de dados de sua empresa , e atuar como ponto de contato para titulares de dados (ou seja, seus usuários) e autoridades de supervisão.

Nossa recomendação:

Avalie se sua empresa precisa ou não de um DPO para estar em conformidade. Nesse caso, você deve nomear um e informar aos usuários do seu site ou aplicativo móvel como eles podem entrar em contato com seu DPO.

9. Criptografia e armazenamento de dados

Seu aplicativo móvel deve usar SSL ou HTTPS para comunicações externas. Ao comunicar informações pessoais de qualquer tipo, esses dados devem ser criptografados. Não criptografar os dados significa que as informações enviadas estarão em texto não criptografado e serão expostas pela internet.
Se você criou um aplicativo que se conecta ao seu site ou servidores da Web e transmite dados confidenciais (por exemplo, um nome de usuário/senha), verifique se está usando SSL para todas as conexões do seu aplicativo.
A criptografia não é relevante apenas para comunicações externas. Todos os dados que seu aplicativo móvel coleta devem ser armazenados em um local seguro e seus backups também devem ser criptografados. Os usuários também devem saber por quanto tempo seus dados serão retidos.

Nossa recomendação:

Certifique-se de que seu aplicativo use comunicações seguras por meio de SSL e HTTPs e verifique se seu certificado SSL foi implantado corretamente.
Todos os dados armazenados devem usar criptografia e você deve fornecer transparência aos titulares dos dados sobre por quanto tempo você retém esses dados.

10. Registre e justifique sua coleta de dados

O Artigo 30 do GDPR descreve que cada controlador de dados, ou representante do controlador, “deve manter um registro das atividades de processamento sob sua responsabilidade”
Isso significa que, para garantir sua conformidade com o GDPR, você deve começar a documentar todos os dados coletados (por si mesmo ou por meio de terceiros).
Você deve criar um registro seguro e abrangente de suas atividades de coleta de dados.
Para obter um bom exemplo de como fazer isso, recomendamos a leitura da Etapa 1 do guia Recursos de inicialização para conformidade com o GDPR .
Este log deve incluir todo e qualquer tipo de dados pessoais que você está coletando sobre os visitantes e usuários do site. Dos nomes das pessoas (se coletados) aos endereços IP do país em que estão localizadas.
Em seguida, você deve justificar por que está coletando esses dados. Você precisa identificar onde está armazenando, por quanto tempo é armazenado, como a coleta de dados pode ser justificada e muito mais.

Nossa recomendação:

Certifique-se de estar totalmente ciente de todos os tipos de dados do usuário que está coletando e certifique-se de justificar por que está coletando.
Documentação clara e completa que você pode consultar não apenas o ajudará quando clientes ou usuários perguntarem sobre suas políticas de GDPR, mas também garantirá a conformidade regulatória e protegerá sua empresa e seu aplicativo móvel.

Empacotando

O GDPR é um requisito legal e inevitável para qualquer empresa que interaja de alguma forma com pessoas e clientes na UE.
Qualquer pessoa cujos dados sejam processados ​​deve poder exercer seus direitos sobre seus dados, mesmo que estejam sob seu controle.
Você precisará ter um aplicativo móvel compatível com GDPR. Sem garantir a conformidade, você corre o risco de grandes multas e perder a confiança que seus clientes têm em seu negócio! Por esse motivo, criar um processo para garantir a conformidade do seu negócio e aplicativo móvel deve ser uma prioridade para você.
Acreditamos que você não deve ver o GDPR como uma dor de cabeça, apesar de suas regras rígidas. Fornecer aos seus usuários um aplicativo móvel compatível com GDPR permitirá que eles saibam que você os valoriza e está comprometido com a segurança de seus dados. Para muitas empresas, garantir a conformidade será um valor agregado e fará com que seus usuários confiem em seu aplicativo móvel, então você deve adotá-lo!
Se você quiser saber mais sobre o GDPR, incluímos links para vários recursos abaixo:

• Leia todo o Regulamento Geral de Proteção de Dados publicado pelo Parlamento Europeu para se familiarizar com ele.
• Leia o excelente guia de Kyvio para entender o GDPR, este artigo do SafeDK e este guia prático do GDPR para desenvolvedores.
• Leia o Guia rápido e sujo da Startup Resources para obter conformidade para startups e pequenas empresas
• Autocertifique sua empresa de acordo com a Estrutura do Escudo de Privacidade UE-EUA. Isso fornece às empresas de ambos os lados do Atlântico um mecanismo para cumprir os requisitos de proteção de dados da UE ao transferir dados pessoais da União Europeia para os Estados Unidos.

Se o seu site é compatível com GDPR e você deseja criar um aplicativo móvel compatível com GDPR, o MobiLoud oferece uma solução que será compatível com GDPR e fornecerá à sua empresa uma nova plataforma para envolvimento e alcance do usuário.