Datos del Usuario

Debe ser transparente en la manera en que maneja los datos de los usuarios (por ejemplo, información recopilada sobre un usuario o de parte de este, incluida la información del dispositivo). Es decir, debe divulgar si su aplicación accede a los datos, así como cuándo los recopila, usa, maneja y comparte, además de limitar su uso a los fines divulgados que satisfagan las políticas. Tenga en cuenta que cualquier tipo de manejo de datos sensibles y personales de los usuarios queda sujeto a los requisitos adicionales que se incluyen en la sección "Datos Sensibles y Personales del Usuario" más adelante. Estos requisitos de Google Play se agregan a las condiciones prescritas por las leyes aplicables en materia de privacidad y protección de datos.

Si incluye código de terceros (por ejemplo, SDK) en su aplicación, debe garantizar que tanto ese código como las prácticas de los terceros en cuestión relacionadas con los datos de los usuarios de su aplicación, satisfagan las Políticas del Programa para Desarrolladores de Google Play, que incluyen requisitos de uso y divulgación. Por ejemplo, debe garantizar que sus proveedores de SDK no vendan los datos sensibles y personales de los usuarios recopilados en su aplicación. Este requisito se aplica independientemente de si los datos de los usuarios se transfieren después de enviarse a un servidor o mediante la incorporación de código de terceros en su aplicación.

CONTRAER TODO EXPANDIR TODO

 

Datos Sensibles y Personales del Usuario

Los datos sensibles y personales de los usuarios incluyen, sin limitarse a ello, información de identificación personal, financiera, de pago y de autenticación; datos relacionados con la agenda telefónica, los contactos, la ubicación del dispositivo, SMS y llamadas; datos de salud y de Health Connect; inventario de otras aplicaciones en el dispositivo, el micrófono y la cámara, y otros datos sensibles relacionados de uso o del dispositivo. Si su aplicación maneja datos sensibles y personales de los usuarios, asegúrese de hacer lo siguiente:

  • Limite el acceso, la recopilación, el uso y el uso compartido de los datos sensibles y personales de los usuarios adquiridos desde la aplicación a los fines de la funcionalidad del servicio y de la aplicación que satisfagan las políticas y las expectativas razonables de los usuarios:
    • Las aplicaciones que extiendan el uso de datos sensibles y personales de los usuarios a la publicación de anuncios deben satisfacer la Política de Anuncios de Google Play.
    • También puede transferir datos a los proveedores de servicios cuando sea necesario o por motivos legales, tales como cumplir con una solicitud gubernamental válida o la legislación aplicable, o como parte de una fusión o adquisición, habiendo proporcionado una notificación legal adecuada a los usuarios.
  • Maneje todos los datos sensibles y personales de los usuarios de forma segura, lo que incluye transmitirlos con criptografía moderna (por ejemplo, a través de HTTPS).
  • Cuando esté disponible, use una solicitud de permisos de tiempo de ejecución antes de acceder a los datos conpermisos de Android.
  • No venda datos personales ni sensibles de los usuarios.
    • "Venta" significa el intercambio o la transferencia de datos sensibles y personales de los usuarios con un tercero a cambio de una contraprestación económica.
      • La transferencia de datos sensibles y personales de los usuarios iniciadas por estos (por ejemplo, cuando el usuario usa una función de la aplicación para transferir un archivo a un tercero o casos en los que elige usar una aplicación de estudio de investigación de propósito exclusivo) no se consideran ventas.

Requisito de Divulgación Destacada y Consentimiento

En los casos en que el acceso, la recopilación, el uso o el uso compartido de los datos sensibles y personales de los usuarios del producto o la función en cuestión puedan no caber dentro de las expectativas razonables de estas personas (por ejemplo, si la recopilación de datos se produce en segundo plano cuando el usuario no está interactuando con la aplicación), deberá cumplir con los siguientes requisitos:

Divulgación destacada: Debe proporcionar una divulgación integrada en la aplicación sobre su acceso, recopilación, uso y uso compartido de los datos. La divulgación debe cumplir con lo siguiente:

  • Debe estar dentro de la app, no solo en su descripción o en un sitio web.
  • Se debe mostrar durante el uso normal de la app sin que el usuario tenga que ir al menú o la configuración.
  • Debe describir los datos a los que se accede o que se recopilan.
  • Debe explicar cómo se usarán o compartirán los datos.
  • No se puede colocar únicamente en la política de privacidad o en las condiciones del servicio.
  • No se puede incluir con otras divulgaciones que no estén relacionadas con la recopilación de datos personales y sensibles de los usuarios.

