Visão geral: este artigo é para o uso de clientes da AppsFlyer, também conhecidos como anunciantes ou proprietários de aplicativos, que usam a plataforma para registrar o uso e a atribuição de aplicativos. Os proprietários de aplicativos implementam a API OpenGDPR para cumprir as leis de proteção de dados aplicáveis, como GDPR (Europa), CCPA (Califórnia), LGPD (Brasil) e PDPA (Tailândia).
Um recado dos nossos advogados: o conteúdo aqui mencionado não é orientação jurídica. Ele serve apenas para sua informação e conveniência. Você deve trabalhar estreitamente com assessores legais e de outras áreas profissionais para definir exatamente como a GDPR, CCPA ou quaisquer outras leis podem ou não se aplicar a você. A relação de privacidade entre você e a AppsFlyer é definida pela Política de Privacidade dos Serviços da AppsFlyer. Para quaisquer dúvidas relacionadas à Política de Privacidade dos Serviços ou para entrar em contato com nosso responsável pela proteção de dados, envie um e-mail para: privacy@appsflyer.com.Para efeitos do artigo 27 do Regulamento Geral de Proteção de Dados (GDPR), o representante da UE da AppsFlyer é a AppsFlyer Germany GmbH Kufürstendamm 11, c/o WeWork, 10719 Berlin, Alemanha (entre em contato com privacy@appsflyer.com; +49-30-3119-9129)
Regulamentos de privacidade
Neste artigo, as referências aos regulamentos de privacidade incluem os regulamentos mencionados na tabela a seguir.
| Regulamento | Logotipo | Descrição |
|---|---|---|
| GDPR |  |
O Regulamento Geral de Proteção de Dados é o regulamento da UE relativo à proteção e privacidade de dados para os cidadãos da União Europeia. |
| CCPA |  |
Lei de Privacidade do Consumidor da Califórnia |
| LGPD |  |
Lei Geral de Proteção de Dados Pessoais |
| PDPA |  |
Lei de Proteção de Dados Pessoais |
Os termos de regulamentos de privacidade, GDPR, CCPA e LGPD são usados de forma intercambiável neste artigo.
A iniciativa OpenGDPR
Para atender e gerenciar solicitações dos titulares dos dados conforme os regulamentos de privacidade, a AppsFlyer, juntamente com mParticle, Amplitude e Braze, iniciou o protocolo OpenGDPR.
OpenGDPR é uma estrutura unificada e livre, que facilita a cooperação entre empresas de tecnologia para o uso justo e transparente de dados do cliente. Ela possibilita aos fornecedores tomar ações sobre a privacidade de dados com facilidade em vários sistemas para processar e armazenar dados do cliente.
Leia mais sobre a iniciativa aqui.
Definições
| Termo GDPR | Termo AppsFlyer | Descrição |
|---|---|---|
| Pessoa em causa | Usuário do aplicativo ou Usuário final | O usuário do aplicativo sobre quem os dados são coletados |
| Controlador de dados | Proprietário do aplicativo ou anunciante | O proprietário do aplicativo determina o propósito e os meios pelos quais os dados pessoais são processados. |
| Processador de dados | AppsFlyer e seus parceiros | A AppsFlyer e seus parceiros processam dados pessoais em nome do controlador de dados |
Requisitos do GDPR
O GDPR detalha os direitos obrigatórios do titular dos dados, com os quais o controlador dos dados deve cumprir. Para fins de API, esses direitos são traduzidos em tipos de solicitação. Veja a seguir como a AppsFlyer processa os diferentes tipos de solicitação.
