Fornire informazioni per la sezione Sicurezza dei dati di Google Play

Questo video illustra tutte le risorse e i passaggi necessari per compilare il modulo Sicurezza dei dati.

"Raccogliere" significa trasmettere dati dalla tua app al di fuori del dispositivo di un utente. Tieni conto delle seguenti linee guida:

• Librerie e SDK: sono inclusi i dati utente trasmessi dalla tua app a partire dal dispositivo tramite librerie e/o SDK utilizzati nell'app, indipendentemente dal fatto che i dati vengano trasmessi a te o a un server di terze parti.
• WebView: include anche i dati utente raccolti da un componente WebView aperto dalla tua app, se quest'ultima ha il controllo del codice/comportamento eseguito tramite il componente in questione.
  • Non è necessario dichiarare la raccolta di dati da un componente WebView in cui gli utenti navigano sul Web aperto.
• Trattamento temporaneo: i dati utente trasmessi a partire da un dispositivo che vengono trattati temporaneamente devono essere inclusi nella risposta al modulo. Tuttavia, se soddisfano lo standard riportato di seguito, non verranno dichiarati nella sezione Sicurezza dei dati della tua app su Google Play.
  • Per trattamento "temporaneo" si intende l'accesso o l'utilizzo dei dati che vengano esclusivamente archiviati in memoria e conservati non oltre il tempo necessario a elaborare la richiesta specifica in tempo reale.
  • Ad esempio, un'app meteo che trasmette la posizione dell'utente a partire dal dispositivo per recuperare le condizioni meteo attuali nella sua posizione, ma utilizza i dati sulla posizione soltanto all'interno della memoria e non li archivia una volta soddisfatta la richiesta, può considerare questo utilizzo della posizione come temporaneo. Tuttavia, l'utilizzo dei dati per creare profili pubblicitari o altri profili utente non può essere considerato temporaneo e deve essere dichiarato come raccolta o condivisione per le finalità pertinenti.
• Dati con assegnazione di pseudonimi: i dati utente raccolti con assegnazione di pseudonimi devono essere comunicati. Ad esempio, devono essere comunicati i dati che possono essere ragionevolmente riassociati a un utente.

Casi che non rientrano nell'ambito della raccolta di dati

Non è necessario comunicare i seguenti casi d'uso nell'ambito della raccolta di dati:

• Accesso/trattamento sul dispositivo: non è necessario comunicare i dati utente a cui accede la tua app che vengono trattati soltanto localmente sul dispositivo dell'utente e non vengono trasmessi al di fuori del dispositivo.
• Crittografia end-to-end: non è necessario comunicare i dati utente trasmessi a partire dal dispositivo, ma che sono illeggibili per te o per le persone diverse dal mittente e dal destinatario perché protetti dalla crittografia end-to-end.
  • I dati criptati non devono essere leggibili ad alcuna entità intermedia, incluso lo sviluppatore, e soltanto il mittente e il destinatario possono avere le chiavi necessarie.

Per "condivisione" si intende il trasferimento dei dati utente raccolti dalla tua app a una terza parte. Sono inclusi i dati utente trasferiti:

• Dal dispositivo, come i trasferimenti da server a server. Ad esempio, se trasferisci i dati utente raccolti dalla tua app dal tuo server a un server di terze parti.
• Trasferimento a un'altra app sul dispositivo. Trasferimento di dati utente dalla tua app a un'altra app direttamente sul dispositivo. In questo caso, devi comunicare la condivisione dei dati nelle dichiarazioni all'interno della sezione Sicurezza dei dati anche se la tua app non trasmette i dati al di fuori del dispositivo dell'utente.
• Da librerie e SDK della tua app. Trasferimento di dati raccolti dalla tua app a partire dal dispositivo di un utente direttamente a una terza parte tramite librerie e/o SDK inclusi nella tua app
• Dal componente WebView aperto tramite la tua app. Trasferimento di dati utente a una terza parte tramite un componente WebView aperto dalla tua app, se quest'ultima ha il controllo del codice/comportamento eseguito tramite il componente in questione.
  • Non è necessario dichiarare la condivisione di dati da un componente WebView in cui gli utenti navigano sul web aperto.

Non è necessario indicare come "condivisione" i seguenti tipi di trasferimenti di dati:

• Fornitori di servizi. Trasferimento di dati utente a un "fornitore di servizi" che li elabora per conto dello sviluppatore.
  • "Fornitore di servizi" indica un'entità che tratta i dati utente per conto dello sviluppatore e in base alle sue istruzioni.
• Scopi legali. Trasferimento di dati utente per finalità legali specifiche, ad esempio per adempiere a un obbligo di legge o per soddisfare richieste del governo.
• Azione avviata dall'utente o informativa ben visibile e consenso dell'utente. Trasferimento di dati utente a una terza parte in base a una specifica azione avviata dall'utente, laddove quest'ultimo si aspetti ragionevolmente che i dati vengano condivisi, o sulla base di un'informativa in-app ben visibile e di un consenso che soddisfino i requisiti descritti nelle nostre norme relative ai dati utente.
• Dati anonimi. Trasferimento di dati utente completamente anonimizzati, in modo da non poter più essere associati a un singolo utente.

