Genetic Data Collection Not Disclosed in Privacy Policy

Recopilación de datos genéticos no divulgada en la política de privacidad

Risk: medium

Descripción

La aplicación recopila datos genéticos, que se relacionan con las características genéticas heredadas o adquiridas de un individuo, pero la política de privacidad no lo divulga. Los datos genéticos son una categoría especial de información personal bajo regulaciones como el RGPD (GDPR) y son excepcionalmente sensibles. No informar a los usuarios sobre esta recopilación es un problema muy grave y probablemente infringe los requisitos legales para el consentimiento explícito y las medidas más estrictas de protección de datos.

Recomendación

Actualice la política de privacidad de su aplicación para establecer explícitamente que se recopilan datos genéticos. Detalle claramente los tipos específicos de datos genéticos recopilados, los propósitos precisos de esta recopilación, cómo se utilizan, procesan y almacenan los datos con el más alto nivel de seguridad, y el período de retención de los datos. Asegúrese de obtener el consentimiento explícito e inequívoco del usuario antes de recopilar esta información altamente confidencial y de que todas las prácticas cumplan con las leyes de protección de datos aplicables a las categorías especiales de datos, que a menudo requieren una Evaluación de Impacto de Protección de Datos (DPIA).

Enlaces

• GDPR Article 9 - Processing of Special Categories of Personal Data
• GDPR Article 4 - Definitions (Genetic Data)
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1