GDPR, CCPA e Lei de Cookies: O que Significam para Você e Seu Aplicativo Móvel

Para desenvolvedores de aplicativos que usam Adalo—uma plataforma sem código para criar aplicativos web baseados em banco de dados e aplicativos nativos para iOS e Android, com uma única versão em todas as três plataformas publicada na Apple App Store e Google Play—compreender esses requisitos legais é essencial antes de lançar qualquer aplicativo que colete dados de usuários.

Este guia aborda tudo o que você precisa saber sobre conformidade de privacidade para aplicativos móveis, desde regulamentações dos EUA e UE até etapas práticas de implementação.

Requisitos Legais Gerais para Aplicativos Móveis

As leis de privacidade em todo o mundo compartilham requisitos comuns para aplicativos que processam dados pessoais. Você deve:

• Fazer divulgações sobre suas atividades de processamento de dados por meio de uma política de privacidade abrangente
• Garantir que medidas de segurança eficazes protejam os dados pessoais
• Implementar métodos para receber o consentimento do usuário ou facilitar sua revogação

Consentimento refere-se ao acordo voluntário e informado de um indivíduo em participar de um evento ou processo específico. Pode ser obtido usando qualquer método que exija do usuário uma ação afirmativa e verificável—caixas de seleção, campos de texto, botões de alternância ou envio de um email de confirmação.

Em geral, os usuários devem ser informados sobre:

• Detalhes do proprietário do aplicativo e informações de contato
• A data de vigência de sua política de privacidade
• Seu processo de notificação para mudanças na política
• Quais dados estão sendo coletados e por quê
• Acesso de terceiros aos seus dados (quem são os terceiros e quais dados estão coletando)
• Seus direitos em relação aos seus dados, incluindo acesso, correção e exclusão

Esses requisitos se aplicam independentemente de como você constrói seu aplicativo. Quer você esteja usando as ferramentas de construção assistidas por IA do Adalo ou métodos de desenvolvimento tradicional, as obrigações legais permanecem as mesmas.

EUA, UE, Internacional: Como Determinar Sua Lei de Referência

Geralmente, as leis de uma região específica se aplicam se:

• Você basear suas operações lá
• Você usar serviços de processamento ou servidores baseados na região
• Seu serviço for direcionado a usuários daquela região

Isso efetivamente significa que as regulamentações regionais podem se aplicar a você e/ou ao seu negócio, esteja você localizado na região ou não. Por essa razão, é sempre uma boa ideia lidar com suas atividades de processamento de dados tendo em mente as regulamentações aplicáveis mais rigorosas.

Aqui está uma regra simples:

• Lei de referência: Cumpra as leis do país em que você baseia suas operações, bem como as do país que seu aplicativo atende
• Idioma de seus documentos: Seus documentos legais devem ser escritos no mesmo idioma de seu aplicativo para que seus usuários possam compreendê-los

Com mais de 3 milhões de aplicativos criados no Adalo e usuários abrangendo mercados globais, a maioria dos desenvolvedores de aplicativos precisa considerar as regulamentações dos EUA e da UE. Vamos examinar os principais requisitos para cada um.

Lei dos EUA: CalOPPA e CCPA

Nos EUA, atualmente não existe um único corpo abrangente de regulamentações de dados nacionais. Várias leis estaduais, diretrizes do setor e leis federais específicas criam um conjunto de requisitos. Como a atividade online de aplicativos raramente se limita a apenas um estado, é sempre melhor aderir às regulamentações aplicáveis mais rigorosas—como aquelas implementadas pela Califórnia.