Prima e terza parte.

• Per "prima parte" si intende l'organizzazione principale responsabile del trattamento dei dati raccolti dall'app, che in genere è l'organizzazione che pubblica l'app su Google Play e compare nella scheda dello Store.
  • La prima parte ha l'obbligo di indicare in modo ragionevolmente chiaro agli utenti quale organizzazione è la principale responsabile del trattamento dei dati raccolti dall'app.
• Per "terza parte" si intende qualsiasi organizzazione diversa dalla prima parte o dai suoi fornitori di servizi.

Puoi anche indicare se ogni tipo di dati raccolto dall'app è "facoltativo" oppure "obbligatorio". L'opzione "Facoltativo" include la possibilità che un utente attivi o disattivi la raccolta dei dati. Ad esempio, puoi dichiarare come "facoltativo" un tipo di dati nel caso in cui un utente abbia il controllo della relativa raccolta e possa utilizzare l'app senza fornire questo tipo di dati oppure nel caso in cui un utente scelga di fornire questo tipo di dati manualmente. Se la funzionalità principale dell'app richiede il tipo di dati, devi dichiarare questi dati come "obbligatori".

Puoi dichiarare che la tua app raccoglie facoltativamente determinati dati soltanto se tutti gli utenti, indipendentemente dal dispositivo o dalla regione, possono, facoltativamente, fornire le informazioni, disattivare o attivare la raccolta dei dati.

Ecco alcuni esempi di raccolta facoltativa dei dati:

• Un'app di social media che richiede la data di nascita di un utente per le comunicazioni di marketing, laddove questa informazione non è obbligatoria perché l'utente può comunque registrarsi senza fornirla.
• Dati utente che vengono raccolti soltanto quando un utente esegue l'accesso, laddove gli utenti possono interagire con l'app senza accedere.

La sezione Sicurezza dei dati offre anche l'opportunità di mettere in evidenza le misure di protezione della privacy e della sicurezza che hai implementato nella tua app. Ad esempio, puoi mettere in evidenza le seguenti informazioni:

• Crittografia dei dati in transito: i dati raccolti o condivisi dall'app tramite la crittografia dei dati in transito per proteggere il flusso dei dati utente dal dispositivo dell'utente finale al server.
  • Alcune app sono progettate per consentire agli utenti di trasferire i dati su un altro sito o servizio. Ad esempio, un'app di messaggistica potrebbe offrire agli utenti la possibilità di inviare un SMS tramite l'operatore di telefonia mobile, che segue misure di crittografia diverse. Nella sezione Sicurezza dei dati di queste app è possibile dichiarare che i dati vengono trasferiti tramite una connessione sicura se le app usano gli standard di settore migliori per criptare in modo sicuro i dati durante il trasferimento tra il dispositivo dell'utente e i server delle app.
• Meccanismo di richiesta di eliminazione: la tua app fornisce agli utenti un modo per richiedere l'eliminazione dei loro dati?

Le app con un pubblico di destinazione costituito da bambini e ragazzi devono rispettare i requisiti delle Norme per le famiglie di Google Play. Se la tua app rientra in questa categoria e hai controllato la sua conformità ai requisiti delle Norme per le famiglie, puoi scegliere di mostrare un badge nella sezione Sicurezza dei dati per indicare il tuo "Impegno a rispettare le Norme per le famiglie di Google Play".

Per mostrare il badge, vai alla sezione "Misure di sicurezza" del modulo Sicurezza dei dati e fai clic su Vai alla sezione Pubblico di destinazione e contenuti per l'attivazione

Nel modulo Sicurezza dei dati puoi scegliere di dichiarare che la tua app è stata esaminata in modo indipendente per verificarne la conformità a uno standard di sicurezza globale. Si tratta di un controllo facoltativo effettuato e pagato dagli sviluppatori. Tramite il MASA (Mobile Application Security Assessment) gli sviluppatori possono collaborare direttamente con un Google Authorized Lab per far valutare la conformità delle proprie app allo standard MASVS (Mobile Application Security Verification Standard) di OWASP. Le organizzazioni di terze parti che eseguono le revisioni lo fanno per conto dello sviluppatore.

Se ti interessa partecipare, puoi contattare direttamente un Google Authorized Lab per avviare la procedura di test. Una volta che il lab ha verificato che la tua app soddisfa tutti i requisiti di sicurezza, puoi scegliere di mostrare un badge nella sezione Sicurezza dei dati per indicare che hai completato il "Controllo della sicurezza indipendente".

Gli Authorized Lab dispongono di un'area fisica dedicata a testare la sicurezza delle app mobile e offrono funzionalità ed esperienza complete nell'ambito dei test di sicurezza. Questi lab sono inoltre conformi alla norma ISO 17025 o a uno standard equivalente riconosciuto dal settore. Se soddisfi questi criteri e ti interessa diventare partner di un lab, compila e invia questo modulo con i dettagli della tua azienda.

