GDPR, CCPA e Lei de Cookies: O Que Significam Para Você e Seu Aplicativo Móvel

Para desenvolvedores de aplicativos que usam Adalo—um construtor de aplicativos sem código para aplicativos web orientados por banco de dados e aplicativos nativos iOS e Android, com uma versão em todas as três plataformas publicada na Apple App Store e Google Play—entender esses requisitos legais é essencial antes de lançar qualquer aplicativo que colete dados de usuários.

Este guia cobre tudo o que você precisa saber sobre conformidade de privacidade para aplicativos móveis, desde regulamentações dos EUA e UE até etapas práticas de implementação.

Requisitos Legais Gerais para Aplicativos Móveis

As leis de privacidade em todo o mundo compartilham requisitos comuns para aplicativos que processam dados pessoais. Você deve:

• Fazer divulgações sobre suas atividades de processamento de dados por meio de uma política de privacidade abrangente
• Garantir que medidas de segurança eficazes protejam dados pessoais
• Implementar métodos para receber consentimento do usuário ou facilitar sua retirada

Consentimento refere-se ao acordo voluntário informado de um indivíduo em participar de um evento ou processo específico. Pode ser obtido usando qualquer método que exija que o usuário tome uma ação afirmativa e verificável—caixas de seleção, campos de texto, botões de alternância ou envio de um email de confirmação.

Em geral, os usuários devem ser informados de:

• Detalhes do proprietário do aplicativo e informações de contato
• A data efetiva de sua política de privacidade
• Seu processo de notificação para alterações de política
• Quais dados estão sendo coletados e por quê
• Acesso de terceiros aos seus dados (quem são os terceiros e quais dados eles estão coletando)
• Seus direitos em relação aos seus dados, incluindo acesso, correção e exclusão

Esses requisitos se aplicam independentemente de como você constrói seu aplicativo. Esteja você usando as ferramentas de construção assistidas por IA do Adalo ou métodos tradicionais de desenvolvimento, as obrigações legais permanecem as mesmas.

EUA, UE, Internacional: Como Determinar Sua Lei de Referência

Geralmente, as leis de uma região específica se aplicam se:

• Você baseia suas operações lá
• Você usa serviços de processamento ou servidores baseados na região
• Seu serviço visa usuários dessa região

Isso significa efetivamente que regulamentações regionais podem se aplicar a você e/ou seu negócio, independentemente de você estar localizado na região ou não. Por essa razão, é sempre uma boa ideia lidar com suas atividades de processamento de dados considerando as regulamentações mais rigorosas aplicáveis.

Aqui está uma regra simples:

• Lei de referência: Cumpra as leis do país em que você baseia suas operações, bem como as do país que seu aplicativo visa
• Idioma de seus documentos: Seus documentos legais devem ser escritos no mesmo idioma de seu aplicativo para que seus usuários possam entendê-los

Com mais de 3 milhões de aplicativos criados no Adalo e usuários abrangendo mercados globais, a maioria dos desenvolvedores de aplicativos precisa considerar regulamentações dos EUA e da UE. Vamos examinar os principais requisitos para cada um.

Lei dos EUA: CalOPPA e CCPA

Nos EUA, atualmente não existe um único corpo de regulamentações de dados abrangente em nível nacional. Várias leis estaduais, diretrizes da indústria e leis federais específicas criam um conjunto de requisitos variados. Como a atividade de aplicativo online raramente se limita a apenas um estado, é sempre melhor aderir às regulamentações mais rigorosas aplicáveis—como aquelas implementadas pela Califórnia.

