Personal Identifiers Collection Not Disclosed in Privacy Policy

Recopilación de identificadores personales no divulgada en la política de privacidad

Risk: medium

Descripción

La aplicación recopila identificadores personales (como ID de usuario, ID de dispositivos, direcciones IP o ID de publicidad), pero la política de privacidad no revela adecuadamente la recopilación de estos identificadores específicos. Esta falta de transparencia puede impedir que los usuarios comprendan cómo están siendo rastreados o identificados, y puede violar los requisitos bajo regulaciones de privacidad como el GDPR y la CCPA.

Recomendación

Actualice la política de privacidad de su aplicación para enumerar explícitamente todos los tipos de identificadores personales recopilados (por ejemplo, ID de usuario, ID de dispositivo, dirección IP, ID de publicidad). Para cada identificador, describa claramente los propósitos específicos para su recopilación, cómo se utiliza, procesa, almacena y su período de retención. Asegúrese de que todas las divulgaciones sean transparentes y cumplan con las leyes de protección de datos aplicables.

Enlaces

• Android Privacy Guidelines
• Apple Developer - User Privacy and Data Use
• GDPR Article 4 - Definitions (Online Identifiers)
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2