Permisos y APIs que acceden a información sensible

Los permisos de SMS y registro de llamadas se consideran datos de usuario sensibles y personales sujetos a la política Información personal y sensible y a los siguientes requisitos:

Permiso restringido	Requisito
Grupo de permisos de registro de llamadas (p. ej., READ_CALL_LOG, WRITE_CALL_LOG o PROCESS_OUTGOING_CALLS)	Tu aplicación debe estar registrada de forma activa como controlador predeterminado del teléfono o asistencia en el dispositivo.
Grupo de permisos de SMS (p. ej., READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH o RECEIVE_MMS)	Tu aplicación debe estar registrada de forma activa como controlador predeterminado de SMS o asistencia en el dispositivo.

 

Las aplicaciones que no tengan la función de controlador predeterminado de SMS, teléfono o asistencia no podrán declarar el uso de estos permisos en su archivo de manifiesto. Esto incluye texto de marcador de posición en el manifiesto. Además, estas aplicaciones deben estar registradas como controladores predeterminados de SMS, teléfono o asistencia para solicitar a los usuarios que acepten cualquiera de estos permisos. Asimismo, deben dejar de usar los permisos inmediatamente si dejan de actuar como controladores predeterminados. Puedes consultar los usos permitidos y las excepciones en esta página del Centro de Ayuda.

Las aplicaciones solo pueden utilizar un permiso (y los datos derivados de él) para ofrecer funciones principales aprobadas. La función principal de una aplicación es su objetivo principal. Puede incluir un conjunto de funciones principales, que deben estar claramente documentadas y promocionadas en la descripción de la aplicación. Sin estas funciones, la aplicación no funcionará. Solo se deben transferir, compartir o usar con licencia estos datos para ofrecer funciones o servicios principales de la aplicación, y no se deben usar con otros fines (p. ej., mejorar otros servicios o aplicaciones, mostrar publicidad o marketing). No se pueden usar métodos alternativos (como otros permisos, APIs o fuentes de terceros) para obtener datos atribuidos a los permisos relacionados con los SMS o el registro de llamadas.

La ubicación del dispositivo se considera un dato de usuario personal y sensible sujeto a las políticas Información Personal y Sensible y Ubicación en Segundo Plano, así como a los siguientes requisitos:

• Las aplicaciones no pueden acceder a los datos protegidos por los permisos de ubicación (por ejemplo, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION o ACCESS_BACKGROUND_LOCATION) una vez que dejan de ser necesarios para proporcionar las funciones o servicios de tu aplicación.
• Nunca debes solicitar permisos de ubicación de los usuarios con el único objetivo de realizar tareas de publicidad o análisis. Las aplicaciones que extiendan el uso permitido de estos datos para publicar anuncios deben cumplir nuestra Política de Anuncios.
• Las aplicaciones deben solicitar el nivel mínimo necesario de acceso a la ubicación (es decir, aproximado en lugar de exacto y en primer plano en lugar de en segundo plano) para proporcionar la función o el servicio que solicita la ubicación, y los usuarios deben esperar de forma razonable que la función o el servicio necesite el nivel de ubicación solicitado. Por ejemplo, podemos rechazar las aplicaciones que solicitan o acceden a la ubicación en segundo plano sin una justificación de peso.
• La ubicación en segundo plano solo se puede utilizar para proporcionar funciones beneficiosas para el usuario que sean pertinentes para la función principal de la aplicación.

Se permite que las aplicaciones accedan a la ubicación mediante el permiso de servicios en primer plano (cuando la aplicación solo tiene acceso en primer plano; por ejemplo, "mientras esté en uso") si el uso:

• Se inició como consecuencia de una acción iniciada por el usuario en la aplicación.
• Se cancela inmediatamente después de que la aplicación complete el caso de uso previsto de la acción que ha iniciado el usuario.

Las aplicaciones diseñadas específicamente para niños deben cumplir la política del programa Diseñado para Familias.

Para obtener más información sobre los requisitos de la política, consulta este artículo de ayuda.

