Gender Identity Collection Not Disclosed in Privacy Policy

Collecte de l'identité de genre non divulguée dans la politique de confidentialité

Risk: medium

Description

L'application collecte des informations sur l'identité de genre, mais la politique de confidentialité omet de le divulguer. L'identité de genre peut constituer des données personnelles sensibles. Le fait de ne pas informer les utilisateurs de cette collecte peut être trompeur et peut enfreindre les réglementations sur la vie privée, qui exigent souvent un consentement spécifique et des mesures de protection pour de telles données.

Recommandation

Mettez à jour la politique de confidentialité de votre application pour indiquer explicitement que des informations sur l'identité de genre sont collectées. Décrivez clairement les objectifs de cette collecte, comment les données sont utilisées, traitées, stockées et leur durée de conservation. Assurez-vous que les utilisateurs reçoivent des informations transparentes, que des mécanismes de consentement appropriés sont en place si nécessaire, et que les pratiques de collecte sont conformes aux lois applicables sur la protection des données sensibles.

Liens

• GDPR Article 9 - Processing of Special Categories of Personal Data
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2