Lei de Proteção da Privacidade Online da Califórnia (CalOPPA)

CalOPPA foi a primeira lei estadual a tornar as políticas de privacidade obrigatórias. Ela se aplica a qualquer pessoa ou empresa cujo site ou aplicativo processa dados pessoais de residentes da Califórnia. Além das divulgações geralmente exigidas acima, CalOPPA exige que você:

• Publique sua política de privacidade na página inicial do seu site/aplicativo
• Inclua uma descrição do processo pelo qual os usuários podem solicitar alterações aos dados pessoais (se tal processo existir)
• Inclua uma declaração sobre como as solicitações "Não Rastreie" são tratadas
• Notifique os usuários afetados em caso de violações de segurança que impactem seus dados

Em relação ao consentimento, a lei dos EUA geralmente exige que você dê aos usuários uma opção clara para revogar o consentimento (exclusão). Diferentes regras se aplicam, entretanto, em casos envolvendo "dados sensíveis"—informações de saúde, relatórios de crédito, dados de estudantes ou informações pessoais de crianças menores de 13 anos. Nesses casos, deve haver uma ação de aceitação verificável, como marcar uma caixa ou alguma outra ação afirmativa.

Lei de Privacidade do Consumidor da Califórnia (CCPA)

A CCPA complementa mas não substitui a CalOPPA—ambas ainda se aplicam. Totalmente aplicável desde 1º de julho de 2020, a CCPA aprimora os direitos de privacidade dos consumidores para residentes da Califórnia.

Sob a CCPA, negócios que visam consumidores californianos devem incluir divulgações específicas em suas políticas de privacidade:

• Descrições dos direitos do consumidor
• Parceiros de processamento e seus objetivos
• Fontes de dados e categorias coletadas
• Informações sobre vendas ou compartilhamento de dados

Os usuários da Califórnia precisam ser informados sobre a possibilidade de seus dados serem vendidos. Você pode pensar em "vendidos" aqui como "compartilhados com terceiros para qualquer lucro, monetário ou não." A divulgação precisa ser visível na página inicial e deve incluir um link de exclusão (DNSMPI).

Você pode ler mais sobre o CCPA aqui.

Lei da UE: GDPR e Diretiva de Privacidade Eletrônica (Lei de Cookies)

O GDPR especifica como os dados pessoais devem ser processados legalmente e pode se aplicar a você, independentemente de sua empresa estar baseada na UE ou não. Se seu aplicativo puder ser usado por usuários da UE (ou você estiver baseado na UE), o GDPR se aplica a você.

Requisitos de Consentimento do GDPR

Comparado às regulamentações dos EUA, o GDPR é mais rigoroso quando se trata de consentimento. O consentimento sob o GDPR deve ser "explícito e livremente dado." Isso significa que o mecanismo para obter consentimento deve ser inequívoco e envolver uma ação clara de "consentimento". A regulamentação especificamente proíbe caixas pré-marcadas e mecanismos similares de "exclusão".

Você pode ler mais sobre o GDPR aqui.

Diretiva de Privacidade Eletrônica (Lei de Cookies)

Os usuários da UE precisam ser informados sobre o uso de cookies e ter a opção de consentir ou recusar. A Diretiva de Privacidade Eletrônica exige o consentimento informado dos usuários antes de armazenar cookies no dispositivo de um usuário e rastreá-los. Se seu aplicativo (ou qualquer serviço de terceiros usado por seu aplicativo) usar cookies, você deve obter consentimento válido antes da instalação.

Isso se aplica a aplicativos criados em qualquer plataforma. Quando você publica seu aplicativo Adalo na App Store e Google Play, esses requisitos de consentimento de cookies acompanham seu aplicativo em ambas as lojas.

Requisitos de Política de Privacidade

Segundo as leis da maioria dos países, é obrigatório que você divulgue detalhes relacionados à privacidade e às suas atividades de processamento de dados. Aplicativos móveis não são exceção — eles são obrigados a fornecer uma política de privacidade e, se usarem cookies e tecnologias de rastreamento similares, uma política de cookies.

Para estar em conformidade, sua política deve ser:

• Atualizada com as práticas de dados atuais
• Compreensível em linguagem simples
• Inequívoca sobre quais dados você coleta e por quê
• Facilmente acessível em todo o aplicativo

Você pode ser ainda responsável por fazer divulgações adicionais para usuários, terceiros e autoridades supervisoras, dependendo de sua lei de referência.