Los archivos y los atributos de directorio del dispositivo de un usuario se consideran datos personales y sensibles sujetos a la política Información Personal y Sensible y a los siguientes requisitos:

• Las aplicaciones solo pueden solicitar acceso al almacenamiento del dispositivo si es fundamental para que funcionen. No pueden solicitar acceso al almacenamiento del dispositivo en nombre de ningún tercero por ningún motivo que no esté relacionado con las funciones esenciales de la aplicación de cara al usuario.
• Los dispositivos Android que ejecuten R o una versión posterior necesitarán el permiso MANAGE_EXTERNAL_STORAGE para gestionar el acceso en el almacenamiento compartido. Todas las aplicaciones orientadas a R y que soliciten un acceso amplio al almacenamiento compartido ("Acceso a todos los archivos") deben superar una revisión de acceso adecuada antes de su publicación. Las aplicaciones que puedan usar este permiso deben indicar claramente a los usuarios que habiliten la opción "Acceso a todos los archivos" de la sección "Acceso especial de aplicaciones". Para obtener más información sobre los requisitos de R, consulta este artículo de ayuda.

El inventario de aplicaciones instaladas que se consulta desde un dispositivo se considera como datos de usuario personales y sensibles sujetos a la política de Información Personal y Sensible y a los siguientes requisitos:

Las aplicaciones cuya finalidad principal sea iniciar y buscar otras aplicaciones del dispositivo, o interactuar con ellas, pueden obtener una visibilidad de otras aplicaciones instaladas en el dispositivo acorde con su alcance, como se indica a continuación:

• Visibilidad general de las aplicaciones: la visibilidad general es la capacidad de obtener una visibilidad amplia (o "general") de las aplicaciones instaladas ("paquetes") en el dispositivo.
  • En el caso de las aplicaciones orientadas al nivel de API 30 o posterior, la visibilidad general de las aplicaciones instaladas mediante el permiso QUERY_ALL_PACKAGES queda restringida a casos prácticos específicos en los que el conocimiento de alguna o de todas las aplicaciones del dispositivo o la interoperabilidad con ellas sea necesaria para que la aplicación funcione. 
    • No puedes usar QUERY_ALL_PACKAGES si tu aplicación puede funcionar con una declaración de visibilidad de paquetes más específica y acorde con su alcance (por ejemplo, mediante consultas e interacciones con paquetes específicos en lugar de solicitar visibilidad general).
  • El uso de métodos alternativos para aproximarse al nivel de visibilidad general asociado al permiso QUERY_ALL_PACKAGES también se restringe a la función principal de la aplicación dirigida al usuario y a su interoperabilidad con las aplicaciones detectadas mediante este método.
  • Puedes consultar este artículo del Centro de Ayuda para ver casos prácticos de uso permitido del permiso QUERY_ALL_PACKAGES.
• Visibilidad limitada de las aplicaciones: la visibilidad limitada consiste en que la aplicación minimiza el acceso a los datos efectuando consultas a aplicaciones específicas usando métodos más limitados (en lugar de "generales"), como hacer consultas a aplicaciones específicas que cumplan la declaración del archivo de manifiesto de la aplicación. Puedes utilizar este método para hacer consultas a aplicaciones en los casos en los que la interoperabilidad o la gestión de esas aplicaciones por parte de tu aplicación cumpla nuestras políticas. 
• La visibilidad del inventario de aplicaciones instaladas en un dispositivo debe estar directamente relacionada con el propósito principal o con la función principal a los que los usuarios acceden en tu aplicación. 

Los datos de inventario de aplicaciones consultados desde aplicaciones distribuidas por Play no se pueden vender ni compartir para analíticas ni para la obtención de ingresos por publicidad.

La API Accessibility no se puede usar para:

• Cambiar la configuración del usuario sin su permiso o evitar que los usuarios inhabiliten o desinstalen cualquier aplicación o servicio, a menos que lo autorice el padre, la madre o un tutor a través de una aplicación de controles parentales, o bien los administradores autorizados a través de un software de gestión para empresas. 
• Eludir los controles y las notificaciones de privacidad integrados de Android.
• Modificar o aprovechar la interfaz de usuario de forma que resulte engañosa o infrinja las Políticas para Desarrolladores de Google Play de cualquier otra forma. 