Lei de Proteção de Privacidade Online da Califórnia (CalOPPA)

CalOPPA foi a primeira lei estadual a tornar as políticas de privacidade obrigatórias. Aplica-se a qualquer pessoa ou empresa cuja site ou aplicativo processa dados pessoais de residentes da Califórnia. Além das divulgações geralmente exigidas acima, CalOPPA exige que você:

• Publique sua política de privacidade na página inicial de seu site/aplicativo
• Inclua uma descrição do processo pelo qual os usuários podem solicitar alterações aos dados pessoais (se tal processo existir)
• Inclua uma declaração sobre como as solicitações de "Não Rastrear" são tratadas
• Notifique os usuários afetados em caso de violações de segurança que afetem seus dados

Com relação ao consentimento, a lei dos EUA geralmente exige que você dê aos usuários uma opção clara de retirada de consentimento (opt-out). No entanto, diferentes regras se aplicam em casos envolvendo "dados sensíveis"—informações de saúde, relatórios de crédito, dados de estudantes ou informações pessoais de crianças menores de 13 anos. Nesses casos, deve haver uma ação de opt-in verificável, como marcar uma caixa ou alguma outra ação afirmativa.

Lei de Privacidade do Consumidor da Califórnia (CCPA)

CCPA complementa mas não substitui CalOPPA—ambas ainda se aplicam. Totalmente aplicável desde 1º de julho de 2020, a CCPA aprimora os direitos de privacidade dos consumidores para residentes da Califórnia.

Sob a CCPA, empresas que visam consumidores da Califórnia devem incluir divulgações específicas em suas políticas de privacidade:

• Descrições dos direitos dos consumidores
• Parceiros de processamento e seus objetivos
• Fontes de dados e categorias coletadas
• Informações sobre vendas ou compartilhamento de dados

Os usuários da Califórnia precisam ser informados sobre a possibilidade de seus dados serem vendidos. Você pode pensar em "vendido" aqui como "compartilhado com terceiros para qualquer lucro, monetário ou não". A divulgação deve estar visível na página inicial e deve incluir um link de exclusão (DNSMPI).

Você pode ler mais sobre o CCPA aqui.

Lei da UE: GDPR e Diretiva ePrivacy (Lei de Cookies)

O GDPR especifica como os dados pessoais devem ser processados legalmente e pode se aplicar a você, independentemente de sua empresa estar baseada na UE ou não. Se seu aplicativo puder ser usado por usuários da UE (ou você está baseado na UE), o GDPR se aplica a você.

Requisitos de Consentimento do GDPR

Comparado aos regulamentos dos EUA, o GDPR é mais rigoroso quando se trata de consentimento. O consentimento sob o GDPR deve ser "explícito e livremente dado". Isso significa que o mecanismo para obter consentimento deve ser inequívoco e envolver uma ação clara de "aceitar". O regulamento especificamente proíbe caixas pré-selecionadas e mecanismos similares de "recusa".

Você pode ler mais sobre o GDPR aqui.

Diretiva ePrivacy (Lei de Cookies)

Os usuários da UE precisam ser informados sobre o uso de cookies e receber a opção de consentir ou recusar. A Diretiva ePrivacy exige consentimento informado dos usuários antes de armazenar cookies no dispositivo de um usuário e rastreá-los. Se seu aplicativo (ou qualquer serviço de terceiros usado pelo seu aplicativo) usa cookies, você deve obter consentimento válido antes da instalação.

Isso se aplica a aplicativos construídos em qualquer plataforma. Quando você publica seu aplicativo Adalo na App Store e Google Play, esses requisitos de consentimento de cookies seguem seu aplicativo para ambas as lojas.

Requisitos de Política de Privacidade

De acordo com as leis da maioria dos países, é obrigatório que você divulgue detalhes relacionados à privacidade e às suas atividades de processamento de dados. Aplicativos móveis não são exceção — eles são obrigados a fornecer uma política de privacidade e, se usarem cookies e tecnologias de rastreamento similares, uma política de cookies.

Para estar em conformidade, sua política deve ser:

• Atualizada com práticas de dados atuais
• Compreensível em linguagem simples
• Inequívoca sobre quais dados você coleta e por quê
• Facilmente acessível em todo o aplicativo

Você pode ser ainda responsável por fazer divulgações adicionais aos usuários, terceiros e autoridades supervisoras, dependendo de sua lei de referência.