Sem uma Política de Privacidade, Você Corre Risco de Rejeição na App Store

Ambas as Apple App Store e Google Play exigem que os aplicativos tenham uma política de privacidade válida e sigam a lei aplicável. A falha em fazer isso pode resultar em multas massivas, rejeição da app store, deixá-lo aberto a litígios e afetar negativamente a credibilidade do seu aplicativo.

Isso é particularmente importante para construtores que usam plataformas como Adalo que publicam diretamente em ambas as app stores a partir de uma única base de código. Sua política de privacidade precisa satisfazer os requisitos da Apple e do Google simultaneamente.

Requisitos de Privacidade do App iOS

O App Store Connect exige uma política de privacidade para todos os aplicativos novos e atualizações de aplicativos. O Artigo 5.1 das Diretrizes de Análise da App Store da Apple fornece uma visão geral das diretrizes de privacidade da Apple e dos motivos para rejeição quando essas condições não são atendidas.

Artigo 5.1.1 sobre Coleta e Armazenamento de Dados especifica:

(i) Políticas de Privacidade: Todos os aplicativos devem incluir um link para sua política de privacidade no campo de metadados do App Store Connect e dentro do aplicativo de uma maneira facilmente acessível. A política de privacidade deve esclarecer e explicitamente:

• Identificar quais dados, se houver, o aplicativo/serviço coleta, como coleta esses dados e todos os usos desses dados
• Confirmar que qualquer terceiro com quem um aplicativo compartilha dados do usuário — como ferramentas de análise, redes publicitárias e SDKs de terceiros, bem como qualquer entidade-mãe, subsidiária ou outra entidade relacionada — fornecerá a mesma ou igual proteção de dados do usuário conforme declarado na política de privacidade do aplicativo
• Explicar políticas de retenção/exclusão de dados e descrever como um usuário pode revogar consentimento e/ou solicitar a exclusão de seus dados

O link ou texto da política de privacidade do seu aplicativo só será editável quando você enviar uma nova versão do seu aplicativo. Com atualizações de aplicativo ilimitadas do Adalo em planos pagos, você pode revisar e republicar sempre que suas práticas de privacidade mudarem.

Leia mais sobre Política de Privacidade para Aplicativos iOS.

Requisitos de Privacidade do Aplicativo Android

O Google Play exige explicitamente que um link para uma política de privacidade seja visível na página de listagem da sua app store e dentro do seu aplicativo nos casos em que:

• Seu aplicativo processa dados pessoais ou sensíveis do usuário, conforme definido nas políticas de dados do usuário (incluindo informações de identificação pessoal, informações financeiras e de pagamento, informações de autenticação, dados de agenda ou contato, dados de sensor de microfone e câmera, e dados sensíveis do dispositivo)
• Seu app está no programa "Desenvolvido para Famílias" (independentemente do acesso a permissões ou dados sensíveis)

No entanto, é fundamental observar que, independentemente dos requisitos da plataforma, sob a grande maioria das legislações—particularmente a CalOPPA da Califórnia, a CCPA e o GDPR—avisos de privacidade são legalmente obrigatórios independentemente dos mandatos específicos do Google.

Se seu app Android processa dados pessoais por motivos não relacionados à sua funcionalidade, você é obrigado a fazer divulgações adicionais e facilmente visíveis sobre esse uso e coletar o consentimento do usuário quando necessário.

Leia mais sobre Política de Privacidade para Apps Android.

Cookies, Rastreadores e Tecnologias Similares

Muitos desenvolvedores de apps usam cookies dentro do app ou no site do seu app para tudo, desde estatísticas de uso até anúncios de remarketing. Se você usar cookies nãoisentos (cookies estatísticos, publicitários ou de criação de perfil) e tiver usuários com base na UE, você é obrigado por lei—e por terceiros que respeitam a lei, como Apple e Google—a cumprir os requisitos legais da Diretiva de Privacidade Eletrônica e do GDPR.

