*Por Ricardo Utz
O General Data Protection Regulation (GDPR), lei europeia de privacidade e segurança de dados online que entrou em vigor em 25 de maio tem um impacto significativo sobre o mercado de aplicativos. Ainda que se refiram aos direitos de privacidade de cidadãos europeus, as normas afetam toda empresa, de qualquer parte do mundo, cujas plataformas trafeguem ou armazenem dados de ao menos um morador da União Europeia.
Estudo conclui que empresas veem GDPR como oportunidade de melhorar privacidade e segurança de dados
A principal diretriz do GDPR permite que os indivíduos controlem seus dados, e, portanto, que as aplicações que solicitam informações pessoais online informem exatamente o que acontecerá com tal conteúdo a partir do momento em que o receberem.
Além disso, a partir da nova lei as empresas têm de informar melhor os usuários sobre como seus dados serão utilizados, garantir o direito à portabilidade das informações, com fácil transferência para outras plataformas, e assegurar o “direito de ser esquecido”, ou seja: que o indivíduo possa excluir completamente seus dados de um app ou site a qualquer momento que desejar, desde que não haja empecilhos legais para a exclusão. Outro direito defendido pelo GDPR é que as pessoas sejam informadas imediatamente se houver vazamento de suas informações.
Para quem desenvolve aplicativos mobile, as rigorosas exigências da nova lei – que, se descumpridas, podem amargar pesadas multas que chegam a 4% do faturamento – determinam mais cuidado. Aqui, algumas dicas para entrar em compliance com o GDPR e mitigar o risco de penalidades.
- Seu app realmente precisa de tantos dados? Antes de criar os formulários de informações pessoais, certifique-se de que pedem somente o que é estritamente necessário para o funcionamento dos recursos do aplicativo.
- Se for necessário salvar dados pessoais dos usuários no aplicativo, use criptografia e informe seus clientes sobre isso.
- Se o app disponibilizar formulários de contato, informe aos usuários como e por quanto tempo as informações ali cadastradas permanecerão armazenadas. E não esqueça de criptografá-las.
- Programe a expiração e destruição dos cookies e sessões sempre após o logout.
- Se o aplicativo é de e-commerce, certamente rastreia a atividade do usuário para análises de Business Intelligence ou Business Analytics. Pois é melhor não fazer isso sem avisar previamente aos envolvidos. Ainda que seja com a melhor das intenções, visando a fazer recomendações que melhorem a experiência do consumidor, estes dados serão monitorados e isso diz respeito à privacidade, que o usuário tem de aceitar compartilhar.
- Usar endereços IP ou locais para controlar autenticação e autorizações é comum no universo dos apps. Com o GDPR, é preciso informar esta prática aos usuários, inclusive detalhando por quanto tempo os logs ficarão salvos no sistema.
- Não formule perguntas de segurança que incluam componentes pessoais (preferências do usuário, nomes de parentes, locais de sua familiaridade etc). A dica é deixar que os usuários criem suas próprias questões, criptografando os dados cadastrados, ou então optar pela autenticação de dois fatores.
- Deixe os termos e condições do app o mais claro e visível possível. E crie mecanismos para se certificar de que os usuários leiam o material.
- Todo e qualquer compartilhamento de dados com terceiros deverá ser informado aos usuários já nos termos e condições de uso.
- Se o app sofrer vazamento de dados, informe os usuários imediatamente e tenha sempre um plano de ação pré-planejado para resolver tais situações no menor tempo e com o menor nível de dano possível.
Ficar atento às obrigatoriedades do GDPR é uma forma de melhorar o a experiência dos usuários de apps como um todo. Uma evolução do mercado que trará benefícios e evitará muita dor de cabeça para todas as partes.
*Ricardo Utz é designer de UI/UX na Aioria Software House.
