Proporcionar informació per a la secció Seguretat de les dades de Google Play

En aquest vídeo trobaràs tots els recursos i els passos necessaris per emplenar el formulari de seguretat de les dades.

"Recollir" significa transmetre dades des de l'aplicació fora del dispositiu d'un usuari. Tingues en compte les directrius següents:

• Biblioteques i SDK: inclou les dades d'usuari que les biblioteques o SDK utilitzats a la teva aplicació transmeten fora del dispositiu des de l'aplicació, independentment que el destinatari de les dades siguis tu o un servidor extern.
• WebView: també inclou les dades d'usuari que s'han recollit des d'un WebView obert des de l'aplicació, si l'aplicació té el control del codi o del comportament proporcionat a través d'aquest WebView.
  • No cal que declaris la recollida de dades duta a terme des d'un WebView en què els usuaris naveguin pel web obert.
• Tractament efímer: les dades d'usuari transmeses fora d'un dispositiu i que es tracten de manera efímera s'han d'incloure a la resposta del formulari. Tanmateix, si encaixen amb l'estàndard següent, no es comunicaran a la secció Seguretat de les dades de l'aplicació a Google Play.
  • Tractar les dades "de manera efímera" vol dir accedir a les dades i utilitzar-les mentre estan emmagatzemades només a la memòria i sense que es conservin durant més temps del necessari per atendre una sol·licitud concreta en temps real.
  • Per exemple, es pot considerar efímer l'ús temporal de la ubicació per part d'una aplicació d'informació meteorològica que transmet la ubicació de l'usuari fora del dispositiu per recollir la informació meteorològica actual en la ubicació de l'usuari, però només fa servir les dades d'ubicació que hi ha a la memòria i no les emmagatzema un cop processada la sol·licitud. Tanmateix, l'ús de les dades per crear perfils publicitaris o altres perfils d'usuari no es pot considerar efímer i s'han de declarar les dades recollides o compartides amb les finalitats pertinents.
• Dades pseudonimitzades: les dades d'usuari recollides de manera pseudonimitzada s'han de comunicar. Per exemple, cal comunicar les dades que es puguin tornar a associar de manera raonable a un usuari.

Casos no inclosos en l'àmbit de la recollida de dades

No cal comunicar la recollida de dades en els casos d'ús següents:

• Accés o tractament al dispositiu: no cal comunicar les dades d'usuari a les quals accedeix l'aplicació que només es tracten localment al dispositiu de l'usuari i no s'envien fora del dispositiu.
• Encriptació d'extrem a extrem: no cal comunicar les dades d'usuari que s'envien fora del dispositiu, però que no pots llegir tu ni ningú que no sigui el remitent i el destinatari com a resultat de l'encriptació d'extrem a extrem.
  • Cap entitat intermediària, inclòs el desenvolupador, no ha de poder llegir les dades encriptades, i només el remitent i el destinatari poden tenir les claus necessàries.

"Compartició" fa referència a la transferència a un tercer de dades d'usuari recollides des de l'aplicació. Inclou les dades d'usuari que s'han transferit:

• Fora del dispositiu, com ara en les transferències de servidor a servidor. Per exemple, si transfereixes les dades d'usuari recollides per l'aplicació des del teu servidor a un servidor de tercers.
• Al dispositiu, transferència a una altra aplicació. Transferència de dades d'usuari des de la teva aplicació a una altra aplicació directament al dispositiu. En aquest cas, has de comunicar la compartició de dades a les declaracions de la secció Seguretat de les dades, fins i tot si l'aplicació no transmet les dades fora del dispositiu de l'usuari.
• Des de les biblioteques i els SDK de l'aplicació. Transferència de dades recollides des de la teva aplicació fora del dispositiu d'un usuari directament a un tercer mitjançant biblioteques o SDK inclosos a l'aplicació.
• Des d'un WebView que s'ha obert a través de la teva aplicació. Fa referència a la transferència de dades d'usuari a tercers mitjançant un WebView que s'ha obert des de la teva aplicació, si l'aplicació té el control del codi o del comportament proporcionat a través del WebView en qüestió.
  • No cal que declaris la compartició de dades duta a terme des d'un WebView en què els usuaris naveguin pel web obert.

No cal comunicar com a comparticions els tipus de transferències de dades següents:

• Proveïdors de serveis. Es refereix a la transferència de dades d'usuari a un "proveïdor de serveis" que les tracta en nom del desenvolupador.
  • "Proveïdor de serveis" significa una entitat que tracta les dades d'usuari en nom del desenvolupador i segons les seves instruccions.
• Finalitats legals. Es refereix a la transferència de dades d'usuari amb finalitats legals específiques; per exemple, com a resposta a una obligació legal o a sol·licituds governamentals.
• Acció iniciada per l'usuari o comunicació destacada i consentiment de l'usuari. Es refereix a la transferència de dades d'usuari a tercers en funció d'una acció específica iniciada per l'usuari en què aquest espera raonablement que es comparteixin les dades, o en funció d'una comunicació destacada dins de l'aplicació i d'un consentiment que compleixi els requisits descrits a la nostra política de dades d'usuari.
• Dades anònimes. Es refereix a la transferència de dades d'usuari que s'han anonimitzat completament perquè ja no es puguin associar a un usuari concret.