A Lei de Cookies exige o consentimento informado dos usuários antes de armazenar cookies no dispositivo de um usuário e/ou rastreá-los. Se você tiver usuários com base na UE e seu app (ou qualquer serviço de terceiros usado pelo seu app) usa cookies, rastreadores e tecnologias de rastreamento similares:

• Você deve informar os usuários sobre suas atividades de coleta de dados e dar a eles a opção de escolher se é permitido
• Você deve obter consentimento informado antes da instalação desses cookies

Requisitos Relacionados a Cookies na Prática

Você precisará:

• Fornecer uma política de cookies
• Mostrar um banner de cookies no primeiro acesso do usuário
• Bloquear cookies não isentos antes de obter o consentimento do usuário (e liberá-los apenas após o consentimento informado ter sido fornecido)

Isso geralmente significa ter uma política de cookies válida e uma solução de gerenciamento de consentimento de cookies em vigor.

Requisitos da Política de Cookies

A política de cookies deve:

• Indicar o tipo de cookies instalados (estatísticos, publicitários, etc.)
• Descrever em detalhes o propósito da instalação de cookies
• Indicar todos os terceiros que instalam ou podem instalar cookies, com links para suas respectivas políticas e qualquer formulário de exclusão
• Estar disponível em todos os idiomas nos quais o serviço é oferecido

Requisitos do Banner de Cookies

O banner de cookies deve:

• Informar os usuários sobre quaisquer cookies que seu app usa
• Pedir o consentimento do usuário antes de executar esses cookies (e declarar claramente qual ação significará consentimento)
• Ser suficientemente conspícuo para ser notado
• Vincular a uma política de cookies que explique o propósito de várias categorias de cookies e terceiros envolvidos

Bloqueando Cookies Não Isentos Antes do Consentimento

Como o opt-in informado ou consentimento prévio é exigido sob o GDPR e ePrivacy, você precisa de um mecanismo que bloqueie cookies não isentos até que o usuário tenha dado consentimento por meio de uma ação afirmativa, como clicar em um botão "Aceitar". Antes do consentimento, nenhum cookie—exceto cookies isentos—pode ser instalado.

Além disso, se você monetizar seu aplicativo ou seu conteúdo executando anúncios de terceiros, você deve considerar o cumprimento de padrões da indústria utilizando IAB's Transparency and Consent Framework—que permite aos usuários definir preferências de publicidade e comunicar o consentimento do consumidor entre redes de anúncios participantes. Falhar em fazer isso pode resultar em acesso limitado à rede de anúncios e, em última análise, uma diminuição na receita de anúncios.

Requisitos Especiais para Apps Usados por Crianças

Se seu app está conscientemente coletando, usando ou divulgando informações pessoais de crianças menores de 13 anos, há diretrizes especiais que você é legalmente obrigado a seguir sob a grande maioria das legislações, incluindo as leis dos EUA e da UE.

EUA: Requisitos da COPPA

A Lei de Proteção da Privacidade Online de Crianças (COPPA) é uma lei federal dos Estados Unidos que protege os dados pessoais e os direitos de crianças menores de 13 anos. De acordo com a COPPA, operadores de sites ou serviços online que são direcionados a crianças menores de 13 anos (ou que têm conhecimento real de que estão coletando informações pessoais de crianças menores de 13 anos) devem:

• Notificar os pais
• Obter consentimento verificável antes de coletar, usar ou divulgar informações pessoais
• Manter seguras as informações que coletam de crianças

"Verificável" significa usar um método de obtenção de consentimento que não seja facilmente falsificável por uma criança e que seja demonstravelmente provável de ser fornecido por um adulto—por exemplo, perguntas de controle ou verificação de cartão de crédito.

Um requisito central desta Lei é ter uma política de privacidade compatível com a COPPA em vigor.

UE: Requisitos do GDPR para Crianças

De acordo com o GDPR da UE, o consentimento é uma das bases legais para o processamento de dados de crianças. Se usar essa base para processar dados de crianças menores de 13 anos, você deve obter consentimento verificável de um pai ou responsável, a menos que o serviço oferecido seja um serviço preventivo ou de aconselhamento.