Sem uma Política de Privacidade, Você Corre Risco de Rejeição na App Store

Ambas as Apple App Store e Google Play exigem que os aplicativos tenham uma política de privacidade válida e sigam a lei aplicável. A falha em fazer isso pode resultar em multas massivas, rejeição da app store, deixá-lo aberto a litígios e afetar negativamente a credibilidade do seu aplicativo.

Isso é particularmente importante para construtores que usam plataformas como Adalo que publicam diretamente em ambas as app stores a partir de um único código-base. Sua política de privacidade precisa satisfazer os requisitos tanto da Apple quanto do Google simultaneamente.

Requisitos de Privacidade do App iOS

O App Store Connect exige uma política de privacidade para todos os aplicativos novos e atualizações de aplicativos. O Artigo 5.1 das Diretrizes de Revisão da App Store da Apple fornece uma visão geral das diretrizes de privacidade da Apple e motivos para rejeição onde essas condições não são atendidas.

Artigo 5.1.1 sobre Coleta e Armazenamento de Dados especifica:

(i) Políticas de Privacidade: Todos os aplicativos devem incluir um link para sua política de privacidade no campo de metadados do App Store Connect e dentro do aplicativo de forma facilmente acessível. A política de privacidade deve indicar clara e explicitamente:

• Identificar quais dados, se houver, o aplicativo/serviço coleta, como ele coleta esses dados e todos os usos desses dados
• Confirmar que qualquer terceiro com quem um aplicativo compartilhe dados do usuário — como ferramentas de análise, redes de publicidade e SDKs de terceiros, bem como qualquer entidade pai, subsidiária ou outra entidade relacionada — fornecerá a mesma proteção ou igual proteção dos dados do usuário conforme declarado na política de privacidade do aplicativo
• Explicar políticas de retenção/exclusão de dados e descrever como um usuário pode revogar consentimento e/ou solicitar a exclusão de seus dados

O link ou texto da política de privacidade do seu aplicativo só será editável quando você enviar uma nova versão do seu aplicativo. Com as atualizações de aplicativo ilimitadas do Adalo em planos pagos, você pode revisar e republicar sempre que suas práticas de privacidade mudarem.

Leia mais sobre Política de Privacidade para Aplicativos iOS.

Requisitos de Privacidade do App Android

O Google Play exige explicitamente que um link para uma política de privacidade esteja visível na página de listagem da app store do seu aplicativo e dentro do seu aplicativo nos casos em que:

• Seu aplicativo processa dados pessoais ou sensíveis do usuário, conforme definido nas políticas de dados do usuário (incluindo informações de identificação pessoal, informações financeiras e de pagamento, informações de autenticação, dados de agenda telefônica ou contato, dados de sensor de microfone e câmera, e dados de dispositivo sensíveis)
• Seu app está no programa "Designed for Families" (independentemente do acesso a permissões ou dados sensíveis)

No entanto, é crucial observar que, independentemente dos requisitos da plataforma, sob a grande maioria das legislações—particularmente a CalOPPA da Califórnia, a CCPA e o GDPR—avisos de privacidade são legalmente obrigatórios independentemente dos mandatos específicos do Google.

Se seu app Android processa dados pessoais por motivos não relacionados à sua funcionalidade, você é obrigado a fazer divulgações adicionais e facilmente visíveis sobre esse uso e coletar o consentimento do usuário onde necessário.

Leia mais sobre Política de Privacidade para Apps Android.

Cookies, Rastreadores e Tecnologias Similares

Muitos desenvolvedores de apps usam cookies dentro do app ou através do website do app para tudo, desde estatísticas de uso até anúncios de remarketing. Se você usar cookies não-isentos (cookies estatísticos, publicitários ou de perfil) e tiver usuários baseados na UE, você é obrigado por lei—e por terceiros que respeitam a lei, como Apple e Google—a cumprir com os requisitos legais sob a Diretiva ePrivacy e o GDPR.

