保護DataHogo
Enciclopedia de Seguridad/Mejores Prácticas de Privacidad
lowCWE-16

Recopilación Excesiva de Datos

Recopilar más datos personales de los necesarios viola el principio de minimización de datos del GDPR y aumenta tu responsabilidad cuando ocurre una brecha.

Cómo Funciona

El principio de minimización de datos del GDPR (Artículo 5) requiere recopilar solo datos que sean 'adecuados, pertinentes y limitados a lo necesario'. Recopilar números de teléfono para un servicio que nunca llama a los usuarios, o guardar fechas de nacimiento completas cuando solo necesitas verificar la edad, viola este principio y expande innecesariamente tu responsabilidad en caso de brecha.

Código Vulnerable
// MAL: recopilando datos que no son necesarios para el servicio
const userSchema = z.object({
  email: z.string().email(),
  password: z.string(),
  fullName: z.string(),       // ¿necesario? ¿o solo nombre de pantalla?
  phoneNumber: z.string(),    // ¿alguna vez llamas a los usuarios?
  dateOfBirth: z.string(),    // ¿necesitas la DOB exacta o solo verificación de edad?
  address: z.string(),        // ¿para un SaaS sin entrega física?
});
Código Seguro
// BIEN: recopila solo lo que realmente necesitas
const userSchema = z.object({
  email: z.string().email(),    // para login y comunicación
  password: z.string(),
  displayName: z.string(),      // para personalización
  // teléfono, DOB, dirección: solo si tu servicio realmente los necesita
});

Ejemplo Real

Múltiples acciones de cumplimiento del GDPR han apuntado a empresas por recopilar datos excesivos 'por si acaso'. Cuando estas empresas sufrieron brechas posteriormente, la recopilación excesiva de datos multiplicó el número de personas afectadas y la gravedad de las penalizaciones regulatorias.

Cómo Prevenirlo

  • Audita cada campo en tus formularios de registro y perfil de usuario — ¿puedes lograr tu objetivo sin él?
  • Usa verificaciones de restricción de edad en vez de guardar fechas de nacimiento completas si solo necesitas verificar la edad
  • Elimina datos que recopilaste históricamente pero que ya no necesitas
  • Documenta tu base legal para cada campo de datos recopilado (interés legítimo, consentimiento, necesidad contractual)

Tecnologías Afectadas

Node.js

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Sin Política de Privacidad

low

Operar sin una política de privacidad viola GDPR, CCPA y regulaciones similares — y hace que los usuarios desconfíen justificadamente del manejo de sus datos.

CWE-16

Sin Términos de Servicio

low

Sin términos de servicio, no tienes base legal para restringir el abuso, terminar cuentas o limitar tu responsabilidad por contenido generado por usuarios.

CWE-16

Sin Eliminación de Cuenta

medium

No ofrecer eliminación de cuenta viola el derecho de supresión del GDPR y el derecho a eliminar del CCPA — y es una señal de alerta de privacidad significativa para los usuarios.

CWE-16

Sin Banner de Cookies

low

Establecer cookies no esenciales sin consentimiento del usuario viola los requisitos del GDPR y la Directiva ePrivacy para usuarios de la UE.

CWE-16