Você deve fazer esforços razoáveis (usando a tecnologia disponível) para verificar que a pessoa que está dando consentimento realmente tem responsabilidade parental sobre a criança. Além disso, se você se dirigir a crianças maiores de 13 anos, deve escrever avisos de privacidade claros e apropriados para a idade para que entendam com o que estão concordando.

Saiba mais sobre requisitos legais para aplicativos usados por crianças.

Como Tornar Seu Aplicativo Compatível em Minutos

Criar uma política de privacidade e gerenciar consentimento de cookies para seu aplicativo pode ser uma dor de cabeça séria. As soluções da iubenda podem ajudar: o Gerador de Política de Privacidade e a Solução de Gerenciamento de Cookies facilitam a conformidade com várias leis e requisitos de plataformas de aplicativos.

As soluções deles são:

• Acessíveis para desenvolvedores independentes e pequenos times
• Redigidas por uma equipe jurídica internacional
• Totalmente personalizáveis para suas práticas específicas de dados
• Disponíveis em 8 idiomas
• Sempre atualizadas com as principais legislações globais como COPPA, CCPA, GDPR e outras

Visite iubenda.com/en/mobile para gerar sua política de privacidade e gerenciar consentimento de cookies para atender ao GDPR, CCPA, ePrivacy e principais requisitos de lojas de aplicativos.

Construindo Aplicativos em Conformidade com Privacidade com Adalo

Ada, o construtor de IA do Adalo, permite descrever o que você quer e gera seu app. Magic Start cria fundações completas de app a partir de uma descrição, enquanto Magic Add adiciona recursos através de linguagem natural.

O construtor de aplicativos alimentado por IA do Adalo torna simples integrar conformidade de privacidade em seu aplicativo desde o início. Com Magic Start, você pode gerar fundações de aplicativos completos a partir de descrições — incluindo fluxos de autenticação de usuário que suportam gerenciamento de consentimento. Magic Add permite que você descreva recursos necessários, como "adicionar uma tela de aceitação de política de privacidade", e a plataforma gera os componentes necessários.

A infraestrutura modular da plataforma se dimensiona para servir aplicativos com milhões de usuários ativos mensais, sem limite máximo em registros de banco de dados para planos pagos. Isso significa que seus registros de consentimento de privacidade, preferências de usuários e logs de conformidade podem crescer sem atingir limites de armazenamento — uma restrição comum em outras plataformas.

Diferentemente de plataformas que cobram com base em uso ou registros de banco de dados, os planos pagos do Adalo incluem uso ilimitado sem surpresas na fatura. Você não enfrentará cobranças inesperadas conforme sua base de usuários cresce e gera mais registros de consentimento.

Quer levar seu aplicativo a novos patamares, mas não sabe por onde começar? Obtenha ajuda de um time de classe mundial de especialistas do Adalo que pode ajudá-lo a construir, depurar e garantir que seu aplicativo atenda aos requisitos de conformidade. Você pode até obter coaching 1:1 de um especialista para ajudar a resolver seus problemas —saiba mais.

Principais Conclusões

• Políticas de privacidade são obrigatórias para aprovação na loja de aplicativos e conformidade legal na maioria das jurisdições
• Siga a lei mais rigorosa aplicável— se você se dirigir a usuários nos EUA e na UE, os requisitos de opt-in do GDPR devem ser sua base mínima
• O consentimento de cookies requer bloqueio prévio— cookies não isentos não podem ser executados até que os usuários consentem ativamente

Perguntas Frequentes

Por que escolher Adalo em vez de outras soluções de construção de aplicativos?

O Adalo é um construtor de apps alimentado por IA que cria verdadeiros apps iOS e Android nativos. Ao contrário de wrappers web, ele compila para código nativo e publica diretamente na Apple App Store e Google Play Store a partir de uma única base de código — a parte mais difícil do lançamento de um app é feita automaticamente. Os planos pagos incluem registros ilimitados de banco de dados e sem cobranças baseadas em uso.

Qual é a forma mais rápida de construir e publicar um aplicativo na App Store?