A Lei de Cookies exige o consentimento informado dos usuários antes de armazenar cookies no dispositivo de um usuário e/ou rastreá-los. Se você tiver usuários baseados na UE e seu app (ou qualquer serviço de terceiros usado pelo seu app) usar cookies, rastreadores e tecnologias de rastreamento similares:

• Você deve informar os usuários sobre suas atividades de coleta de dados e dar a eles a opção de escolher se é permitido
• Você deve obter consentimento informado antes da instalação desses cookies

Requisitos Relacionados a Cookies na Prática

Você precisará:

• Fornecer uma política de cookies
• Mostrar um banner de cookies no primeiro acesso do usuário
• Bloquear cookies não-isentos antes de obter o consentimento do usuário (e liberá-los apenas após o consentimento informado ter sido fornecido)

Isso geralmente significa ter uma política de cookies válida e uma solução de gerenciamento de consentimento de cookies em vigor.

Requisitos da Política de Cookies

A política de cookies deve:

• Indicar o tipo de cookies instalados (estatísticos, publicitários, etc.)
• Descrever em detalhes o propósito da instalação de cookies
• Indicar todos os terceiros que instalam ou poderiam instalar cookies, com links para suas respectivas políticas e quaisquer formulários de exclusão
• Estar disponível em todos os idiomas nos quais o serviço é fornecido

Requisitos do Banner de Cookies

O banner de cookies deve:

• Informar os usuários sobre quaisquer cookies que seu app use
• Pedir o consentimento do usuário antes de executar esses cookies (e declarar claramente qual ação significará consentimento)
• Ser suficientemente conspícuo para ser perceptível
• Vincular a uma política de cookies que explique o propósito de várias categorias de cookies e terceiros envolvidos

Bloqueando Cookies Não-Isentos Antes do Consentimento

Como o opt-in informado ou consentimento prévio é exigido sob o GDPR e ePrivacy, você precisa de um mecanismo que bloqueie cookies não-isentos até que o usuário tenha dado consentimento através de uma ação afirmativa, como clicar em um botão "Aceitar". Antes do consentimento, nenhum cookie—exceto para cookies isentos—pode ser instalado.

Além disso, se você monetizar seu aplicativo ou seu conteúdo através da execução de anúncios de terceiros, você deve considerar o cumprimento dos padrões da indústria utilizando IAB's Transparency and Consent Framework—que permite aos usuários definir preferências de publicidade e comunica o consentimento do consumidor em redes de anúncios participantes. A falha em fazer isso pode resultar em acesso limitado à rede de anúncios e, em última análise, uma diminuição na receita de anúncios.

Requisitos Especiais para Apps Usados por Crianças

Se seu app está coletando, usando ou divulgando conhecidamente informações pessoais de crianças menores de 13 anos, existem diretrizes especiais que você é legalmente obrigado a seguir sob a grande maioria das legislações, incluindo tanto a lei dos EUA quanto a da UE.

EUA: Requisitos da COPPA

A Lei de Proteção da Privacidade Online de Crianças (COPPA) é uma lei federal dos Estados Unidos que protege os dados pessoais e os direitos de crianças menores de 13 anos. Sob a COPPA, operadores de websites ou serviços online que são direcionados a crianças menores de 13 anos (ou que têm conhecimento real de que estão coletando informações pessoais de crianças menores de 13 anos) devem:

• Dar aviso aos pais
• Obter consentimento verificável antes de coletar, usar ou divulgar informações pessoais
• Manter seguras as informações que coletam de crianças

"Verificável" significa usar um método de obtenção de consentimento que não é facilmente falsificável por uma criança e que é comprovadamente provável de ser dado por um adulto—por exemplo, perguntas de controle ou verificação de cartão de crédito.

Um requisito central desta Lei é ter uma política de privacidade em conformidade com a COPPA em vigor.

UE: Requisitos do GDPR para Crianças

Sob o RGPD da UE, o consentimento é uma das bases legais para o processamento de dados de crianças. Se usar essa base para processar dados de crianças menores de 13 anos, você deve obter consentimento verificável de um pai ou responsável, a menos que o serviço que oferece seja um serviço de prevenção ou aconselhamento.