La API Accessibility no se ha diseñado para grabar el audio de llamadas remotas y no se puede solicitar con dicho fin. 

El uso de la API Accessibility debe documentarse en la ficha de Google Play.

Directrices para IsAccessibilityTool

Las aplicaciones cuya función principal sea ayudar directamente a personas con discapacidades pueden optar a usar IsAccessibilityTool para que se puedan clasificar públicamente como aplicaciones de accesibilidad.

Las aplicaciones que no puedan usar IsAccessibilityTool tampoco podrán utilizar el distintivo de aplicación de accesibilidad. Además, deberán cumplir los requisitos de aviso y consentimiento destacados (incluidos en la Política de Datos de Usuario), ya que las funciones relacionadas con la accesibilidad no serán evidentes para los usuarios. Para obtener más información, consulta el artículo sobre la API AccessibilityService en el Centro de Ayuda.

Las aplicaciones deben usar APIs y permisos más restrictivos en lugar de la API Accessibility cuando sea posible para lograr la funcionalidad deseada. 

El permiso REQUEST_INSTALL_PACKAGES permite que la aplicación solicite la instalación de paquetes de aplicaciones.​​ Para usar este permiso, la función principal de tu aplicación debe permitir:

• Enviar o recibir paquetes de aplicaciones.
• Habilitar la instalación iniciada por el usuario de paquetes de aplicaciones.

Entre las funcionalidades permitidas se incluyen las siguientes:

• Navegación o búsqueda web
• Servicios de comunicación que admiten archivos adjuntos
• Uso compartido, transferencia o gestión de archivos
• Gestión de dispositivos empresariales
• Copia de seguridad y restauración
• Migración entre dispositivos o cambio de teléfono
• Aplicación complementaria para sincronizar el teléfono con un dispositivo wearable o del Internet de las cosas (por ejemplo, un smartwatch o una smart TV)

La función principal es el propósito fundamental de la aplicación, y tanto la función principal como cualquier característica principal que incluya deben documentarse y promocionarse de forma destacada en la descripción de la aplicación.

El permiso REQUEST_INSTALL_PACKAGES no debería usarse para hacer actualizaciones automáticas ni modificaciones, ni tampoco para crear paquetes de otros APKs en el archivo de recursos, salvo que sea con fines de gestión de dispositivos. Todas las actualizaciones o instalaciones de paquetes deben cumplir la política de abuso de dispositivos y redes de Google Play, y las debe iniciar y controlar el usuario.

Los datos a los que se accede a través de los Permisos de Health Connect se consideran datos de usuario personales y sensibles, y están sujetos a la política de Datos de Usuario y a los siguientes requisitos:

Las solicitudes de acceso a los datos a través de Health Connect deben ser claras y comprensibles. Health Connect solo puede usarse de acuerdo con las políticas, los términos y condiciones aplicables, y para los usos aprobados, tal como se establece en esta política. Esto quiere decir que solo podrás solicitar acceso a los permisos cuando tu aplicación o servicio cumpla uno de los usos aprobados.

Los usos aprobados para acceder a los Permisos de Health Connect son los siguientes:

• Aplicaciones o servicios con una o más funciones que benefician la salud y el estado físico de los usuarios a través de una interfaz de usuario que les permite registrar, informar, supervisar o analizar directamente su actividad física, el sueño, el bienestar mental, la nutrición, las medidas de salud, las descripciones físicas u otras descripciones y medidas relacionadas con la salud o el estado físico.
• Aplicaciones o servicios con una o más funciones que benefician la salud y el estado físico de los usuarios a través de una interfaz de usuario que les permite almacenar su actividad física, el sueño, el bienestar mental, la nutrición, las medidas de salud, las descripciones físicas u otras descripciones y medidas relacionadas con la salud o el estado físico en su teléfono o wearable, así como compartir sus datos con otras aplicaciones en el dispositivo que cumplan estos casos.