Part pròpia i tercers.

• "Part pròpia" es refereix a l'organització principal responsable de tractar les dades que recull l'aplicació, que normalment és l'organització que publica l'aplicació a Google Play i que es mostra a la fitxa de Play Store.
  • La part pròpia té l'obligació de deixar clar als usuaris, de manera raonable, quina organització és la principal responsable pel que fa al tractament de les dades recollides per l'aplicació.
• "Tercer" es refereix a qualsevol organització que no sigui la part pròpia ni els seus proveïdors de serveis.

També pots comunicar si cada tipus de dades que l'aplicació recull és "opcional" o "obligatori". El valor "opcional" inclou la possibilitat d'activar o desactivar la recollida de dades. Per exemple, pots declarar un tipus de dades com a "opcional" si l'usuari té el control de la recollida d'aquestes dades i pot utilitzar l'aplicació sense proporcionar-les, o bé si l'usuari pot decidir si vol proporcionar manualment aquest tipus de dades. Si la funcionalitat principal de l'aplicació requereix aquest tipus de dades, cal que les declaris com a obligatòries.

Pots declarar que la teva aplicació recull determinades dades de manera opcional només si tots els usuaris (independentment del dispositiu o de la regió) poden proporcionar la informació opcionalment, o bé desactivar o activar la recollida de dades.

A continuació s'indiquen alguns exemples de recollida opcional de dades:

• Una aplicació de mitjans socials que demana la data de naixement de l'usuari per a comunicacions de màrqueting, però aquesta informació no és obligatòria: l'usuari pot registrar-s'hi sense proporcionar aquesta informació.
• Dades d'usuari que només es recullen quan un usuari inicia la sessió, i els usuaris poden interaccionar amb l'aplicació sense tenir-hi la sessió iniciada.

La secció Seguretat de les dades també et dona l'oportunitat d'explicar les pràctiques de privadesa i seguretat de l'aplicació als teus usuaris. Per exemple, pots destacar la informació següent:

• Encriptació en trànsit: l'aplicació recull o comparteix les dades utilitzant l'encriptació en trànsit per protegir el flux de dades d'usuari des del dispositiu de l'usuari final fins al servidor.
  • Algunes aplicacions estan dissenyades per permetre que els usuaris transfereixin dades a un altre lloc web o servei. Per exemple, una aplicació de missatgeria pot oferir als usuaris l'opció d'enviar un missatge SMS a través del proveïdor de serveis per a mòbils, el qual segueix altres pràctiques d'encriptació. A la secció Seguretat de les dades, aquestes aplicacions poden declarar que les dades es transfereixen a través d'una connexió segura sempre que utilitzin els millors estàndards del sector per encriptar les dades de manera segura mentre es transmeten entre el dispositiu d'un usuari i els servidors de l'aplicació.
• Mecanisme de sol·licitud de supressió: la teva aplicació ofereix als usuaris una manera de sol·licitar la supressió de les seves dades?

Les aplicacions que tenen el públic infantil com a públic objectiu han de complir els requisits de la política d'aplicacions per a famílies de Google Play. Si la teva aplicació s'inclou en aquesta categoria i has comprovat que compleix els requisits de la política d'aplicacions per a famílies, pots mostrar una insígnia a la secció Seguretat de les dades que indiqui que tens el compromís de complir la política d'aplicacions per a famílies de Play.

Si vols mostrar la insígnia, ves a la secció "Pràctiques de seguretat" del formulari de seguretat de les dades i fes clic a Ves a Públic objectiu i contingut per activar aquesta opció.

Pots declarar al formulari de seguretat de les dades que l'aplicació s'ha validat de manera independent segons un estàndard internacional de seguretat. Aquesta revisió és opcional i la fan i la paguen els desenvolupadors. A través de l'avaluació de seguretat d'aplicacions mòbils (MASA), els desenvolupadors poden col·laborar directament amb un laboratori autoritzat de Google perquè les seves aplicacions s'avaluïn segons l'estàndard de verificació de seguretat d'aplicacions mòbils (MASVS) d'OWASP. Les organitzacions externes que duen a terme les revisions ho fan en nom del desenvolupador.

Si t'interessa participar-hi, pots contactar directament amb un laboratori autoritzat de Google per iniciar el procés de prova. Un cop el laboratori hagi verificat que la teva aplicació compleix tots els requisits de seguretat, podràs decidir si vols mostrar una insígnia a la secció Seguretat de les dades que indiqui que has completat la revisió de seguretat independent.

Els laboratoris autoritzats tenen una àrea de pràctica dedicada a la seguretat de les aplicacions mòbils i proporcionen una àmplia experiència i capacitats per provar la seguretat. Aquests laboratoris també compleixen la norma ISO 17025 o un estàndard equivalent reconegut al sector. Si compleixes aquests criteris i vols convertir-te en partner de laboratori, emplena i envia aquest formulari amb les dades de la teva empresa.