Importante: questo controllo indipendente potrebbe non includere la verifica dell'accuratezza e della completezza delle tue dichiarazioni nella sezione Sicurezza dei dati. Anche se utilizzi strumenti di terze parti per eseguire la diagnostica dei controlli di sicurezza della tua app, è tua esclusiva responsabilità effettuare dichiarazioni complete e accurate nella scheda dello Store della tua app su Google Play.

Unified Payments Interface (UPI) è un sistema per il trasferimento istantaneo di denaro sviluppato dalla National Payments Corporation of India (NPCI), un'entità regolamentata dalla RBI. Se al momento utilizzi questo sistema di trasferimento dei pagamenti, puoi scegliere di dichiararlo nel modulo Sicurezza dei dati. Se ti interessa partecipare o hai domande, puoi contattare direttamente NPCI per conoscere i criteri di idoneità relativi a come ottenere l'accreditamento della tua app. Le app con questo accreditamento potrebbero essere idonee a mostrare un badge nella scheda del Play Store per verificare che NPCI abbia convalidato l'implementazione di UPI di questa app. Il badge avrà la dicitura "Offre pagamenti tramite UPI" e non verrà mostrato agli utenti, a meno che non lo indichi tu tramite attivazione nel modulo Sicurezza dei dati di Play Console. Il badge è visibile soltanto agli utenti di Google Play residenti in India.

Agli sviluppatori verrà chiesto di fornire informazioni su raccolta, condivisione e altre procedure relative a diversi tipi di dati utente, nonché sulle finalità per cui questi dati vengono utilizzati.

Il file CSV contiene una riga per risposta. Le risposte a domande a scelta multipla e a scelta singola vengono applicate su più righe, in base al numero di opzioni disponibili. Per rispondere a una domanda, inserisci TRUE o FALSE nella cella corrispondente nella colonna "Valore della risposta" oppure lascia la cella vuota se la domanda è facoltativa o stai rispondendo a una domanda a scelta multipla. La colonna "Requisito di risposta" indica se una risposta è obbligatoria o meno e può contenere i seguenti valori:

• OPTIONAL: non è obbligatorio, può essere lasciato vuoto.
• REQUIRED: obbligatorio, devi fornire un valore di risposta.
• MULTIPLE_CHOICE: puoi fornire un valore di risposta pari a TRUE per almeno una delle opzioni di risposta per l'ID domanda corrispondente. Puoi lasciare vuote le altre risposte.
• SINGLE_CHOICE: puoi fornire un valore di risposta pari a TRUE per una delle opzioni di risposta per l'ID domanda corrispondente. Puoi lasciare vuote le altre risposte.
• MAYBE_REQUIRED: obbligatorio solo se vengono soddisfatte determinate condizioni, ad esempio in base alla risposta a una domanda precedente.

La tabella seguente fornisce un esempio per le sezioni "Nome" e "Posizione approssimativa" del modulo Sicurezza dei dati. Contiene:

• Una domanda a scelta multipla
• Una domanda obbligatoria
• Una domanda facoltativa

1. Apri Play Console e vai alla pagina Contenuti app (Norme > Contenuti app).
2. Nella sezione "Sicurezza dei dati", seleziona Inizia.
3. In alto a destra nella pagina, seleziona Esporta in formato CSV.

Importante: le risposte già inserite nel modulo verranno sovrascritte quando importi un file CSV.

1. Apri Play Console e vai alla pagina Contenuti app (Norme > Contenuti app).
2. Nella sezione "Sicurezza dei dati", seleziona Inizia.
3. In alto a destra nella pagina, seleziona Importa CSV.

La possibilità di inviare i moduli Sicurezza dei dati in Play Console è presente da ottobre e concederemo un periodo di tolleranza fino al 20 luglio 2022, che dovrebbe rappresentare un termine ampiamente sufficiente. Al momento non prevediamo di concedere estensioni.

In breve, sì. Devi fornire informazioni precise che riflettano le prassi di raccolta e gestione dei dati della tua app. Sei responsabile delle informazioni che fornisci. Google Play esamina le app in base a tutti i requisiti previsti dalle norme. Tuttavia, non possiamo decidere per conto degli sviluppatori la modalità di gestione dei dati utente. Solo tu possiedi tutti i dati necessari per compilare il modulo Sicurezza dei dati.

Qualora dovessimo riscontrare che hai rappresentato in modo ingannevole i dati forniti e che violi le norme, ti chiederemo di porre rimedio alla situazione. Le app che non vengono rese conformi sono soggette all'applicazione forzata delle norme, ad esempio il blocco degli aggiornamenti o la rimozione da Google Play.

Dopo aver inviato una nuova app o un aggiornamento di un'app esistente in Play Console, potrebbe essere necessario un po' di tempo per l'elaborazione dell'app ai fini della pubblicazione standard su Google Play. Alcune app potrebbero essere soggette a controlli estesi che potrebbero comportare tempi di revisione anche di 7 giorni, o più lunghi in casi eccezionali.

I nuovi contenuti inviati e gli aggiornamenti delle app devono rispettare le Norme del programma per gli sviluppatori di Google Play. Puoi controllare la pagina Panoramica della pubblicazione di Play Console per verificare se l'app inviata è ancora in attesa di revisione.