|
Tipo de solicitação (Direito) |
Definição do GDPR |
Processamento da solicitação pela AppsFlyer |
|---|---|---|
|
Acesso |
|
Os proprietários do aplicativo recebem uma cópia dos dados pessoais processados dos usuários do aplicativo. |
|
Portabilidade |
O usuário do aplicativo precisa receber todos os seus dados pessoais em um formato estruturado, comumente usado e legível pela máquina, como um arquivo CSV. |
O proprietário do aplicativo recebe umacópia dos dados pessoais processados pelo usuário do aplicativo. |
|
Retificação |
Permite que os usuários do aplicativo corrijam seus dados caso percebam que estão imprecisos ou inverídicos. Os proprietários devem apagar ou corrigir dados imprecisos ou incompletos. |
|
|
Exclusão |
O direito de exclusão requer que os proprietários do aplicativo removam dados pessoais até 14 dias após o recebimento da solicitação. |
Os dados são excluídos |
API de solicitações do GDPR da AppsFlyer
Use a API de Solicitações de GDPR conforme descrito nesta seção para implementar compliance com GDPR.
- Solicitação do GDPR: executar um dos tipos de solicitação acima: "acesso", "portabilidade", "exclusão" ou "retificação".
- Solicitação de status – consultar o status atual de uma solicitação do GDPR
- Solicitação de descoberta: questionar a versão da API e o formato de dados compatíveis
- Cancelamento: cancelar uma solicitação do GDPR durante sua fase pendente.
Os proprietários do aplicativo devem implementar alterações de UI em seus aplicativos, para que os usuários possam enviar solicitações. Observe que as solicitações de GDPR são para um usuário por vez.
1. Solicitação do GDPR
Fluxo da solicitação do GDPR
Todos os tipos de solicitação do GDPR, acesso, portabilidade, exclusão e retificação possuem o mesmo fluxo:
- O usuário do aplicativo envia uma solicitação.
- O proprietário do aplicativo cria a solicitação GDPR (veja abaixo) e a envia para a AppsFlyer.
- A AppsFlyer recebe a solicitação e responde com "201 OK" para solicitações válidas.
- Durante as 48 horas seguintes, a solicitação fica na fila com o status pendente. O usuário do aplicativo pode cancelar a solicitação.
- Após 48 horas, o status da solicitação muda para in_progress. A AppsFlyer envia um postback 'alteração de status'. A solicitação não pode ser cancelada.
- a) No prazo de 14 dias, a AppsFlyer atende à solicitação.
Em caso de apagamento ou retificação, os dados do Usuário do Aplicativo são excluídos.
No caso de portabilidade ou acesso, os dados do Usuário do Aplicativo podem ser acessados no painel da AppsFlyer sob GDPR ou através da API de Solicitação (veja abaixo).
b) O status da solicitação é atualizado para concluído. A AppsFlyer envia um postback de alteração de status.
Formato da solicitação do GDPR
Uma API de solicitação do GDPR pode ser enviada por meio de HTTP POST ao seguinte endpoint –
https://hq1.appsflyer.com/gdpr/opengdpr_requests?api_token=[api token]O token de API é o mesmo token de API usado para a Pull API. O usuário administrador recupera o token da Pull API na página token da API no Painel.
| Nome da propriedade | Obrigatório | Descrição |
|---|---|---|
| subject_request_id | Sim | String UUID v4. Gerado pelo controlador no momento do envio da solicitação a um Processador. Em seguida, pode ser usado para verificar o status da solicitação, atualizá-la ou cancelá-la. |
| subject_request_type | Sim |
Valor de string que representa o tipo de solicitação do GDPR. Valores suportados:
|
| subject_identities | Sim |
|
| submitted_time | Sim |
|
| property_id | Sim |
String que representa o aplicativo móvel para o qual essa solicitação está direcionado Exemplos:
|
| api_version | Não | String de versão que representa a versão desejada da API de solicitação do GDPR |
| status_callback_urls | Sim |
|
| Tipo de objeto | Obrigatório | Descrição |
|---|---|---|