Important: és possible que aquesta revisió independent no inclogui la verificació de la precisió i de l'exhaustivitat de les teves declaracions sobre seguretat de les dades. Encara que utilitzis eines de tercers per diagnosticar els controls de seguretat de l'aplicació, continuaràs sent l'únic responsable de fer declaracions completes i precises a la fitxa de Play Store de l'aplicació que hi ha a Google Play.

Unified Payment Interface (UPI) és un sistema de transferència instantània de diners desenvolupat per la Corporació de Pagaments Nacional de l'Índia (NPCI), una entitat regulada pel Banc de la Reserva de l'Índia (RBI). Si actualment utilitzes aquest sistema de transferència de pagaments, pots declarar-ho al formulari de seguretat de les dades. Si t'interessa participar-hi o tens preguntes, pots contactar directament amb l'NPCI per consultar els criteris d'idoneïtat sobre com es pot acreditar l'aplicació. És possible que les aplicacions que tinguin aquesta acreditació reuneixin els requisits per mostrar una insígnia a la seva fitxa de Play Store amb la qual es verifica que l'NPCI ha validat la implementació d'UPI d'aquesta aplicació. La insígnia dirà "Ofereix pagaments a través d'UPI" i no es mostrarà als usuaris tret que ho indiquis activant-ho al formulari de seguretat de dades de Play Console. Només els usuaris de Google Play establerts a l'Índia poden veure la insígnia.

Es demanarà als desenvolupadors que informin sobre la recollida, la compartició i altres pràctiques referents a diversos tipus de dades d'usuari. A més, també hauran d'explicar amb quines finalitats les utilitzen.

El fitxer CSV conté una fila per resposta. Les respostes a les preguntes d'elecció múltiple i d'elecció única comprenen diverses files que coincideixen amb el nombre d'opcions disponibles. Per respondre a una pregunta, introdueix TRUE o FALSE a la cel·la corresponent de la columna "Valor de resposta" o deixa la cel·la en blanc si la pregunta és opcional o estàs responent a una pregunta d'elecció múltiple. La columna "Requisit de resposta" indica si és obligatori o no respondre, i pot contenir els valors següents:

• OPTIONAL: no és obligatòria (es pot deixar en blanc).
• REQUIRED: és obligatòria (has d'indicar un valor de resposta).
• MULTIPLE_CHOICE: pots proporcionar un valor de resposta TRUE com a mínim en una de les opcions de resposta per a l'identificador de pregunta corresponent. Pots deixar les altres respostes en blanc.
• SINGLE_CHOICE: pots proporcionar un valor de resposta TRUE en una de les opcions de resposta per a l'identificador de pregunta corresponent. Pots deixar les altres respostes en blanc.
• MAYBE_REQUIRED: només és obligatòria quan es compleixen determinades condicions (per exemple, en funció de la resposta a una pregunta anterior).

La taula següent mostra un exemple de les seccions "Nom" i "Ubicació aproximada" del formulari de seguretat de les dades. Conté:

• Una pregunta d'elecció múltiple
• Una pregunta obligatòria
• Una pregunta opcional

1. Obre Play Console i ves a la pàgina Contingut de l'aplicació (Política > Contingut de l'aplicació).
2. A "Seguretat de les dades", selecciona Inicia.
3. A prop de la part superior dreta de la pàgina, selecciona Exporta a CSV.

Important: les respostes que ja s'hagin introduït al formulari se sobreescriuran quan importis un fitxer CSV.

1. Obre Play Console i ves a la pàgina Contingut de l'aplicació (Política > Contingut de l'aplicació).
2. A "Seguretat de les dades", selecciona Inicia.
3. A prop de la part superior dreta de la pàgina, selecciona Importa un fitxer CSV.

A l'octubre vam obrir l'enviament de formularis de seguretat de les dades a Play Console, i concedirem un període de gràcia fins al 20 de juliol de 2022, que hauria de ser temps suficient. En aquests moments, no tenim pensat concedir pròrrogues.

En resum, sí. Has de proporcionar informació precisa que reflecteixi les pràctiques de recollida i de gestió de dades de l'aplicació. Ets responsable de la informació que proporcionis. Google Play revisa les aplicacions tenint en compte tots els requisits de la política. Tanmateix, no podem prendre decisions en nom dels desenvolupadors sobre com han de gestionar les dades dels usuaris. Només tu tens tota la informació necessària per emplenar el formulari de seguretat de les dades.

Si detectem que has falsejat les dades que has proporcionat i infringeixes la política, et demanarem que la corregeixis. Les aplicacions que no compleixin la política estaran subjectes a mesures d'aplicació, com ara el bloqueig de les actualitzacions o la supressió de l'aplicació de Google Play.