Health Connect es una plataforma de uso general para almacenar y compartir datos que permite a los usuarios añadir datos de salud y estado físico desde diferentes fuentes de su dispositivo Android y compartirlos con terceros a su elección. Estos datos pueden proceder de diversas fuentes, según establezcan los usuarios. Los desarrolladores deben evaluar si Health Connect es adecuado para su uso previsto y para investigar y examinar la fuente y la calidad de los datos de Health Connect relacionados con cualquier objetivo y, en particular, los de uso de investigación, de salud o médico.

• Las aplicaciones que realicen investigaciones de salud en humanos usando los datos obtenidos de Health Connect deben tener el consentimiento de los participantes o, en el caso de menores, de sus padres o tutores. Dicho consentimiento debe incluir: a) la naturaleza, el objetivo y la duración de la investigación; b) los procedimientos, los riesgos y los beneficios para el participante; c) la información sobre la confidencialidad y el tratamiento de los datos (incluida la posibilidad de compartirlos con terceros); d) una persona de contacto para las dudas del participante; y e) el proceso de desistimiento. Las aplicaciones que realicen investigaciones de salud en humanos usando los datos obtenidos de Health Connect deben recibir la aprobación de una junta independiente para 1) proteger los derechos, la seguridad y el bienestar de los participantes y 2) tener la capacidad de escrutar, modificar y aprobar las investigaciones realizadas en humanos. Se debe proporcionar una prueba de dicha aprobación en el momento de la solicitud.
• Además, es responsabilidad tuya asegurar el cumplimiento de cualquier requisito normativo o legal que pueda aplicarse según el uso previsto de Health Connect y de cualquier dato de Health Connect. Google no respalda el uso ni garantiza la precisión de los datos contenidos en Health Connect para ningún uso o fin, en particular, para usos de investigación, de salud o médicos, salvo que se indique explícitamente en el etiquetado o en la información proporcionada por Google para productos o servicios específicos de Google. Google renuncia a todas las responsabilidades relacionadas con el uso de los datos obtenidos a través de Health Connect.

Además de utilizar Health Connect para un uso adecuado, el uso que hagas de los datos a los que accedas a través de Health Connect debe cumplir los requisitos que se indican abajo. Estos requisitos se aplican a los datos sin procesar obtenidos de Health Connect y a los datos agregados, desidentificados o derivados de los datos sin procesar.

• Limitar el uso de los datos de Health Connect a ofrecer o mejorar el uso adecuado o las funciones que sean visibles y destacadas en la interfaz de usuario de la aplicación solicitante.
• Transferir datos de usuario a terceros solo:
  • Para ofrecer o mejorar el uso adecuado o las funciones que sean claras desde la interfaz de usuario de la aplicación solicitante y solo con el consentimiento del usuario.
  • Si es necesario por motivos de seguridad (por ejemplo, para investigar un abuso).
  • Para cumplir las leyes o normativas aplicables.
  • Como parte de una fusión, adquisición o venta de recursos del desarrollador tras obtener el consentimiento previo explícito del usuario.
• No permitir que los humanos lean los datos de usuario a menos que:
  • Se haya obtenido el consentimiento explícito del usuario para leer datos específicos.
  • Sea necesario por motivos de seguridad (por ejemplo, para investigar un abuso).
  • Se haga para cumplir las leyes aplicables.
  • Los datos (incluidas las derivaciones) se agreguen y usen en operaciones internas de acuerdo con la privacidad aplicable y otros requisitos legales de tu jurisdicción.

Se prohíbe cualquier otra transferencia, uso o venta de los datos de Health Connect, incluidas las siguientes:

• Transferencia o venta de datos de usuario a terceros, como plataformas publicitarias, agentes de datos o cualquier distribuidor de información.
• Transferencia, venta o uso de datos de usuario para la publicación de anuncios, incluidos los personalizados o basados en intereses.
• Transferencia, venta o uso de datos de usuario para determinar la solvencia o con fines de préstamo.
• Transferencia, venta o uso de datos de usuario con cualquier producto o servicio que pueda calificarse como dispositivo médico de acuerdo con la Sección 201(h) de la ley federal de alimentos, medicamentos y cosméticos de EE. UU. (Federal Food Drug & Cosmetic Act) en caso de que el dispositivo médico use los datos de usuario para desempeñar su función regulada.
• Transferencia, venta o uso de datos de usuario para cualquier fin o de cualquier manera que esté relacionada con información médica protegida (según la HIPAA) a menos que recibas una aprobación previa por escrito de Google para tal uso.