| identity_type | Sim |
|
| identity_value | Sim |
|
| identity_format | Sim |
|
Exemplo de solicitação de cancelamento do GDPR
curl --location --request POST 'https://hq1.appsflyer.com/gdpr/opengdpr_requests?api_token=[api_token]' \
--header 'Accept: application/json' \
--header 'Content-Type: application/json' \
--data-raw '{{
"subject_request_id":"f4e5a271-f25e-4107-b681-************",
"subject_request_type":"erasure",
"submitted_time":"2020-07-05T10:00:00Z",
"subject_identities":[
{
"identity_type":"android_advertising_id",
"identity_value":"55*****-****-****-************",
"identity_format":"raw"
}
],
"api_version":"0.1",
"property_id":"com.*********.*******.********",
"status_callback_urls":[
"https://examplecontroller.com/opengdpr_callbacks"
]
}}'
Exemplo de código da solicitação de apagamento do GDPR
/*
using the okhttp package install from maven
https://mvnrepository.com/artifact/com.squareup.okhttp3/okhttp
*/
import okhttp3.*;
import java.io.IOException;
public class GdprSendRequest {
public static void main(String[] args){
OkHttpClient client = new OkHttpClient();
RequestBody body = RequestBody.create(null, "" +
"{\r\n\"subject_request_id\": \"<SUBJECT_ID>\"," +
"\r\n\"subject_request_type\": \"erasure\"," +
"\r\n\"submitted_time\": \"2018-11-02T15:00:00Z\"," +
"\r\n\"subject_identities\": [\r\n" +
"{\r\n\"identity_type\": \"android_advertising_id\"," +
"\r\n\"identity_value\": \"<ADVERTISING_ID>\"," +
"\r\n\"identity_format\": \"raw\"\r\n}" +
"\r\n]," +
"\r\n\"property_id\": \"com.example.application\"}");
Request request = new Request.Builder()
.url("https://hq1.appsflyer.com/gdpr/opengdpr_requests?api_token=<API_TOKEN>")
.post(body)
.addHeader("Content-Type", "application/json")
.addHeader("Accept", "application/json")
.build();
try {
Response response = client.newCall(request).execute();
System.out.println(response.code());
System.out.println(response.body().string());
System.exit(0);
} catch (IOException e) {
e.printStackTrace();
System.exit(1);
}
}
}
""" using the requests python package,
install using pip install requests """
import requests
import json
headers = {
"Content-Type": "application/json",
"Accept": "application/json"
}
params = {
"api_token": ""
}
body = {
"subject_request_id": "",
"subject_request_type": "erasure",
"submitted_time": "2018-10-02T15:00:00Z",
"subject_identities": [
{ "identity_type": "android_advertising_id",
"identity_value": "",
"identity_format": "raw" }
],
"property_id": "com.example.application"
}
body = json.dumps(body)
res = requests.request("POST",
"https://hq1.appsflyer.com/gdpr/opengdpr_requests",
headers=headers, data=body, params=params)
print(res.text)
/* using the request npm package,
install using npm install request */
var request = require("request");
var options = { method: 'POST',
url: 'https://hq1.appsflyer.com/gdpr/opengdpr_requests',
qs: { api_token: '' },
headers:
{ Accept: 'application/json',
'Content-Type': 'application/json' },
body:
{ subject_request_id: '<SUBJECT_ID>',
subject_request_type: 'erasure',
submitted_time: '2018-10-02T15:00:00Z',
subject_identities:
[ { identity_type: 'android_advertising_id',
identity_value: '<ADVERTISING_ID>',
identity_format: 'raw' } ],
property_id: 'com.example.application'
},
json: true };
request(options, function (error, response, body) {
if (error) throw new Error(error);
console.log(body);
});
using System;
using RestSharp;
namespace CS
{
class Gdpr
{
static void Main(string[] args)
{
var url = "https://hq1.appsflyer.com/gdpr/opengdpr_requests";
var apiToken = "?api_token=<API_TOKEN>";
var client = new RestClient(url + apiToken);
var request = new RestRequest(Method.POST);
request.AddHeader("Content-Type", "application/json");
Request.AddHeader("Accept", "application/json");
var body = "{\r\n\"subject_request_id\": \"<SUBJECT_ID>\"," +