Se l'ultimo aggiornamento è pronto e non vedi ancora il modulo relativo alla sezione Sicurezza dei dati su Google Play, puoi controllare se la pubblicazione gestita è attiva in Play Console. Se la pubblicazione gestita è attiva, la tua release non sarà disponibile finché non la pubblichi. Puoi implementare la release dalla pagina Panoramica della pubblicazione. I contenuti inviati approvati verranno pubblicati e resi disponibili su Google Play subito dopo.

Se hai aggiornato i contenuti della sezione Sicurezza dei dati, ma non vedi le informazioni più recenti su Google Play, prova ad aggiornare la pagina dell'app. Tieni presente che, a causa della connettività dei dispositivi e del diverso carico del server, potrebbero essere necessari diversi giorni (in alcuni casi fino a 7 giorni) affinché gli aggiornamenti delle app raggiungano tutti i dispositivi. Ti chiediamo gentilmente di pazientare mentre Google Play registra e invia l'aggiornamento della tua app.

Sembra che tu abbia una buona gestione delle pratiche relative ai dati della tua app, ottimo. Nel modulo Sicurezza dei dati sono richieste informazioni aggiuntive e diverse che potresti non avere mai inserito in precedenza, pertanto ti invitiamo a tenere presente che questa operazione richiede impegno da parte del tuo team. La tassonomia e il framework della sezione Sicurezza dei dati su Google Play possono essere sostanzialmente diversi da quelli utilizzati in altri store.

Proprio come per le norme sulla privacy o per i dettagli delle app quali screenshot e descrizioni, gli sviluppatori sono responsabili delle informazioni divulgate nella sezione Sicurezza dei dati. Le norme relative ai dati utente di Google Play richiedono agli sviluppatori di fornire informazioni precise. Se riscontriamo che uno sviluppatore ha rappresentato in modo ingannevole i dati forniti e che viola le norme, gli chiederemo di porre rimedio alla situazione. Le app che non vengono rese conformi sono soggette all'applicazione forzata delle norme.

Gli utenti di Google Play devono avere la certezza che i loro dati siano al sicuro. Lanciamo continuamente nuove funzionalità e norme per proteggere la privacy degli utenti e mantenere Google Play un luogo affidabile per tutti. Alcune nuove funzionalità e norme di Google Play offrono migliori controlli e una maggiore trasparenza per gli utenti. Altre contribuiscono a garantire che gli sviluppatori accedano ai dati personali solo quando sono necessari per l'utilizzo principale dell'app. Le Norme del programma per gli sviluppatori di Google Play esistenti, come queste, prevedono vari requisiti relativi alla trasparenza e al controllo dei dati. Le app non conformi alle Norme del programma per gli sviluppatori di Google Play sono soggette all'applicazione delle stesse.

Dovresti aggiornare la sezione Sicurezza dei dati quando si verificano modifiche sostanziali alle pratiche relative ai dati applicate dall'app. Le risposte del modulo Sicurezza dei dati devono essere sempre precise e complete.

La sezione Sicurezza dei dati può aiutare le persone a stabilire autonomamente quali app scaricare. Consente inoltre agli sviluppatori di instaurare un rapporto di fiducia con gli utenti più coinvolti, che sanno bene che i loro dati verranno trattati in modo responsabile. Gli sviluppatori ci hanno comunicato di voler trovare modi più chiari per comunicare agli utenti le proprie pratiche relative ai dati.

Nella scheda dello Store di Google Play sono disponibili un modulo Sicurezza dei dati e una sezione Sicurezza dei dati globali per ciascun nome del pacchetto. Né il modulo né la sezione includono riferimenti relativi all'utilizzo, alla versione dell'app, alla regione e all'età degli utenti. In altre parole, se in qualsiasi versione dell'app attualmente distribuita su Google Play e in qualsiasi parte del mondo è presente una raccolta, un utilizzo o un collegamento, devi indicarlo nel modulo. Pertanto, nella sezione Sicurezza dei dati viene descritta la somma della raccolta e della condivisione dei dati dell'app in tutte le versioni attualmente distribuite su Google Play. Puoi utilizzare la sezione "Informazioni su questa app" per condividere con gli utenti informazioni specifiche sulla versione.

Al momento rispecchiamo la rappresentazione globale delle pratiche relative ai dati per ogni app. Nella sezione Sicurezza dei dati viene descritta la somma della raccolta e della condivisione dei dati della tua app in tutte le sue versioni attualmente distribuite su Google Play. Puoi utilizzare la sezione "Informazioni su questa app" per condividere con gli utenti informazioni specifiche sulla versione. La sezione Sicurezza dei dati include un chiarimento per gli utenti di Google Play circa le pratiche di raccolta e sicurezza dei dati di un'app, le quali possono variare in base a una serie di fattori, ad esempio la regione.

