Biometric Data Collection Not Disclosed in Privacy Policy
Recopilación de datos biométricos no divulgada en la política de privacidad
Descripción
La aplicación recopila datos biométricos, como huellas dactilares o datos de reconocimiento facial, pero la política de privacidad no lo revela. Los datos biométricos utilizados para la identificación única suelen considerarse una categoría especial de información personal según regulaciones de privacidad como el GDPR, debido a su naturaleza sensible e inalterable. No informar a los usuarios sobre esta recopilación puede ser engañoso y violar los requisitos legales de consentimiento explícito y transparencia.
Recomendación
Actualice la política de privacidad de su aplicación para declarar explícitamente que se recopilan datos biométricos. Defina claramente los tipos de datos biométricos recopilados, los propósitos específicos para su recopilación (por ejemplo, autenticación), cómo se procesan y almacenan de forma segura (incluyendo medidas de seguridad como el cifrado y la protección de plantillas), los mecanismos de consentimiento del usuario (que a menudo deben ser explícitos) y los períodos de retención de datos. Se debe considerar una Evaluación de Impacto de Protección de Datos (DPIA) para este tipo de procesamiento de datos.
Enlaces
- GDPR Article 9 - Processing of Special Categories of Personal Data
- GDPR Article 35 - Data Protection Impact Assessment
- ISO/IEC 24745 - Biometric Information Protection
- CWE-359: Exposure of Private Information ("Privacy Violation")
Estándares
- GDPR:
- ART_5
- ART_6
- ART_7
- ART_9
- ART_12
- ART_13
- ART_25
- ART_32
- ART_35
- CCPA:
- CCPA_1798_100
- CCPA_1798_110
- CCPA_1798_150
- OWASP_MASVS_v2_1:
- MASVS_PRIVACY_1
- MASVS_PRIVACY_2
- SOC2_CONTROLS:
- CC_2_3
- CC_5_3
- CC_6_1
- CNIL_FOR_EDITORS:
- EDITORS_1_2_5
- EDITORS_3_1_1
- EDITORS_3_1_2
- EDITORS_4_1_1