Després d'enviar una aplicació nova o una actualització d'una aplicació existent a Play Console, és possible que l'aplicació tardi una estona a processar-se per a la publicació estàndard a Google Play. Pot ser que determinades aplicacions estiguin subjectes a revisions ampliades, que poden suposar un temps de revisió de 7 dies o més en casos excepcionals.

Les actualitzacions d'aplicacions i els enviaments d'aplicacions noves han de complir les polítiques del programa per a desenvolupadors de Google Play. Pots anar a la pàgina Visió general de la publicació a Play Console per comprovar si l'enviament de l'aplicació encara està pendent de revisió.

Si, tot i que la teva darrera actualització està a punt, no veus el formulari de la secció Seguretat de les dades a Google Play, pots comprovar si la publicació gestionada està activada a Play Console. Si està activada, la teva versió no estarà disponible fins que no la publiquis. Pots llançar-la des de la pàgina Visió general de la publicació. L'enviament aprovat es publicarà a continuació i estarà disponible poc després a Google Play.

Si has fet actualitzacions al contingut de la secció Seguretat de les dades, però no les veus a Google Play, prova d'actualitzar la pàgina de l'aplicació. Tingues en compte que, a causa de la connectivitat dels dispositius i de la càrrega variable del servidor, les actualitzacions de les aplicacions poden tardar diversos dies (en alguns casos, fins a 7) a arribar a tots els dispositius. Et demanem que tinguis paciència mentre Google Play registra i entrega l'actualització de l'aplicació.

Està molt bé que tinguis un bon control de les pràctiques relacionades amb les dades de la teva aplicació. Al formulari de seguretat de les dades se't demana informació addicional i diferent que pot ser que no hagis utilitzat anteriorment, de manera que el teu equip igualment hi ha de dedicar temps. La tipologia i el marc de la secció Seguretat de les dades de Google Play poden ser substancialment diferents dels que s'utilitzen en altres botigues d'aplicacions.

Tal com passa amb les polítiques de privadesa o els detalls de les aplicacions, com ara les captures de pantalla i les descripcions, els desenvolupadors són responsables de la informació que comuniquen a la secció Seguretat de les dades. La política de dades d'usuari de Google Play requereix que els desenvolupadors proporcionin informació precisa. Si detectem que un desenvolupador ha falsejat les dades que ha proporcionat i infringeix la política, li demanem que les corregeixi. Les aplicacions que no compleixin les polítiques estan subjectes a mesures d'aplicació.

Els usuaris de Google Play han de poder confiar que les seves dades estan protegides. Llancem contínuament funcions i polítiques noves per protegir la privadesa dels usuaris i perquè Google Play continuï sent un lloc de confiança per a tothom. Algunes de les funcions i polítiques noves de Google Play milloren la transparència i els controls dels usuaris. Altres ajuden a garantir que els desenvolupadors només accedeixin a les dades personals quan sigui necessari per a l'ús principal de l'aplicació. Les polítiques del programa per a desenvolupadors de Google Play existents, com les que s'han esmentat, contenen diversos requisits relatius a la transparència i al control de les dades. Les aplicacions que no compleixin les polítiques del programa per a desenvolupadors de Google Play estan subjectes a mesures d'aplicació.

Hauràs d'actualitzar la secció Seguretat de les dades quan es produeixin canvis rellevants a les pràctiques relacionades amb les dades de l'aplicació. Les respostes del formulari de seguretat de les dades han de ser precises i exhaustives en tot moment.

La secció Seguretat de les dades pot ajudar els usuaris a prendre la decisió correcta sobre quines aplicacions volen baixar. També ajuda els desenvolupadors a generar confiança i a atreure usuaris més implicats que confiïn que les seves dades es tractaran de manera responsable. Els desenvolupadors ens han indicat que volen tenir maneres més clares de comunicar-se amb els usuaris sobre les seves pràctiques relacionades amb les dades.

Google Play té una secció i un formulari globals de seguretat de les dades a la fitxa de Google Play Store per cada nom de paquet, que seran independents de l'ús, la versió de l'aplicació, la regió i l'edat de l'usuari. En altres paraules, si en alguna versió de l'aplicació distribuïda actualment a Google Play en qualsevol lloc del món es recullen, s'utilitzen o s'enllacen dades, has d'indicar-ho al formulari. Així, la secció Seguretat de les dades descriu la suma de la recollida i la compartició de dades de l'aplicació en totes les versions que es distribueixen actualment a Google Play. Pots utilitzar la secció "Sobre aquesta aplicació" per compartir informació específica de la versió amb els usuaris.

En aquests moments, reflectim la representació global de les teves pràctiques relacionades amb les dades per aplicació. La secció Seguretat de les dades descriu la suma de la recollida i la compartició de dades de l'aplicació en totes les versions que es distribueixen actualment a Google Play. Pots utilitzar la secció "Sobre aquesta aplicació" per compartir informació específica de la versió amb els usuaris. La secció Seguretat de les dades inclou un aclariment per als usuaris de Google Play que indicarà que les pràctiques de seguretat i recollida de dades d'una aplicació poden variar en funció de diversos factors, com ara la regió.