No, la sezione Sicurezza dei dati viene presentata soltanto nella scheda dello Store dell'app su Google Play; non ci sono nuove informative nella procedura di installazione dell'app da parte dell'utente e non è richiesto alcun nuovo consenso dell'utente relativamente a questa funzionalità. Gli sviluppatori che raccolgono dati utente personali e sensibili devono implementare le informative in-app e il consenso ove richiesto dalle norme relative ai dati utente di Google Play esistenti.

Nella sezione Sicurezza dei dati viene descritta la somma della raccolta e della condivisione dei dati dell'app in tutte le versioni attualmente distribuite su Google Play. Se una versione dell'app richiede la raccolta di determinati dati, devi dichiarare la raccolta come necessaria per la sezione Sicurezza dei dati. Non descrivere la raccolta come facoltativa se questa è obbligatoria per alcuni utenti della tua app. Puoi utilizzare la sezione "Informazioni su questa app" per condividere con gli utenti informazioni specifiche sulla versione.

Non è necessario dichiarare la raccolta o la condivisione dei dati, a meno che questi ultimi non siano effettivamente raccolti e/o condivisi. L'app deve essere conforme a tutte le Norme del programma per gli sviluppatori di Google Play, incluse le norme relative ad autorizzazioni e API che accedono a informazioni sensibili.

Se stai raccogliendo intenzionalmente un tipo di dati durante la raccolta di un altro tipo di dati, devi indicare entrambi. Ad esempio, se raccogli foto degli utenti e le utilizzi per determinarne le caratteristiche (etnia o gruppo etnico) devi dichiarare anche la raccolta di informazioni relative a etnia e gruppo etnico.

La sezione Sicurezza dei dati offre una piattaforma da condividere se fornisci un meccanismo per ricevere le richieste di eliminazione dei dati dagli utenti. Durante la compilazione del modulo Sicurezza dei dati, devi indicare se viene fornito questo meccanismo.

Non esiste un meccanismo standard, tuttavia, come best practice, il meccanismo di richiesta deve essere facilmente rilevabile e accessibile da parte degli utenti. Esempi comuni di meccanismi che indicano chiaramente un percorso tramite il quale gli utenti possono richiedere l'eliminazione dei dati possono includere, a titolo esemplificativo, funzionalità in-app, moduli di contatto o alias email dedicati.

Puoi selezionare il badge del meccanismo di richiesta di eliminazione nel modulo Sicurezza dei dati se:

• fornisci agli utenti un meccanismo per richiedere l'eliminazione dei dati; o
• avvii automaticamente l'eliminazione o l'anonimizzazione dei dati raccolti entro 90 giorni dalla raccolta.

Puoi selezionare il badge del meccanismo di richiesta di eliminazione anche se devi conservare alcuni dati per motivi legittimi, come la conformità legale o la prevenzione degli abusi.

Nella scheda dello Store di Google Play sono disponibili un modulo Sicurezza dei dati e una sezione Sicurezza dei dati globali per ciascun nome del pacchetto, i quali devono includere pratiche relative ai dati basate su qualsiasi utilizzo, versione dell'app, regione ed età degli utenti. In altre parole, se in qualsiasi versione dell'app attualmente distribuita su Google Play e in qualsiasi parte del mondo è presente una pratica relativa ai dati, devi indicarla nel modulo. Pertanto, nella sezione Sicurezza dei dati verrà descritta la somma della raccolta e della condivisione dei dati dell'app in tutte le versioni attualmente distribuite su Google Play.

Esistono diversi metodi per anonimizzare i dati in modo che non possano essere associati a un singolo utente. Consulta i tuoi esperti di privacy e sicurezza per identificare i metodi applicabili al tuo caso d'uso. Ad esempio, in questa pagina vengono descritti alcuni metodi di anonimizzazione dei dati utilizzati da Google, come la privacy differenziale.

Come per altri tipi di dati, devi comunicare la raccolta, l'utilizzo e la condivisione degli indirizzi IP in base al loro utilizzo e alle loro pratiche particolari. Ad esempio, se gli sviluppatori utilizzano gli indirizzi IP per determinare la posizione, questo tipo di dati dovrebbe essere dichiarato.

Come per altri tipi di dati, devi indicare la raccolta, l'utilizzo e la condivisione di tipi di identificatori differenti in base a pratiche e utilizzo specifici. Ad esempio, la raccolta del nome di un account associato a una persona identificabile deve essere considerata come un "Identificatore personale" e la raccolta dell'ID pubblicità di Android di un utente deve essere dichiarata come "Identificatore del dispositivo o altri identificatori". Un altro esempio: un identificatore correlato a uno specifico evento in-app, ma che non è ragionevolmente correlato a un singolo dispositivo, browser o app, non dovrebbe essere indicato come "Identificatore del dispositivo o altri identificatori".

Come indicato sopra, la raccolta dei dati tramite assegnazione di pseudonimi deve essere divulgata all'interno del tuo modulo, nel tipo di dati pertinente. Ad esempio, se raccogli informazioni di diagnostica con un identificatore del dispositivo, devi comunque rendere nota la raccolta "Diagnostica" nel modulo Sicurezza dei dati.

