Voice Data Collection Not Disclosed in Privacy Policy

Recopilación de Datos de Voz no Divulgada en la Política de Privacidad

Risk: medium

Descripción

La aplicación recopila datos de voz o grabaciones de audio de los usuarios, pero la política de privacidad no lo divulga claramente. Los datos de voz pueden ser personales y, si se usan para una identificación única, pueden ser considerados datos biométricos. El no informar a los usuarios sobre esta recopilación puede ser engañoso y puede violar regulaciones de privacidad que requieren transparencia y consentimiento.

Recomendación

Actualice la política de privacidad de su aplicación para declarar explícitamente que se recopilan datos de voz o grabaciones de audio. Describa de forma clara los propósitos de esta recopilación, cómo se utilizan, procesan y almacenan los datos, su período de retención y las medidas de seguridad vigentes. Asegúrese de que se obtenga el consentimiento claro del usuario antes de acceder al micrófono o recopilar datos de voz, especialmente si se utilizan para propósitos sensibles como la identificación.

Enlaces

• GDPR Article 9 - Processing of Special Categories of Personal Data (if used for biometric identification)
• GDPR Article 4 - Definitions (Personal Data - can include voice)
• Apple Developer - Speech Recognition
• Android Developer - Speech To Text
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2