User Photos and Media Collection Not Disclosed in Privacy Policy

Recopilación de fotos y medios del usuario no divulgada en la política de privacidad

Riesgo: medium

Descripción

La aplicación accede o recopila fotos, videos u otros archivos multimedia del usuario, pero la política de privacidad no lo divulga claramente. Los medios del usuario pueden ser muy personales y sensibles. No informar a los usuarios sobre cómo se accede o recopilan sus archivos multimedia puede ser engañoso y podría violar las normativas de privacidad que exigen transparencia y el consentimiento del usuario para dicho tratamiento.

Recomendación

Actualice la política de privacidad de su aplicación para indicar explícitamente si se accede o recopilan fotos, videos u otros archivos multimedia del usuario y cómo se hace. Describa claramente los propósitos de este acceso o recopilación, cómo se utilizan, procesan, almacenan los medios y su período de retención. Asegúrese de obtener el consentimiento claro del usuario antes de acceder a sus medios y de que los usuarios tengan control sobre estos permisos.

Enlaces

• GDPR - Definición de datos personales (incluye imágenes)
• Apple Developer - Acceso a recursos protegidos (Fototeca)
• Android Developer - Storage Access Framework
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

GDPR: * ART_5 * ART_6 * ART_7 * ART_12 * ART_13 * ART_25 * ART_32 * CCPA: * CCPA_1798_100 * CCPA_1798_110 * CCPA_1798_150 * OWASP_MASVS_v2_1: * MASVS_PRIVACY_1 * MASVS_PRIVACY_2 * SOC2_CONTROLS: * CC_2_3 * CC_5_3 * CC_6_1 * CNIL_FOR_EDITORS: * EDITORS_3_1_1 * EDITORS_3_1_2 * EDITORS_5_1_1