No, la secció Seguretat de les dades només es mostra a la fitxa de Play Store de l'aplicació a Google Play. No hi ha cap comunicació nova al procés d'instal·lació d'aplicacions de l'usuari i no hi ha cap nou consentiment d'usuari relacionat amb aquesta funció. Els desenvolupadors que recullin dades d'usuari personals i sensibles han d'implementar comunicacions i sol·licituds de consentiment a l'aplicació quan la política de dades d'usuari de Google Play existent ho requereixi.

La secció Seguretat de les dades descriu la suma de la recollida i la compartició de dades de l'aplicació en totes les versions que es distribueixen actualment a Google Play. Si alguna versió de l'aplicació requereix la recollida d'unes dades determinades, has de declarar que aquesta recollida és obligatòria a la secció Seguretat de les dades. No pots descriure la recollida com a opcional si és obligatòria per a alguns usuaris de l'aplicació. Pots utilitzar la secció "Sobre aquesta aplicació" per compartir informació específica de la versió amb els usuaris.

No cal que declaris cap recollida o compartició de dades tret que realment se'n recullin o comparteixin. L'aplicació ha de complir totes les polítiques del programa per a desenvolupadors de Google Play, inclosa la nostra política de permisos i API que accedeixen a informació sensible.

Si vols recollir un tipus de dades de manera intencionada durant la recollida d'un altre tipus de dades, has de comunicar-los tots dos. Per exemple, si reculls fotos dels usuaris i les utilitzes per determinar les característiques d'aquests usuaris (com ara l'ètnia o la raça), també has de comunicar la recollida de l'ètnia i la raça.

La secció Seguretat de les dades proporciona una superfície perquè comparteixis si ofereixes un mecanisme per rebre sol·licituds de supressió de dades dels teus usuaris. Com a part del procés d'emplenar el formulari de seguretat de les dades, has d'indicar si ofereixes aquest mecanisme.

No hi ha cap mecanisme prescrit, però una pràctica recomanada és que als usuaris els resulti fàcil tant veure el mecanisme de sol·licitud com accedir-hi. Alguns exemples habituals de mecanismes que indiquen clarament un camí perquè els usuaris sol·licitin la supressió de dades són, entre d'altres, les funcions integrades a l'aplicació, els formularis de contacte o un àlies especial de correu electrònic.

Pots seleccionar la insígnia del mecanisme de sol·licitud de supressió al formulari de seguretat de les dades si compleixes alguna de les condicions següents:

• Proporciones als usuaris un mecanisme per sol·licitar la supressió de les dades.
• Inicies automàticament la supressió o l'anonimització de les dades recollides en un termini de 90 dies després de recollir-les.

Pots seleccionar la insígnia del mecanisme de sol·licitud de supressió fins i tot si has de conservar certes dades per motius legítims, com ara el compliment legal o la prevenció d'abusos.

Google Play té una secció i un formulari globals de seguretat de les dades a la fitxa de Google Play Store per cada nom de paquet que haurien de cobrir les pràctiques relacionades amb les dades en funció de l'ús, la versió de l'aplicació, la regió i l'edat de l'usuari. En altres paraules, si en alguna versió de l'aplicació distribuïda actualment a Google Play en qualsevol lloc del món s'aplica alguna de les pràctiques relacionades amb les dades, has d'indicar-ho al formulari. Així, la secció Seguretat de les dades descriurà la suma de la recollida i la compartició de dades de l'aplicació en totes les versions que es distribueixen actualment a Google Play.

Hi ha diversos mètodes possibles per anonimitzar les dades, de manera que no es puguin associar a un usuari concret. Consulta els teus experts en privadesa i seguretat per identificar els mètodes aplicables al teu cas d'ús. Per exemple, en aquesta pàgina es parla d'alguns dels mètodes d'anonimització de les dades que utilitza Google, com ara la privadesa diferencial.

Tal com passa amb altres tipus de dades, has de comunicar que reculls, utilitzes i comparteixes adreces IP en funció de les teves pràctiques i usos concrets. Per exemple, si els desenvolupadors utilitzen adreces IP per determinar la ubicació, han de declarar aquest tipus de dades.

Tal com passa amb altres tipus de dades, has de comunicar que reculls, utilitzes i comparteixes diferents tipus d'identificadors en funció de les teves pràctiques i usos concrets. Per exemple, la recollida d'un nom de compte associat a una persona que es pot identificar s'ha de declarar com a "Identificador personal", i la recollida de l'identificador de publicitat d'Android d'un usuari s'ha de declarar com a "Dispositiu o altres identificadors". Un altre exemple: un identificador que està relacionat amb un esdeveniment concret de l'aplicació, però que no està relacionat raonablement amb un dispositiu, una aplicació o un navegador concrets, no s'ha de comunicar com a "Dispositiu o altres identificadors".