Un fornitore di servizi può solo trattare i dati utente per tuo conto. Ad esempio, sarà generalmente considerato "fornitore di servizi" un fornitore di analisi che tratta i dati utente della tua app esclusivamente per tuo conto o un fornitore di cloud che ospita i dati utente della tua app per l'utilizzo da parte tua. Se, invece, un fornitore di SDK crea profili pubblicitari per più clienti in base ai dati della tua app, non viene considerato un "fornitore di servizi" ai fini della sezione Sicurezza dei dati e la sua attività dovrebbe essere riportata come "condivisione" all'interno del modulo Sicurezza dei dati.

Dipende dalla natura dell'integrazione con il servizio di pagamento. Se la tua app usa un servizio di pagamento come PayPal, Google Pay, il sistema di fatturazione di Google Play o servizi simili per completare le transazioni di pagamento, non è necessario dichiarare la raccolta dei dati in relazione alle informazioni raccolte dal servizio di pagamento in connessione con l'elaborazione delle transazioni finanziarie, ad esempio il numero di una carta di credito, a condizione che vengano soddisfatte le seguenti condizioni:

• L'app non accede mai a queste informazioni; e
• Il servizio di pagamento raccoglie queste informazioni direttamente dall'utente e la raccolta è regolata dai termini di questo servizio.

Ti consigliamo di verificare attentamente l'integrazione con il servizio di pagamento per garantire che nella sezione Sicurezza dei dati dell'app venga dichiarata qualsiasi raccolta e condivisione di dati pertinente che non soddisfi queste condizioni. Dovresti inoltre valutare se la tua app raccoglie altre informazioni finanziarie, quali ad esempio la cronologia degli acquisti, e se riceve dati pertinenti dal servizio di pagamento, ad esempio per finalità antifrode e di gestione del rischio.

Dipende dalle singole implementazioni. Se l'utente sceglie di caricare i propri dati direttamente sulla propria unità esterna o account collegato a uno spazio di archiviazione sul cloud (ad esempio Google Drive, Dropbox o servizi simili), questo caricamento è regolato dai termini di servizio e dalle norme sulla privacy dell'unità esterna o del fornitore dello spazio di archiviazione sul cloud e la tua app non raccoglie né accede mai ai dati in questione, non è necessario che dichiari la raccolta di questi dati.

Devi seguire i migliori standard di settore per criptare in tutta sicurezza i dati in transito della tua app. Tra i protocolli di crittografia comuni possiamo citare TLS (Transport Layer Security) e HTTPS.

Devi dichiarare la raccolta di questi dati ai fini della gestione dell'account, indicando (se applicabile) i casi in cui questa raccolta è facoltativa per l'utente.

Inoltre, come per qualsiasi tipo di dati raccolto dall'app, devi indicare le finalità per le quali la tua app utilizza questi dati. Ad esempio, se l'app consente a un utente di aggiungere una data di nascita al proprio account e utilizza questi dati anche per inviare notifiche push al momento opportuno, la tua app dovrebbe dichiarare questa finalità, oltre a quella di gestione dell'account.

È possibile indicare la gestione dell'account anche in caso di utilizzi generici di dati dell'account non specifici per l'app. Ad esempio, se utilizzi i dati dell'account per attività di prevenzione delle frodi, pubblicità, marketing o comunicazioni dello sviluppatore nei tuoi servizi e questo utilizzo non è specifico per la tua app o le attività al suo interno, la dichiarazione che la raccolta avviene ai fini della "gestione dell'account" sarà sufficiente per coprire questi utilizzi generici nella sezione Sicurezza dei dati. Tuttavia, la tua app deve sempre dichiarare tutti gli scopi per cui utilizza i dati. Come best practice, ti consigliamo di indicare in che modo l'app gestisce i dati utente per i servizi dell'account nell'ambito della documentazione a livello di account e della procedura di registrazione.

I servizi di sistema sono software preinstallati che supportano la funzionalità di base del sistema. I servizi di sistema possono richiedere l'esenzione dal completamento del modulo Sicurezza dei dati.

Puoi controllare lo stato di quanto inviato alla pagina Contenuti app (Norme > Contenuti app) in Play Console. Se quanto inviato è conforme, vedrai un segno di spunta verde nella sezione "Sicurezza dei dati".

Nota: le nostre norme vengono applicate tramite sistemi e processi sottoposti a continui miglioramenti. Inoltre, le modifiche e gli aggiornamenti apportati alle nostre norme possono comportare, in un momento successivo all'invio originale, l'applicazione di misure per mancanza di conformità ad app approvate in precedenza.

Google Play invierà una notifica agli sviluppatori relativa agli eventuali aggiornamenti. Consulta le nostre norme relative ai dati utente e questo articolo del Centro assistenza per accertarti di essere a conoscenza delle linee guida più aggiornate.

Se l'utilizzo è temporaneo, non è necessario includerlo nella risposta del modulo. Tuttavia, è necessario dichiarare qualsiasi utilizzo di questi dati che va oltre il trattamento temporaneo, inclusi eventuali scopi per cui fai uso dei dati utente che registri. Rivedi la definizione di trattamento temporaneo nella sezione Raccolta dei dati riportata sopra.