"\r\n \"subject_request_type\": \"erasure\"," +
"\r\n \"submitted_time\": \"2018-11-02T15:00:00Z\"," +
"\r\n \"subject_identities\": [\r\n" +
"{ \r\n \"identity_type\": \"android_advertising_id\"," +
"\r\n \"identity_value\": \"<ADVERTISING_ID>\"," +
"\r\n \"identity_format\": \"raw\"\r\n }" +
"\r\n ]," +
"\r\n \"property_id\": \"com.example.application\"}";
request.AddParameter("undefined", body,ParameterType.RequestBody);
IRestResponse response = client.Execute(request);
// handle response by reading response.StatusCode
Console.WriteLine(response.Content);
}
}
}
2. Solicitação de status
Toda solicitação do GDPR enviada pode ter seu status consultado posteriormente, especificando o subject_request_id. Existem quatro tipos de status compatíveis:
- pending - uma solicitação correta foi recebida e está atualmente na fila
- in_progress - uma solicitação está sendo executada no momento
- completed - uma solicitação foi atendida
- cancelled - uma solicitação foi cancelada
Formato da solicitação de status
Uma solicitação de status pode ser enviada por meio de HTTP GET ao seguinte endpoint:
https://hq1.appsflyer.com/gdpr/opengdpr_requests/[subject_request_id]?api_token=[api token]Exemplo da resposta de status
HTTP/1.1 200 OK
Content-Type: application/json
X-OpenGDPR-Processor Domain: example processor.com
X-OpenGDPR-Signature:
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
{
"controller_id":"example_controller_id",
"expected_completion_time":"2018-11-01T15:00:01Z",
"subject_request_id":"a7551968-d5d6-44b2-9831-815ac9017798",
"request_status":"pending",
"api_version":"0.1"
}
Postbacks de status
Conforme descrito no Fluxo da solicitação do GDPR acima, quando o status de uma solicitação do GDPR é alterado, de pending para in_progress para completed, a AppsFlyer envia um postback do GDPR aos endpoints solicitantes, especificados com a propriedade status_callback_urls.
Exemplo de postback de status:
POST /opengdpr_callbacks HTTP/1.1
Host: examplecontroller.com
Content-Type: application/json
X-OpenGDPR-Processor Domain: appsflyer.com
X-OpenGDPR-Signature: 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
{
"controller_id":"example controller id at the processor",
"expected_completion_time":"2018-11-01T15:00:01Z",
"status_callback_url":"https://examplecontroller.com/opengdpr_callbacks",
"Subject_request_id":"a7551968-d5d6-44b2-9831-815ac9017798",
"Request_status":"pending"
}
3. Solicitação de relatório
Assim que uma Solicitação de acesso ou Solicitação de portabilidade for concluída, você pode fazer download do relatório por meio de HTTP GET para o seguinte endpoint:
https://hq1.appsflyer.com/gdpr/download/[REQUEST_ID]?api_token=[TOKEN]O relatório gerado fica disponível durante catorze dias a partir do momento da conclusão.
4. Solicitação de descoberta
Para conhecer os formatos compatíveis com a AppsFlyer, uma solicitação de descoberta pode ser enviada por meio de HTTP GET ao seguinte endpoint:
https://hq1.appsflyer.com/gdpr/discovery?api_token=[api token]Exemplo da resposta de descoberta
HTTP/1.1 200 OK
Content-Type: application/json
{
"api_version": "0.1",
"supported_identities": [
{
"identity_type": "android_advertising_id",
"identity_format": "raw"
},
],
"supported_subject_request_types": [
"erasure", "access", "portability", "rectification"
],
"processor_certificate": "https://exampleprocessor.com/cert.pem"
}
5. Solicitação de cancelamento
É possível cancelar uma solicitação do GDPR, com base em seu subject_request_id, mas somente durante a fase pending.
Para fazer isso envie um HTTP DELETE com subject_request_id para:
https://hq1.appsflyer.com/gdpr/opengdpr_requests/[subject_request_id]?api_token=[api token]Resposta de cancelamento
Quando uma solicitação de cancelamento do GDPR é recebida, a AppsFlyer retorna uma resposta HTTP com código de status 202 e diversos outros parâmetros.