Consentimiento y permisos de tiempo de ejecución: Las solicitudes de consentimiento del usuario integradas en la aplicación y las solicitudes de permisos de tiempo de ejecución deben estar precedidas inmediatamente por una divulgación integrada en la aplicación que cumpla con el requisito de esta política. La solicitud de consentimiento de la aplicación debe cumplir con lo siguiente:

  • Debe presentar el cuadro de diálogo de consentimiento de manera clara y sin ambigüedades.
  • Debe exigir acciones afirmativas del usuario (por ejemplo, presionar para aceptar o marcar una casilla de verificación).
  • No debe interpretar como consentimiento la acción de salir de la divulgación (que incluye presionar los botones de inicio, salir o atrás).
  • No debe usar mensajes que caduquen ni se descarten automáticamente como medio para obtener el consentimiento del usuario.
  • El usuario debe otorgar el consentimiento antes de que la aplicación pueda recopilar datos sensibles y personales, o acceder a ellos.

Las aplicaciones que utilicen otras bases legales como justificación para procesar datos sensibles y personales de los usuarios sin consentimiento, como el interés legítimo contemplado por el GDPR de la UE, deben cumplir con todos los requisitos legales aplicables y realizar las divulgaciones correspondientes a los usuarios, incluidas las divulgaciones integradas en la aplicación que se requieren para satisfacer esta política.

Para cumplir con los requisitos de la política, le recomendamos que aplique el siguiente ejemplo de formato de Divulgación Destacada cuando sea necesario:

  • "[Esta aplicación] recopila, transmite, sincroniza o almacena [tipos de datos] para permitir ["función"], [en determinado caso]".
  • Por ejemplo, "Fitness Funds recopila datos de ubicación para permitir el seguimiento de entrenamientos, incluso cuando la aplicación está cerrada o no está en uso, y también se usa como medio para publicar publicidad". 
  • Por ejemplo, "Call buddy recopila datos del registro de llamadas de lectura y escritura para permitir la organización de contactos, incluso cuando no se usa la aplicación".

Si su aplicación integra código de terceros (por ejemplo, SDK) diseñado para recopilar datos sensibles y personales de los usuarios de forma predeterminada, deberá, en un plazo de 2 semanas a partir de recibir la solicitud de Google Play (o bien, si la solicitud de Google Play permite más tiempo, dentro del período correspondiente), proporcionar evidencia suficiente que demuestre que su aplicación cumple con los requisitos de Divulgación Destacada y Consentimiento de esta política, incluso en relación con el acceso, la recopilación, el uso y el uso compartido de los datos mediante código de terceros.

Ejemplos de incumplimientos comunes
  • Una app que recopila la ubicación del dispositivo, pero no tiene una divulgación destacada que explique qué función usa estos datos ni indica el uso de la aplicación en segundo plano
  • Una aplicación que tiene un permiso de tiempo de ejecución que solicita acceso a datos antes de la divulgación destacada que especifica para qué se usan los datos
  • Una app que accede al inventario de aplicaciones instaladas de un usuario y no trata estos datos como personales o sensibles sujetos a los requisitos de la Política de Privacidad, del manejo de datos y de Divulgación Destacada y Consentimiento
  • Una app que accede a los datos del teléfono o de la agenda de contactos de un usuario y no los trata como datos personales o sensibles sujetos a los requisitos de la Política de Privacidad, del manejo de datos y de Divulgación Importante y Consentimiento
  • Una app que graba la pantalla del usuario y no trata esta información como datos personales ni sensibles sujetos a esta política
  • Una aplicación que recopila la ubicación del dispositivo y no divulga su uso de forma exhaustiva ni obtiene el consentimiento de acuerdo con los requisitos anteriores
  • Una aplicación que recopila permisos restringidos en segundo plano, por ejemplo, para fines de seguimiento, investigación o marketing, y no divulga su uso de manera exhaustiva ni obtiene el consentimiento de acuerdo con los requisitos mencionados anteriormente 
  • Una aplicación con un SDK que recopila datos sensibles y personales de los usuarios, y no trata esta información como sujeta a la Política de Datos del Usuario en cuestión y a los requisitos de divulgación destacada y consentimiento, acceso y manejo de datos (incluida la venta no permitida).