A interface de arrastar e soltar do Adalo e as ferramentas de construção assistidas por IA permitem que você vá da ideia ao aplicativo publicado em dias em vez de meses. Magic Start gera fundações de aplicativos completos a partir de descrições, e a plataforma gerencia o complexo processo de envio da App Store para que você possa se concentrar em recursos em vez de certificados e perfis de provisionamento.

Posso facilmente tornar meu aplicativo legalmente compatível com leis de privacidade?

Sim. O Adalo se integra com soluções como a iubenda para ajudá-lo a gerar políticas de privacidade e gerenciar consentimento de cookies, garantindo que seu aplicativo atenda aos requisitos de GDPR, CCPA, CalOPPA e diretrizes de lojas de aplicativos sem precisar de conhecimento jurídico.

Preciso de uma política de privacidade para meu aplicativo móvel?

Sim, tanto a Apple App Store quanto o Google Play exigem que os aplicativos tenham uma política de privacidade válida. Além dos requisitos de plataforma, leis como CalOPPA, CCPA e GDPR obrigam legalmente políticas de privacidade para aplicativos que coletam dados pessoais. Sem uma política de privacidade em conformidade, você corre o risco de rejeição da loja de aplicativos, multas legais e danos à credibilidade do seu aplicativo.

Qual é a diferença entre os requisitos de leis de privacidade dos EUA e da UE?

Leis dos EUA como CalOPPA e CCPA geralmente exigem mecanismos de consentimento de opt-out e divulgações específicas sobre práticas de dados. O GDPR da UE é mais rigoroso, exigindo consentimento explícito de opt-in através de ações afirmativas claras como marcar caixas. Se seu aplicativo se dirige a usuários em ambas as regiões, siga os requisitos mais rigorosos do GDPR para garantir conformidade em todos os lugares.

Preciso de gerenciamento de consentimento de cookies para meu aplicativo?

Se seu aplicativo usa cookies, rastreadores ou tecnologias semelhantes e tem usuários com base na UE, você deve cumprir a Diretiva de Privacidade Eletrônica (Lei de Cookies) e GDPR. Isso significa exibir um banner de cookies, obter consentimento informado antes de instalar cookies não isentos e fornecer uma política de cookies detalhada explicando quais dados você coleta e por quê.

Quais requisitos especiais se aplicam se meu aplicativo é usado por crianças?

Se seu aplicativo coleta dados de crianças menores de 13 anos, você deve cumprir com COPPA nos EUA e disposições de GDPR na UE. Ambos exigem obter consentimento parental verificável antes de coletar dados de crianças, usando métodos que não possam ser facilmente falsificados por uma criança. Você também precisará de uma política de privacidade compatível com COPPA e avisos de privacidade apropriados para a idade.

Quanto tempo leva para tornar um aplicativo em conformidade com privacidade?

Usando ferramentas como o Gerador de Política de Privacidade da iubenda, você pode criar uma política de privacidade em conformidade em minutos. Implementar gerenciamento de consentimento de cookies leva um pouco mais, mas geralmente pode ser concluído em uma tarde. A chave é começar cedo — construir conformidade em seu aplicativo desde o início é mais fácil do que adaptá-la depois.

O que acontece se meu aplicativo não estiver em conformidade com privacidade?

A falta de conformidade pode resultar em rejeição da loja de aplicativos, impedindo que seu aplicativo alcance os usuários inteiramente. Além disso, violações de GDPR podem resultar em multas de até € 20 milhões ou 4% do faturamento anual global. Violações de CCPA resultam em multas de $ 2.500 por violação não intencional e $ 7.500 por violação intencional. O dano à reputação de uma violação de privacidade pode ser igualmente custoso.

Os requisitos de privacidade diferem entre aplicativos web e aplicativos móveis nativos?

Os requisitos legais são essencialmente os mesmos — GDPR, CCPA e outras leis de privacidade se aplicam independentemente da plataforma. No entanto, aplicativos móveis nativos publicados na App Store e Google Play enfrentam requisitos adicionais específicos da plataforma. Apple e Google exigem políticas de privacidade e têm suas próprias diretrizes sobre divulgações de coleta de dados que devem ser atendidas para aprovação.