Você deve fazer esforços razoáveis (usando a tecnologia disponível) para verificar que a pessoa que dá consentimento realmente tem responsabilidade parental pela criança. Além disso, se você se dirige a crianças com mais de 13 anos, deve escrever avisos de privacidade claros e apropriados para a idade, para que entendam a que estão consentindo.

Saiba mais sobre requisitos legais para aplicativos usados por crianças.

Como Tornar Seu App Compatível em Minutos

Criar uma política de privacidade e lidar com consentimento de cookies para seu aplicativo pode ser muito complicado. Soluções da iubenda podem ajudar: O Gerador de Política de Privacidade e a Solução de Gerenciamento de Cookies deles facilitam a conformidade com várias leis e requisitos de plataforma de aplicativos.

As soluções deles são:

• Acessível para desenvolvedores independentes e pequenas equipes
• Elaborado por uma equipe jurídica internacional
• Totalmente personalizável para suas práticas específicas de dados
• Disponível em 8 idiomas
• Sempre atualizado com as principais legislações globais como COPPA, CCPA, RGPD e outras

Conecte-se com um iubenda.com/en/mobile para gerar sua política de privacidade e gerenciar consentimento de cookies para atender aos requisitos do RGPD, CCPA, ePrivacy e das principais lojas de aplicativos.

Criando Aplicativos em Conformidade com Privacidade usando Adalo

Ada, o construtor de IA do Adalo, permite que você descreva o que deseja e gera seu aplicativo. Magic Start cria fundações de aplicativos completas a partir de uma descrição, enquanto Magic Add adiciona recursos através de linguagem natural.

O construtor de aplicativos com IA do Adalo torna fácil integrar conformidade de privacidade em seu aplicativo desde o início. Com Magic Start, você pode gerar fundações completas de aplicativos a partir de descrições—incluindo fluxos de autenticação do usuário que suportam gerenciamento de consentimento. Magic Add permite que você descreva recursos que precisa, como "adicionar uma tela de aceitação de política de privacidade", e a plataforma gera os componentes necessários.

A infraestrutura modular da plataforma se dimensiona para servir aplicativos com milhões de usuários ativos mensais, sem limite superior de registros de banco de dados para planos pagos. Isso significa que seus registros de consentimento de privacidade, preferências do usuário e logs de conformidade podem crescer sem atingir limites de armazenamento—uma limitação comum em outras plataformas.

Ao contrário de plataformas que cobram com base no uso ou registros de banco de dados, os planos pagos do Adalo incluem uso ilimitado sem surpresas na fatura. Você não enfrentará cobranças inesperadas conforme sua base de usuários cresce e gera mais registros de consentimento.

Quer levar seu aplicativo a novos patamares, mas não sabe por onde começar? Obtenha ajuda de uma equipe de classe mundial de especialistas do Adalo que pode ajudá-lo a criar, depurar e garantir que seu aplicativo atenda aos requisitos de conformidade. Você pode até obter coaching individual de um especialista para ajudar a resolver seus problemas—saiba mais.

Principais Conclusões

• Políticas de privacidade são obrigatórias para aprovação na loja de aplicativos e conformidade legal na maioria das jurisdições
• Siga a lei mais rigorosa aplicável—se você se dirige a usuários dos EUA e da UE, os requisitos de opt-in do RGPD devem ser sua linha de base
• O consentimento de cookies requer bloqueio prévio—cookies não isentos não podem ser executados até que os usuários consentam ativamente

Perguntas Frequentes

Por que escolher Adalo em vez de outras soluções de construção de aplicativos?

Adalo é um construtor de aplicativos alimentado por IA que cria verdadeiros aplicativos nativos iOS e Android. Ao contrário de wrappers da web, ele compila para código nativo e publica diretamente em ambas a Apple App Store e Google Play Store a partir de uma única base de código—a parte mais difícil de lançar um aplicativo tratada automaticamente. Os planos pagos incluem registros de banco de dados ilimitados e sem cobranças baseadas em uso.

Qual é a forma mais rápida de construir e publicar um aplicativo na App Store?