Tal com s'ha explicat anteriorment, la recollida de dades pseudonimitzades s'ha de comunicar en el tipus de dades corresponent del formulari. Per exemple, si reculls informació de diagnòstic amb un identificador del dispositiu, també has de comunicar la recollida de "Diagnòstics" al formulari de seguretat de les dades.

Els proveïdors de serveis només poden tractar les dades d'usuari en nom teu. Per exemple, un proveïdor d'analítiques que tracti les dades d'usuari de la teva aplicació únicament en nom teu o un proveïdor de recursos en núvol que allotgi les dades d'usuari de l'aplicació per al teu ús normalment es consideraran "proveïdors de serveis". D'altra banda, si un proveïdor d'SDK crea perfils publicitaris per a diversos clients a partir de les dades de l'aplicació, no es considerarà una activitat de "proveïdor de serveis" a efectes de la secció Seguretat de les dades, i s'haurà de comunicar com a "compartició" al formulari de seguretat de les dades.

Depèn de la naturalesa de la integració amb el servei de pagament. Si l'aplicació utilitza un servei de pagament com ara PayPal, Google Pay, el sistema de facturació de Google Play o serveis similars per completar transaccions de pagament, no cal que declaris les dades que recull el servei de pagament en relació amb el processament de transaccions financeres, com ara el número de targeta de crèdit, si es compleixen les condicions següents:

• L'aplicació no accedeix mai a aquesta informació.
• El servei de pagament recull aquesta informació directament de l'usuari i la recollida es regeix per les condicions del servei en qüestió.

Et recomanem que revisis detingudament la integració amb el servei de pagament per assegurar-te que a la secció Seguretat de les dades de l'aplicació es declari qualsevol recollida i compartició de dades que no compleixi aquestes condicions. També has de tenir en compte si l'aplicació recopila altra informació financera, com ara l'historial de compres, i si rep dades rellevants del servei de pagament, per exemple, per evitar fraus i riscos.

Depèn de la implementació específica. Si l'usuari decideix penjar les seves dades directament a una unitat externa o a un compte d'emmagatzematge en núvol (com ara Google Drive, Dropbox o serveis similars), i aquesta pujada es regeix per les condicions del servei i la política de privadesa de la unitat externa o del proveïdor d'emmagatzematge en núvol, i la teva aplicació no recull ni accedeix mai a les dades en qüestió, l'aplicació no ha de declarar la recollida d'aquestes dades.

Has de seguir els millors estàndards del sector per encriptar amb seguretat les dades en trànsit de l'aplicació. Entre els protocols d'encriptació habituals s'inclouen TLS (seguretat de la capa de transport) i HTTPS.

Has de declarar la recollida d'aquestes dades per a la gestió del compte i indicar (si escau) si la recollida és opcional per a l'usuari.

A més, com amb tots els tipus de dades que recull l'aplicació, has de comunicar aquestes dades per a la finalitat amb què es fan servir a l'aplicació. Per exemple, si l'aplicació permet que un usuari afegeixi una data de naixement al seu compte i també utilitza aquestes dades per enviar puntualment notificacions automàtiques, l'aplicació també ha de declarar aquesta finalitat, a més de la gestió del compte.

La gestió del compte es pot utilitzar per abordar usos generals de les dades dels comptes que no són específiques de l'aplicació en qüestió. Per exemple, si utilitzes la informació del compte per prevenir fraus o amb finalitats publicitàries, de màrqueting o de comunicacions del desenvolupador en tots els teus serveis i aquest ús no és específic de l'aplicació o de l'activitat que hi fas, en declarar que la finalitat de la recollida d'aquesta informació és la "gestió del compte" ja abordes aquests usos generals a la secció Seguretat de les dades. Tanmateix, l'aplicació ha de declarar sempre totes les finalitats per a les quals utilitza les dades. Com a pràctica recomanada, creiem convenient que comuniquis la manera com la teva aplicació tracta les dades d'usuari en relació amb els serveis del compte com a part del procés de registre i documentació del nivell de compte.

Els serveis del sistema són els programes preinstal·lats en els quals es basa la funcionalitat principal del sistema. Els serveis del sistema poden sol·licitar una exempció per a no haver d'emplenar el formulari de seguretat de les dades.

Pots comprovar l'estat de l'enviament a la pàgina Contingut de l'aplicació (Política > Contingut de l'aplicació) de Play Console. Si l'enviament compleix les polítiques, veuràs una marca de verificació verda a la secció Seguretat de les dades.

Nota: les nostres polítiques s'apliquen a través de sistemes i processos que es van millorant contínuament. A més, els canvis i les actualitzacions de les nostres polítiques poden comportar que s'apliquin mesures en aplicacions aprovades anteriorment, després de l'enviament inicial, per l'incompliment de les polítiques.

Google Play notificarà als desenvolupadors si hi ha alguna actualització. Pots consultar la política de dades d'usuari i aquest article del Centre d'ajuda per assegurar-te que estàs al corrent de les indicacions més actualitzades.

