В чем разница между CCPA, GDPR и LGPD?

При тестировании рекламы в мобильных приложениях очень важно знать и разбираться в регламентах CCPA, GDPR и LGPD. Их общая цель – сделать процессы сбора, хранения и обработки персональных данных пользователей максимально прозрачными и таргетировать рекламу через доступ к персональным данным, к которым пользователь дал доступ и разрешение. К сожалению не существует единого регламента, общепринятого во всем мире, поэтому мы поговорим о трех, принятых в Калифорнии, ЕС и Бразилии.

CCPA – California Consumer Privacy Act – закон, вступивший в силу 1 января 2020 года, направленный на укрепление прав на неприкосновенность частной жизни и защиту прав потребителей для жителей Калифорнии. Пользователь, принимая согласие, разрешает продажу его персональных данных другим компаниям. Если же не согласен, то может отказаться от передачи информации, однако работать с приложением тоже не сможет.

GDPR – General Data Protection Regulation, GDPR – регламент регулирует сбор и обработку информации о физических лицах — гражданах Европейской экономической зоны и Швейцарии. Он призван усилить защиту конфиденциальных данных и сделать прозрачными все элементы сбора, хранения и обработки информации в интернете.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, которые обрабатывают персональные данные граждан Европейской экономической зоны и Швейцарии, независимо от местонахождения такой компании.

Особенность данного регламента состоит в том, что пользователь может разрешить обработку его персональных данных, запретить, а также настроить согласие. Вне зависимости от выбора, работать с приложением пользователю никто не запрещает.

LGPD – The Lei Geral de Proteção de Dados (Общий закон о защите данных в Бразилии, LGPD) – новый закон о конфиденциальности в Бразилии, который вступил в силу 16 августа 2020 года. Он применился к обработке персональных данных (включая онлайн-идентификаторы) пользователей, находящихся в Бразилии, а также к передаче информации третьим лицам. Если же пользователь не согласен, то может отказаться от передачи информации, однако работать с приложением тоже не сможет.

Резонный вопрос: что делать с этим тестировщику?

При входе в приложение пользователю должен показаться экран с той или иной политикой в зависимости от места его пребывания. Например, пользователь открывает приложение в Бразилии, соответственно ему покажется LGPD. После того, как пользователь что-то выбирает на экране с политикой, информация о выборе пользователя сохраняется на клиенте и передается рекламным сеткам.

Во время тестирования стоит не забыть про следующие моменты:

• показывается та или иная политика в зависимости от выбранного региона (для смены региона можно пользоваться VPN);
• сценарий использования при согласии обработки персональных данных;
• сценарий использования при несогласии обработки персональных данных (проверяем, что результат сохраняется, использование приложения может быть ограничено);
• сценарий использования при кастомизации обработки персональных данных (только для GDPR);
• при старте приложения в новом регионе показывать соглашение соответствующее региону пользователя;
• нет возможности закрыть/смахнуть/скипнуть экран с политикой, не выбрав ничего.

Обсудить статью, узнать больше можно в телеграм канале «Тестировщики нужны».