A interface de arrastar e soltar do Adalo e as ferramentas de construção assistidas por IA permitem que você vá de uma ideia a um aplicativo publicado em dias em vez de meses. Magic Start gera fundações completas de aplicativos a partir de descrições, e a plataforma lida com o processo complexo de envio para a App Store para que você possa se concentrar em recursos em vez de certificados e perfis de provisionamento.

Posso facilmente tornar meu aplicativo legalmente compatível com leis de privacidade?

Sim. O Adalo se integra com soluções como a iubenda para ajudá-lo a gerar políticas de privacidade e gerenciar consentimento de cookies, garantindo que seu aplicativo atenda aos requisitos do RGPD, CCPA, CalOPPA e diretrizes de loja de aplicativos sem precisar de experiência legal.

Preciso de uma política de privacidade para meu aplicativo móvel?

Sim, tanto a Apple App Store quanto o Google Play exigem que os aplicativos tenham uma política de privacidade válida. Além dos requisitos da plataforma, leis como CalOPPA, CCPA e RGPD exigem legalmente políticas de privacidade para aplicativos que coletam dados pessoais. Sem uma política de privacidade compatível, você corre o risco de rejeição da loja de aplicativos, multas legais e danos à credibilidade do seu aplicativo.

Qual é a diferença entre os requisitos de lei de privacidade dos EUA e da UE?

Leis dos EUA como CalOPPA e CCPA geralmente exigem mecanismos de consentimento opt-out e divulgações específicas sobre práticas de dados. O RGPD da UE é mais rigoroso, exigindo consentimento explícito opt-in por meio de ações afirmativas claras, como marcar caixas. Se seu aplicativo se dirige a usuários em ambas as regiões, siga os requisitos mais rigorosos do RGPD para garantir conformidade em todos os lugares.

Preciso de gerenciamento de consentimento de cookies para meu aplicativo?

Se seu aplicativo usa cookies, rastreadores ou tecnologias similares e tem usuários baseados na UE, você deve estar em conformidade com a Diretiva ePrivacy (Lei de Cookies) e RGPD. Isso significa exibir um banner de cookies, obter consentimento informado antes de instalar cookies não isentos e fornecer uma política de cookies detalhada explicando quais dados você coleta e por quê.

Quais requisitos especiais se aplicam se meu aplicativo for usado por crianças?

Se seu aplicativo coleta dados de crianças menores de 13 anos, você deve estar em conformidade com COPPA nos EUA e disposições do RGPD na UE. Ambos exigem a obtenção de consentimento parental verificável antes de coletar dados de crianças, usando métodos que não possam ser facilmente falsificados por uma criança. Você também precisará de uma política de privacidade compatível com COPPA e avisos de privacidade apropriados para a idade.

Quanto tempo leva para tornar um aplicativo compatível com privacidade?

Usando ferramentas como o Gerador de Política de Privacidade do iubenda, você pode criar uma política de privacidade compatível em minutos. Implementar gerenciamento de consentimento de cookies leva um pouco mais, mas geralmente pode ser concluído em uma tarde. A chave é começar cedo—construir conformidade em seu aplicativo desde o início é mais fácil do que adicionar depois.

O que acontece se meu aplicativo não estiver em conformidade com privacidade?

A não conformidade pode resultar em rejeição da loja de aplicativos, impedindo que seu aplicativo alcance usuários. Além disso, as violações do RGPD podem resultar em multas de até €20 milhões ou 4% do faturamento anual global. As violações do CCPA têm multas de $2.500 por violação não intencional e $7.500 por violação intencional. O dano à reputação de uma violação de privacidade pode ser igualmente custoso.

Os requisitos de privacidade diferem entre aplicativos web e aplicativos móveis nativos?

Os requisitos legais são essencialmente os mesmos—RGPD, CCPA e outras leis de privacidade se aplicam independentemente da plataforma. No entanto, aplicativos móveis nativos publicados na App Store e Google Play enfrentam requisitos adicionais específicos da plataforma. Apple e Google exigem políticas de privacidade e têm suas próprias diretrizes sobre divulgações de coleta de dados que devem ser atendidas para aprovação.