Si aquest ús és efímer, no cal que l'incloguis a la resposta del formulari. Tanmateix, has de declarar qualsevol ús d'aquestes dades d'usuari més enllà del tractament efímer, incloses les finalitats per a les quals fas servir les dades d'usuari que registres. Revisa la definició del processament efímer que hi ha a la secció Recollida de dades anterior.

Google recull informació per a la llista de permisos en funció dels permisos que una aplicació hagi declarat al seu fitxer de manifest en el moment de la instal·lació.

La secció Seguretat de les dades mostra quines dades l'aplicació recull i comparteix amb tercers.

A la secció Què han de comunicar els desenvolupadors al formulari de seguretat de les dades, hem afegit una secció nova (Insígnia de Unified Payment Interface (UPI)).

Hem actualitzat la secció Quins desenvolupadors han d'emplenar el formulari de seguretat de les dades a Play Console? perquè proporcioni informació actualitzada sobre les proves internes i els requisits de la secció Seguretat de les dades. També hem suprimit un passatge de text relacionat amb aquesta entrada del registre de canvis del 24 d'agost de 2022, ja que la informació ja no és aplicable i no volem confondre els desenvolupadors que cerquen informació sobre aquest problema.

Hem editat l'article de dalt a baix per suprimir les referències a dates concretes. Aquestes referències es van incloure inicialment (i s'actualitzaven periòdicament) abans, durant i després del llançament de la secció Seguretat de les dades a Play Console per ajudar els desenvolupadors a entendre quins eren els requisits en cada moment. Com que la secció Seguretat de les dades ja s'ha publicat a Google Play, hem suprimit la cronologia original i les referències a dates concretes.

Hem afegit informació addicional al tipus de dades "Interaccions amb l'aplicació" (aquesta opció ara inclou les "captures de pantalla fetes").

Hem actualitzat la secció Quins desenvolupadors han d'emplenar el formulari de seguretat de les dades a Play Console? perquè reflecteixi que, a partir del 24 d'octubre de 2022, no caldrà incloure a la secció Seguretat de les dades aquells canals que estiguin actius als canals de prova interna. Les aplicacions que estiguin actives exclusivament en aquest canal no hauran d'emplenar la declaració.

Hem actualitzat la informació del calendari a la secció "Preparar la informació" per explicar que, en cas d'enviar aplicacions noves o d'actualitzar aplicacions que no compleixin les polítiques, es rebrà un advertiment que indica que aquests enviaments i aquestes actualitzacions d'aplicacions es rebutjaran a Play Console si hi ha problemes pendents de resoldre amb el formulari. També hem actualitzat aquesta secció amb informació sobre què passarà quan finalitzi aquest període d'advertiment, el 22 d'agost de 2022.

A la secció Què han de comunicar els desenvolupadors al formulari de seguretat de les dades, hem fet els canvis següents a la subsecció Revisió de seguretat independent (disponible per a totes les aplicacions):

• Hem canviat el títol de "Revisió de seguretat independent (versió beta a partir del març de 2022, amb disponibilitat general properament)" a "Revisió de seguretat independent (ara disponible per a tots els desenvolupadors)", ja que aquesta funció ara està disponible per a totes les aplicacions.
• Hem actualitzat la subsecció per incloure-hi informació per als desenvolupadors interessats a participar en una revisió de seguretat independent.

Hem fet els canvis següents a la secció Preguntes més freqüents:

• Hem actualitzat la resposta a la pregunta "He de proporcionar un mecanisme de supressió? Ha de ser per a totes les dades d'usuari?".
• Just a sota d'aquesta pregunta, hem afegit també tres preguntes i respostes noves que proporcionen informació més detallada sobre els mecanismes de supressió de dades i el formulari de seguretat de les dades.
• Hem afegit una pregunta nova sobre la diferència entre la llista de permisos i la secció Seguretat de les dades d'una aplicació. Hem retirat una pregunta sobre les aplicacions orientades a versions anteriors d'Android.

A la secció Informació general, hem afegit una línia per animar els desenvolupadors a consultar Google Play SDK Index per veure si el seu proveïdor ha proporcionat un enllaç a les directrius. Pots llegir l'article del Centre d'ajuda Prendre decisions fonamentades amb Google Play SDK Index per obtenir més informació.

A la secció Preparar la informació, hem afegit una recomanació per veure el vídeo amb el videotutorial de PolicyBytes de Google Play sobre la seguretat de les dades, que et mostra tots els recursos i els passos necessaris per emplenar el formulari de seguretat de les dades.

A la secció Informació general, hem afegit una línia per animar determinats desenvolupadors a consultar la informació sobre la seguretat de les dades publicada pels proveïdors d'SDK, com ara Firebase i AdMob.

Hem actualitzat la informació del calendari a la secció "Preparar la informació" amb una referència al missatge que els usuaris veurien a Google Play a l'entrada de juliol de 2022. Anteriorment hi deia "No hi ha dades disponibles" i s'ha actualitzat a "No hi ha informació disponible".

