Sin Política de Privacidad
Operar sin una política de privacidad viola GDPR, CCPA y regulaciones similares — y hace que los usuarios desconfíen justificadamente del manejo de sus datos.
Cómo Funciona
GDPR requiere una política de privacidad para cualquier servicio que procese datos de residentes de la UE. CCPA lo requiere para residentes de California. Sin una, estás operando en violación de la ley en la mayoría de las jurisdicciones donde probablemente tienes usuarios.
// MAL: aplicación que recopila datos de usuarios sin política de privacidad
// Sin ruta /politica-de-privacidad
// Sin link a política de privacidad en el formulario de registro
// Sin divulgación de qué datos se recopilan o cómo se usan// BIEN: política de privacidad enlazada desde el footer, registro y configuración
// pages/politica-de-privacidad.tsx — requerido para cumplimiento legal
// El contenido debe cubrir:
// - Qué datos recopilas
// - Cómo los usas
// - Con quién los compartes
// - Cuánto tiempo los retienes
// - Cómo los usuarios pueden solicitar la eliminaciónEjemplo Real
La FTC ha impuesto multas de millones a empresas que recopilaron datos de usuarios sin una política de privacidad. Google fue multada con $170 millones por violaciones de COPPA en parte por divulgaciones de privacidad inadecuadas en YouTube.
Cómo Prevenirlo
- Crea una política de privacidad que cubra recopilación, uso, almacenamiento y eliminación de datos
- Enlaza la política de privacidad desde tu footer, página de registro y configuración de cuenta
- Mantén la política de privacidad actualizada cuando agregues nueva recopilación de datos o servicios de terceros
- Usa un generador de política de privacidad como punto de partida, pero haz que un abogado la revise para tu jurisdicción
Tecnologías Afectadas
Data Hogo detecta esta vulnerabilidad automáticamente.
Escanea Tu Repo GratisVulnerabilidades Relacionadas
Sin Términos de Servicio
lowSin términos de servicio, no tienes base legal para restringir el abuso, terminar cuentas o limitar tu responsabilidad por contenido generado por usuarios.
Sin Eliminación de Cuenta
mediumNo ofrecer eliminación de cuenta viola el derecho de supresión del GDPR y el derecho a eliminar del CCPA — y es una señal de alerta de privacidad significativa para los usuarios.
Sin Banner de Cookies
lowEstablecer cookies no esenciales sin consentimiento del usuario viola los requisitos del GDPR y la Directiva ePrivacy para usuarios de la UE.
Datos de Pago Almacenados Localmente
criticalGuardar números de tarjeta completos, CVVs o PANs en localStorage, sessionStorage o tu propia base de datos viola PCI DSS y crea una responsabilidad masiva.