Google raccoglie informazioni per l'elenco delle autorizzazioni in base alle autorizzazioni al momento dell'installazione dichiarate da un'app nel file manifest.

La sezione Sicurezza dei dati indica i dati che l'app raccoglie e condivide con terze parti.

Nella sezione Cosa devono comunicare gli sviluppatori nel modulo Sicurezza dei dati, abbiamo aggiunto una nuova sezione (Badge Unified Payments Interface (UPI)).

Abbiamo aggiornato la sezione Quali sviluppatori devono completare il modulo Sicurezza dei dati in Play Console? per fornire informazioni aggiornate relative ai requisiti per i test interni e la sezione Sicurezza dei dati. Abbiamo anche rimosso un passaggio di testo a questo proposito dalla voce del log delle modifiche del 24 agosto 2022, in quanto queste informazioni non sono più applicabili e non vogliamo confondere gli sviluppatori che cercano informazioni su questo problema.

Abbiamo modificato l'articolo in modo da rimuovere i riferimenti a date specifiche. Questi riferimenti sono stati inizialmente inclusi (e aggiornati periodicamente) prima, durante e dopo il lancio della sezione Sicurezza dei dati in Play Console per aiutare gli sviluppatori a capire quali erano i requisiti in ogni momento. Poiché la sezione Sicurezza dei dati è ora disponibile su Google Play, abbiamo rimosso le tempistiche e i riferimenti originali a date specifiche.

Abbiamo aggiunto ulteriori informazioni al tipo di dati "Interazioni con l'app", che ora include gli "screenshot acquisiti".

Abbiamo aggiornato la sezione Quali sviluppatori devono completare il modulo Sicurezza dei dati in Play Console? per indicare che, a partire dal 24 ottobre 2022, non è necessario includere nella sezione Sicurezza dei dati i canali attivi su canali di test interni. Non occorre completare la dichiarazione per le app attive soltanto su questo tipo di canale.

Abbiamo aggiornato i dettagli relativi alle Informazioni sulle tempistiche nella sezione "Preparare le informazioni" per spiegare che le nuove app inviate e gli aggiornamenti delle app non conformi riceveranno opportuni avvisi sul rifiuto in Play Console se sono presenti problemi non risolti relativi al modulo. Abbiamo inoltre aggiornato questa sezione con i dettagli su cosa succederà al termine del periodo di avviso, ovvero il 22 agosto 2022.

Nella sezione Cosa devono comunicare gli sviluppatori nel modulo Sicurezza dei dati, abbiamo apportato le seguenti modifiche alla sottosezione Controllo della sicurezza indipendente (ora disponibile per tutte le app):

• Abbiamo modificato il titolo da "Controllo della sicurezza indipendente (beta a partire da marzo 2022, a breve disponibile in generale)" a "Controllo della sicurezza indipendente (ora disponibile per tutti gli sviluppatori)" dal momento che questa funzionalità è ora disponibile per tutte le app.
• Abbiamo aggiornato la sottosezione per includere informazioni per gli sviluppatori interessati a partecipare a un controllo di sicurezza indipendente.

Abbiamo apportato le seguenti modifiche alla sezione Domande frequenti:

• Abbiamo aggiornato la risposta alla domanda "Devo fornire un meccanismo di eliminazione? Deve essere valido per tutti i dati utente?"
• Direttamente sotto questa domanda abbiamo anche aggiunto tre nuove domande e risposte che forniscono informazioni più dettagliate sui meccanismi di eliminazione dei dati e sul modulo Sicurezza dei dati.
• Abbiamo aggiunto una nuova domanda sulla differenza tra l'elenco delle autorizzazioni e la sezione Sicurezza dei dati di un'app. Abbiamo rimosso una domanda sulle app destinate a versioni precedenti di Android.

Nella sezione Panoramica, abbiamo aggiunto una riga che invita gli sviluppatori a controllare il Google Play SDK Index per verificare se il fornitore ha fornito un link alle istruzioni. Per scoprire di più, leggi l'articolo del Centro assistenza Fare scelte consapevoli con Google Play SDK Index.

Nella sezione Preparare le informazioni abbiamo aggiunto il consiglio di guardare il video tutorial sul modulo Sicurezza dei dati di Google Play PolicyBytes, che illustra tutte le risorse e i passaggi necessari per compilare il modulo Sicurezza dei dati.

Nella sezione Panoramica abbiamo aggiunto una riga che invita alcuni sviluppatori a fare riferimento alle informazioni pubblicate sulla sicurezza dei dati dei rispettivi fornitori di SDK, ad esempio Firebase e AdMob.

Abbiamo aggiornato i dettagli relativi a Informazioni sulle tempistiche nella sezione "Preparare le informazioni" con un riferimento al messaggio che gli utenti vedranno su Google Play a luglio 2022 (in precedenza diceva "Nessun dato disponibile", è stato aggiornato in "Nessuna informazione disponibile")

Nella sezione Domande frequenti, abbiamo apportato le seguenti modifiche:

• Abbiamo aggiunto una nuova domanda e risposta sui servizi di sistema.
• Abbiamo aggiunto una nuova domanda e risposta sulle opzioni di risoluzione dei problemi quando non è possibile visualizzare gli ultimi aggiornamenti relativi a Sicurezza dei dati su Google Play.
• Abbiamo aggiornato le risposte esistenti relative al tempo necessario per visualizzare gli aggiornamenti relativi a Sicurezza dei dati su Google Play e nella gestione dell'account.