A la secció Preguntes més freqüents, hem fet els canvis següents:

• Hem afegit una pregunta i una resposta noves sobre els serveis del sistema.
• Hem afegit una pregunta i una resposta noves sobre les opcions de resolució de problemes si no pots veure les darreres actualitzacions de Seguretat de les dades a Google Play.
• Hem actualitzat les respostes existents relacionades amb el temps que tarden a mostrar-se a Google Play i a la gestió del compte les actualitzacions de Seguretat de les dades.

El 8 d'abril de 2022, vam corregir el nom del tipus de dades "Fotos i vídeos" (anteriorment es mostrava com a "Fotos o vídeos").

El 24 de febrer de 2022 vam fer una sèrie de canvis en aquest article, que es descriuen a continuació.

Canvis en la informació del calendari

Hem actualitzat la informació del calendari a la secció "Preparar la informació" de la manera següent:

• Anteriorment, vam dir que, a partir del febrer de 2022, la secció Seguretat de les dades estaria disponible a Google Play per a tots els usuaris. Aquesta data s'ha actualitzat a finals d'abril de 2022.
• Anteriorment, vam dir que, a partir de l'abril de 2022, els enviaments d'aplicacions noves i les actualitzacions d'aplicacions es rebutjarien a Play Console si hi havia problemes pendents de resoldre amb el formulari. Aquesta data s'ha actualitzat al 20 de juliol de 2022.
• Anteriorment, vam dir que, a partir de l'abril de 2022, era possible que en el futur les aplicacions que no complissin les polítiques s'enfrontessin a mesures d'aplicació addicionals més endavant. Aquesta data s'ha actualitzat a després del 20 de juliol de 2022.

Hem actualitzat altres referències a dates de l'article perquè es corresponguin amb les dates revisades anteriors.

Aclariments sobre què han de comunicar els desenvolupadors en relació amb els diversos tipus de dades

A la secció "Què han de comunicar els desenvolupadors al formulari de seguretat de les dades", hem fet els canvis següents a la subsecció "Què han de comunicar els desenvolupadors en relació amb els diversos tipus de dades":

• Hem afegit instruccions per explicar com poden mostrar la insígnia d'aplicacions per a famílies els desenvolupadors que tenen aplicacions amb les quals s'han compromès a complir la política d'aplicacions per a famílies a partir de l'1 de març de 2022.  
• A Altres comunicacions sobre aplicacions i dades, "Mecanisme de supressió" s'ha canviat per "Mecanisme de sol·licitud de supressió".
• També hem actualitzat la secció Revisió de seguretat independent amb informació més detallada sobre aquesta funció.

Actualitzacions a Tipus de dades i finalitats

Hem fet petits canvis als noms dels tipus de dades:

• El tipus de dades "Identificadors personals" ara s'anomena "Identificadors d'usuari".
• El tipus de dades "Targeta de crèdit, targeta de dèbit o número de compte bancari" ara s'anomena "Informació de pagament de l'usuari".
• El tipus de dades "Informació de crèdit" ara s'anomena "Puntuació creditícia".
• Hem afegit l'exemple del salari o dels deutes de l'usuari al tipus de dades "Altres dades financeres".
• El tipus de dades "Informació sanitària" es manté igual.
• El tipus de dades "Informació de fitnes" es manté igual.
• El tipus de dades "Missatges SMS o MMS" ara s'anomena "SMS o MMS".
• El tipus de dades "Visualitzacions de pàgina i tocs a l'aplicació" ara s'anomena "Interaccions amb l'aplicació" i se n'ha actualitzat la descripció.
• S'han actualitzat les descripcions dels tipus de dades "Altre contingut generat per l'usuari" i "Altres accions".
• El tipus de dades "Altres dades personals" ara s'anomena "Informació addicional".
• La categoria "Dispositiu o altres identificadors" ara s'anomena "Identificadors de dispositiu o d'un altre tipus".

Hem fet aclariments sobre les finalitats de les dades:

• S'ha actualitzat l'exemple de "Comunicacions del desenvolupador".
• S'ha actualitzat l'exemple de "Publicitat o màrqueting".
• S'ha actualitzat l'exemple de "Gestió del compte".

Altres canvis

A la secció Visió general, hem afegit imatges addicionals per mostrar què veuran els usuaris si l'aplicació no comparteix dades d'usuari.

Hem afegit preguntes freqüents noves, com ara temes relacionats amb la gestió del compte, les accions iniciades pels usuaris, l'ús de plataformes de pagament i l'encriptació.

Hem actualitzat la definició del tractament efímer que hi ha a la secció Recollida de dades i hem afegit una nova pregunta freqüent sobre aquest tema.

El 14 de desembre de 2021, vam actualitzar el tipus de dades que inicialment s'anomenaven "Orientació sexual i identitat de gènere". Ara, aquest tipus de dades s'anomenen "Orientació sexual" i només fan referència a l'orientació sexual.

També vam actualitzar el tipus de dades "Altres dades personals" per incloure la identitat de gènere com a exemple d'altres dades personals.