Skip to content

MASWE-0112: Declarações Inadequadas de Coleta de Dados

Content in BETA

This content is in beta and still under active development, so it is subject to change any time (e.g. structure, IDs, content, URLs, etc.).

Send Feedback

Visão Geral

Quando as práticas declaradas de coleta de dados de um aplicativo móvel, como aquelas documentadas no Relatório de Privacidade de Aplicativos e nos Rótulos de Privacidade da Apple, ou na seção de Segurança de Dados do Google, são incompletas ou inconsistentes com o comportamento real do aplicativo, os usuários são impedidos de tomar decisões informadas sobre sua privacidade, incluindo a compreensão sobre se os dados serão vinculados à sua identidade, usados para rastreamento ou compartilhados com terceiros.

Essas declarações devem descrever claramente quais dados são coletados, como são utilizados, se estão vinculados à identidade do usuário e se são compartilhados com terceiros, de acordo com as políticas das plataformas.

Observação sobre bibliotecas de terceiros (SDKs): Os desenvolvedores, como controladores de dados, são legalmente responsáveis por garantir que componentes de terceiros processem dados sensíveis de forma lícita, justa e transparente, conforme destacado no estudo da ENISA sobre conformidade com o GDPR (Seção 2.2.7, "Transferências de dados e processamento por terceiros"). No entanto, em alguns casos, pode ser desafiador para os desenvolvedores de aplicativos móveis terem plena consciência dos dados que esses SDKs de terceiros realmente coletam.

Modos de Introdução

  • Coleta de Dados Não Declarada e Finalidade Não Declarada: Falha em declarar quais dados estão sendo coletados (por exemplo, localização, contatos, identificadores) e para quais finalidades (por exemplo, análise, personalização), deixando os usuários sem conhecimento sobre como suas informações são utilizadas.
  • Divergências entre Declarações e Comportamento: Diferenças entre as declarações nos rótulos de privacidade (como os Rótulos de Privacidade da Apple ou a Seção de Segurança de Dados do Google) e o comportamento real do aplicativo, incluindo coleta de dados não declarada, compartilhamento com terceiros não mencionados nos rótulos de privacidade ou uso de dados para finalidades não divulgadas, o que viola as diretrizes da Apple e do Google.

Impacto

  • Violação da Privacidade do Usuário: Os usuários podem compartilhar dados inadvertidamente sem compreender totalmente sua finalidade, o que pode levar a compartilhamentos não autorizados, criação de perfis ou publicidade direcionada.
  • Perda de Confiança do Usuário: Declarações inconsistentes podem resultar na perda de confiança dos usuários no aplicativo, levando a avaliações negativas, menor engajamento e redução na retenção.
  • Problemas Legais e de Conformidade: Declarações de dados imprecisas ou inconsistentes podem resultar em não conformidade com regulamentações como o GDPR ou o CCPA, acarretando possíveis multas, ações judiciais ou remoção das lojas de aplicativos.

Mitigações

  • Manter Rótulos de Privacidade Precisos: Cumpra os requisitos dos Rótulos de Privacidade da Apple e da Seção de Segurança de Dados do Google, fornecendo informações precisas e transparentes sobre suas práticas de dados, incluindo coleta de dados e compartilhamento com terceiros.
  • Garantir Consistência entre Declarações e Comportamento: Mantenha suas práticas de coleta de dados documentadas e atualizadas em políticas de privacidade, rótulos de privacidade e listagens nas lojas de aplicativos. Assegure que esses documentos correspondam ao comportamento real do aplicativo para evitar discrepâncias que possam enganar os usuários ou violar as políticas das plataformas.