Consulte este artículo para obtener más información sobre el Requisito de Divulgación Destacada y Consentimiento.

Restricciones de Acceso a Datos Personales y Sensibles

Además de los requisitos anteriores, en la siguiente tabla, se describen los requisitos para actividades específicas.

Actividad  Requisito
Su aplicación administra información financiera o de pago, o bien números de identificación nacional Su aplicación nunca debe divulgar públicamente datos personales ni sensibles de los usuarios relacionados con actividades financieras o de pago, ni números de identificación nacional.
Su aplicación administra información de contacto o de agendas telefónicas no públicas No permitimos la divulgación ni la publicación de los contactos no públicos de los usuarios.
Su app contiene funciones de seguridad o de control de virus, como antivirus, eliminación de software malicioso o alguna otra función relacionada con la seguridad Su aplicación debe publicar una política de privacidad que, junto con cualquier otro aviso de divulgación integrado, explique detalladamente qué datos del usuario se recopilan y transmiten, cómo se usan y con quién se comparten.
Su aplicación se orienta a niños Su aplicación no debe incluir un SDK que no esté aprobado para usarse en servicios dirigidos a niños. Para conocer el texto y los requisitos completos de la política, consulte Cómo diseñar aplicaciones para niños y familias
Su aplicación recopila o vincula identificadores de dispositivos persistentes (p. ej., IMEI, IMSI, número de serie de SIM, etc.)

Los identificadores de dispositivos persistentes no pueden vincularse a otros datos personales y sensibles de los usuarios, ni a identificadores de dispositivos que se puedan restablecer, excepto para los siguientes fines: 

  • Telefonía vinculada a una identidad de SIM (p. ej., llamadas mediante Wi-Fi vinculadas a la cuenta del proveedor)
  • Aplicaciones de administración de dispositivos empresariales que usen el modo de propietario del dispositivo

Estos usos se deben divulgar de forma destacada para los usuarios según se especifica en la Política de Datos del Usuario.

Para conocer identificadores únicos alternativos, consulte este recurso.

Si desea consultar otros lineamientos sobre el ID de Publicidad de Android, lea la política de Anuncios.

 

Sección de Seguridad de los datos

Para cada aplicación, los desarrolladores deben completar una sección clara y precisa de Seguridad de los datos en la que se detalle el uso, la recopilación y el uso compartido de datos de los usuarios. El desarrollador es responsable de la exactitud de la etiqueta, así como de mantener esta información actualizada. Cuando corresponda, la sección debe ser coherente con las divulgaciones que se incluyan en la política de privacidad de la aplicación. 

Consulte este artículo a fin de obtener información adicional para completar la sección de Seguridad de los datos.

Política de Privacidad

Todas las aplicaciones deben publicar un vínculo a una política de privacidad en el campo designado de Play Console, así como un vínculo a una política de privacidad o el texto correspondiente dentro de la aplicación en sí. En la política de privacidad, junto con cualquier otro aviso de divulgación de datos integrado en la aplicación, se debe explicar detalladamente cómo se recopilan, usan y comparten los datos del usuario, y cómo se accede a ellos, sin limitarse a los datos divulgados en la sección de Seguridad de los datos. Se debe incluir lo siguiente: 

  • Información del desarrollador y un punto de contacto para temas relacionados con la privacidad o un mecanismo para enviar consultas
  • Divulgación de los tipos de datos personales y sensibles de los usuarios, a los que accede la aplicación y luego recopila, usa y comparte, así como las partes con las que se comparten esos datos
  • Procedimientos de manipulación segura de datos personales y sensibles de los usuarios
  • La política del desarrollador relacionada con la retención y eliminación de datos
  • Un etiquetado claro de la política de privacidad (por ejemplo, indicado como "política de privacidad" en el título)

La entidad (por ejemplo, el desarrollador, la empresa) mencionada en la ficha de Google Play de la aplicación debe aparecer en la política de privacidad, o la aplicación se debe nombrar en la política de privacidad. Las aplicaciones que no accedan a datos personales ni sensibles de los usuarios igualmente deben enviar una política de privacidad. 

