Gender Identity Collection Not Disclosed in Privacy Policy

Recopilación de identidad de género no divulgada en la política de privacidad

Risk: medium

Descripción

La aplicación recopila información sobre la identidad de género, pero la política de privacidad no lo divulga. La identidad de género puede considerarse información personal sensible. No informar a los usuarios sobre esta recopilación puede resultar engañoso y violar las normativas de privacidad que frecuentemente exigen consentimiento específico y salvaguardas para dichos datos.

Recomendación

Actualice la política de privacidad de su aplicación para declarar explícitamente que se recopila información sobre la identidad de género. Describa claramente los propósitos de su recopilación, cómo se utiliza, procesa, almacena y el período de retención de los datos. Asegúrese de proporcionar a los usuarios información transparente, de implementar los mecanismos de consentimiento adecuados si se requieren, y de que las prácticas de recopilación cumplan con las leyes de protección de datos aplicables para información sensible.

Enlaces

• GDPR Article 9 - Processing of Special Categories of Personal Data
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2