Assim que o cancelamento da solicitação acontecer, a AppsFlyer envia um postback com o status cancelado.
6. API de teste das solicitações do GDPR
Essa API da AppsFlyer é uma API de teste para a API de solicitações do GDPR.
Como ela funciona?
Essa API de teste funciona da seguinte forma:
1. Assim que uma solicitação do GDPR for feita, a solicitação é colocada imediatamente no status "Pending". Para fins de teste, o status é alterado a cada 30 segundos.
2. Se um endpoint para um postback de status foi inserido na solicitação do GDPR, um primeiro postback é enviado logo após a solicitação e dois outros postbacks de status são enviados em intervalos de 30 segundos.
Endpoint de teste da solicitação do GDPR:
https://hq1.appsflyer.com/gdpr/stub?api_token=[api token]Endpoint de teste da solicitação de status:
https://hq1.appsflyer.com/gdpr/stub/[request id]?api_token=[api token]Endpoint de teste da solicitação de descoberta:
https://hq1.appsflyer.com/gdpr/stub/discovery?api_token=[api token]Endpoint de teste da solicitação de cancelamento:
https://hq1.appsflyer.com/gdpr/stub/[request id]?api_token=[api token]Notas
- Um token da API válido deve ser inserido com a solicitação.
- Na propriedade "property_id", o ID do aplicativo deve pertencer ao proprietário da conta (de acordo com o token da API).
7. Registros de solicitações
O usuário administrador da conta pode acessar as solicitações de GDPR enviadas no Painel de Registros.
Para solicitações de acesso e portabilidade completas, também é possível fazer download do relatório a partir deste painel.
Para acessar o Painel de Registros:
- Acesse o painel principal e clique no seu nome de usuário.
- Clique em Registros e a seguinte janela abrirá:
8. Códigos de retorno e mensagens de erro da API de GDPR
Os códigos de retorno e mensagens de erro de API de GDPR HTTP estão detalhados nesta seção.
| Código de retorno | Descrição |
|---|---|
| 201 | Criado |
| 202 | Solicitação de cancelamento recebida |
| 400 |
Erro na solicitação. O corpo contém o código de erro e a mensagem conforme listado na tabela a seguir. |
Código de retorno HTTP 400 - solicitação incorreta
Mensagens com código de retorno 400 contêm um JSON com o código de erro e mensagem.
{ "error":
{ "code":400, "af_gdpr_code": "%AF error code%", "message":"%error message text%"
}
}
| Código do erro |
Descrição do erro (mensagem) |
|---|---|
| e111 | Limite de taxa excedido |
| e211 | Não é possível cancelar uma solicitação com status inválido |
| e212 | Solicitação não permitida. A eliminação está em andamento para o identificador. |
| e213 | A solicitação já existe |
| e214 | Solicitação não encontrada |
| e311 | Tipo de conteúdo de solicitação inválido |
| e312 | Versão da API inválida |
| e313 | subject_request_id inválido |
| e314 | Formato do submitted_time inválido |
| e315 | Comprimento do status_callback_url inválido |
| e316 | Formato do status_callback_url inválido |
| e317 | Formato do app_id inválido |
| e318 | Identity_type inválido |
| e319 | A plataforma do aplicativo não corresponde aos tipos de identidade |
| e320 | Identity_type inválido |
| e321 | Usuários LAT não são suportados via api |
| e322 | subject_request_type inválido |
| e323 | Formato de subjet_identities inválido |
| e324 | Comprimento subject_identities inválido |
| e325 | Valor de subjet_identities inválido |
| e411 | AppID está incorreto ou não pertence à sua conta |
| e412 | Sem permissão para eliminar solicitação de apagamento |
| e413 | Sem permissão para visualizar a solicitação |
| e511 | Problema interno, aguarde 60 minutos e tente novamente. Se o problema persistir, entre em contato com o suporte da AppsFlyer. support@AppsFlyer.com |
Limitações
- Limitação de tarifa: 80 solicitações de GDPR a cada 2 minutos no nível da conta.