Asegúrese de que su política de privacidad esté disponible en una URL activa, accesible públicamente, sin geovallado (no en PDF) y que no se pueda editar.

Requisito de Eliminación de Cuentas

Si su aplicación permite que los usuarios creen una cuenta desde ella, también debe permitirles que soliciten que se elimine la cuenta. Los usuarios deben tener una opción fácilmente detectable para iniciar la eliminación de la cuenta de la aplicación dentro y fuera de ella (p. ej., si visitan su sitio web). Se debe ingresar un vínculo a este recurso web en el campo del formulario de la URL designada de Play Console.

Cuando elimine una cuenta de la aplicación en función de la solicitud de un usuario, también debe eliminar los datos del usuario asociados con esa cuenta de la aplicación. La desactivación, la inhabilitación o el bloqueo temporales de la cuenta de la aplicación no califican como eliminación de la cuenta. Si necesita retener ciertos datos por motivos legítimos, como la seguridad, la prevención de fraudes o el cumplimiento regulatorio, debe informar claramente a los usuarios sobre sus prácticas de retención de datos (por ejemplo, en su política de privacidad).

Para obtener más información sobre los requisitos de la política de eliminación de cuentas, revise este artículo del Centro de ayuda. Si desea obtener información adicional para actualizar su formulario de seguridad de los datos, visite este artículo.

 

Uso del ID del Conjunto de Aplicaciones

Android implementará un nuevo ID para abordar los casos de uso fundamentales, como el análisis y la prevención de fraudes. Las condiciones para el uso de este ID se encuentran a continuación.

  • Uso: El ID del conjunto de aplicaciones no debe usarse para la personalización ni la medición de anuncios. 
  • Asociación con información de identificación personal u otros identificadores: El ID del conjunto de aplicaciones no debe estar conectado con identificadores de Android (p. ej., AAID) ni datos sensibles y personales con fines de publicidad.
  • Transparencia y consentimiento: La recopilación y el uso del ID del conjunto de aplicaciones, y el compromiso con estas condiciones deben darse a conocer a los usuarios en un aviso de privacidad legalmente adecuado, lo que incluye su política de privacidad. Cuando se requiera, debe obtener el consentimiento de los usuarios con validez legal. Para obtener información sobre nuestros estándares de privacidad, revise nuestra política de Datos del Usuario.

 

EU-U.S., Swiss Privacy Shield (Escudo de Privacidad UE-EE.UU.-Suiza)

Si procesas o usas información personal compartida por Google o accedes a datos que identifiquen de forma directa o indirecta a algún individuo cuya información se haya originado en la Unión Europea o Suiza (“información personal de la UE”), ten en cuenta lo siguiente:

  • Debes cumplir con todas las leyes, directivas, regulaciones y reglas de privacidad, protección y seguridad de los datos aplicables.
  • Debe procesar o usar la Información Personal de la UE, o acceder a estos datos, únicamente para fines acordes con el consentimiento otorgado por el individuo al cual se refiere dicha información.
  • Debes implementar medidas organizativas y técnicas apropiadas para proteger la Información Personal de la UE contra cualquier pérdida, uso inadecuado y acceso, divulgación, alteración o destrucción no autorizada o ilícita.
  • Debes proporcionar el mismo nivel de protección que requieren los Principios de Privacy Shield (Escudo de Privacidad).

Debes supervisar con frecuencia que cumples con estas condiciones. Si en algún momento no puedes cumplir con estas condiciones (o si existe un riesgo significativo de que no puedas cumplir con ellas), debes notificárnoslo de inmediato por correo electrónico a data-protection-office@google.com y dejar de procesar Información Personal de la UE o tomar las medidas razonables y adecuadas para restablecer un nivel de protección adecuado de inmediato.

A partir del 16 de julio de 2020, Google dejará de basarse en el EU-U.S. Privacy Shield (Escudo de Privacidad UE-EE.UU.) para transferir datos personales que se hayan originado en el Espacio Económico Europeo o el Reino Unido hacia los Estados Unidos. (Obtén más información.)Encontrarás más información en la sección 9 del DDA.

¿Te resultó útil esto?

¿Cómo podemos mejorarla?

¿Necesitas más ayuda?

Prueba estos próximos pasos:

Búsqueda
Borrar búsqueda
Cerrar la búsqueda
Google Apps
Menú principal