L'8 aprile 2022 abbiamo corretto il nome del tipo di dati "Foto e video" (precedentemente elencato come "Foto o video").

Il 24 febbraio 2022 abbiamo apportato a questo articolo le modifiche descritte di seguito.

Modifiche alle informazioni sulle tempistiche

Abbiamo aggiornato i dettagli delle Informazioni sulle tempistiche nella sezione "Preparare le informazioni" nel seguente modo:

• In precedenza abbiamo dichiarato che, a partire da febbraio 2022, la sezione Sicurezza dei dati sarà disponibile su Google Play per tutti gli utenti. La nuova data aggiornata è: fine aprile 2022.
• In precedenza abbiamo dichiarato che, a partire da aprile 2022, in caso di problemi irrisolti relativi al modulo, le nuove app inviate e gli aggiornamenti delle app verranno rifiutati in Play Console. La nuova data aggiornata è: 20 luglio 2022.
• In precedenza abbiamo dichiarato che, a partire da aprile 2022, per le app non conformi potrebbero essere applicate misure ulteriori in futuro. La nuova data aggiornata è: dopo il 20 luglio 2022.

Abbiamo aggiornato altri riferimenti alle date dell'articolo per renderli coerenti con le date modificate riportate sopra.

Precisazioni in merito a che cosa devono dichiarare gli sviluppatori per i diversi tipi di dati

Nella sezione "Cosa devono comunicare gli sviluppatori nel modulo Sicurezza dei dati" abbiamo apportato le seguenti modifiche alla sottosezione "Che cosa devono dichiarare gli sviluppatori per i diversi tipi di dati":

• Abbiamo aggiunto istruzioni per spiegare in che modo gli sviluppatori con app che si impegnano a rispettare le Norme per le famiglie possono scegliere di mostrare un badge Famiglia a partire dal 1° marzo 2022.  
• In Altre informative relative ad app e dati, "Meccanismo di eliminazione" è stato rinominato "Meccanismo di richiesta di eliminazione".
• Abbiamo anche aggiornato la sezione Controllo della sicurezza indipendente con informazioni più dettagliate su questa funzionalità.

Aggiornamenti a Tipi di dati e finalità

Abbiamo apportato piccole modifiche ai nostri tipi di dati:

• Il tipo di dati "Identificatori personali" è stato rinominato "ID utente".
• Il tipo di dati "Carta di credito, carta di debito o numero di conto bancario" è stato rinominato "Dati di pagamento dell'utente".
• Il tipo di dati "Dati di credito" è stato rinominato "Affidabilità creditizia".
• Abbiamo aggiunto un esempio di retribuzione o debiti dell'utente al tipo di dati "Altre informazioni finanziarie".
• La denominazione del tipo di dati "Informazioni sanitarie" è rimasta invariata.
• La denominazione del tipo di dati "Informazioni sull'attività fisica" è rimasta invariata.
• La denominazione del tipo di dati "SMS o MMS" è rimasta invariata.
• Il tipo di dati "Visualizzazioni di pagina e tocchi nell'app" è stato rinominato "Interazioni con l'app" e la relativa descrizione è stata aggiornata.
• Le descrizioni dei tipi di dati "Altri contenuti generati dagli utenti" e "Altre azioni" sono state aggiornate.
• Il tipo di dati "Altre informazioni personali" è stato rinominato "Altre informazioni".
• La categoria "Identificatori del dispositivo o altri identificatori" è stata rinominata "ID dispositivo o altri ID".

Abbiamo chiarito le finalità dei dati:

• L'esempio di "Comunicazioni dello sviluppatore" è stato aggiornato.
• L'esempio di "Pubblicità o marketing" è stato aggiornato.
• L'esempio di "Gestione dell'account" è stato aggiornato.

Altre modifiche

Nella sezione Panoramica, abbiamo aggiunto altre immagini per mostrare cosa vedranno gli utenti se la tua app non condivide i dati utente.

Abbiamo aggiunto nuove Domande frequenti, tra cui argomenti relativi a gestione dell'account, azioni avviate dall'utente, utilizzo di piattaforme di pagamento e crittografia.

Abbiamo aggiornato la definizione di trattamento temporaneo nella sezione Raccolta dei dati e aggiunto una nuova domanda frequente (FAQ) relativa a questo argomento.

Il 14 dicembre 2021 abbiamo aggiornato il tipo di dati originariamente denominato "Orientamento sessuale o identità di genere".  Ora questo tipo di dati si chiama "Orientamento sessuale" e si riferisce soltanto all'orientamento sessuale.

Abbiamo anche aggiornato il tipo di dati "Altre informazioni personali" per includere l'identità di genere come esempio di altre informazioni personali.