El acceso a Health Connect no puede infringir esta política u otros términos y condiciones o políticas aplicables de Health Connect, lo que incluye los siguientes fines:

• No uses Health Connect en el desarrollo de aplicaciones, entornos o actividades, o para su incorporación en estas, donde el uso o el error de Health Connect pueda razonablemente suponer la muerte, lesiones personales o daños medioambientales o materiales (como la creación o el funcionamiento de instalaciones nucleares, el control del tráfico aéreo, los sistemas de soporte vital o las armas).
• No accedas a los datos obtenidos a través de Health Connect usando aplicaciones sin interfaz gráfica. Las aplicaciones deben mostrar un icono claramente identificable en la bandeja de aplicaciones, en los ajustes de la aplicación en el dispositivo, en los iconos de notificación, etc.
• No uses Health Connect con aplicaciones que sincronicen los datos entre dispositivos o plataformas no compatibles.
• Health Connect no se puede conectar a aplicaciones, servicios o funciones que estén dirigidas únicamente a niños. Health Connect no está aprobado para su uso en servicios principalmente dirigidos a niños.

Debes publicar en tu aplicación o en el sitio web de tu aplicación o servicio web una declaración afirmativa de que tu uso de los datos de Health Connect cumple las restricciones de Uso Limitado, por ejemplo, un enlace a la página principal de una página específica o una política de privacidad en la que se lea lo siguiente: "El uso de la información recibida de Health Connect cumplirá la Política de Permisos de Health Connect, incluidos los requisitos de Uso Limitado".

Solo debes solicitar acceso a permisos que son críticos para implementar las funciones de tu aplicación o servicio. 

Por lo tanto:

• No solicites acceso a información que no necesites. Solicita acceso solo a los permisos que sean necesarios para implementar las funciones o los servicios de tu producto. No debes solicitar acceso a permisos específicos que tu producto no necesite.

Health Connect trata datos de salud y estado físico, lo que incluye información personal y sensible. Todas las aplicaciones y servicios deben contener una política de privacidad, donde se debe explicar de forma exhaustiva cómo tu aplicación o servicio recoge, usa y comparte los datos de usuario. Esto incluye los tipos de terceros con los que se comparten los datos de usuario, cómo usas los datos, los almacenas y los proteges, y qué pasa con ellos cuando una cuenta se desactiva o se elimina.

Además de los requisitos establecidos por la ley aplicable, debes cumplir los siguientes:

• Debes incluir un aviso en el que se indique cómo accedes, recoges, usas y compartes los datos. El aviso:
  • Debe representar de forma precisa la identidad de la aplicación o servicio que busca acceder a los datos de usuario.
  • Debe proporcionar información clara y precisa que explique los tipos de datos a los que se accede, se solicitan o se recogen.
  • Debe explicar cómo se usarán o compartirán los datos: si solicitas datos por un motivo, pero también se usarán para otro secundario, debes notificar a los usuarios de ambos usos.
• Debes proporcionar documentación de ayuda al usuario que explique cómo los usuarios pueden gestionar y eliminar sus datos de tu aplicación.

Debes tratar todos los datos de usuario de una forma segura. Adopta medidas razonables y adecuadas para proteger todas las aplicaciones o sistemas que hacen uso de Health Connect contra el acceso, el uso, la destrucción, la pérdida, la alteración o la divulgación no autorizados o ilegales.

Entre las prácticas de seguridad recomendadas se encuentran la implementación y el mantenimiento de un sistema de gestión de seguridad de la información como el descrito en la norma ISO/IEC 27001 y la garantía de que tu aplicación o servicio web es sólido y no tiene problemas de seguridad, tal como se describe en OWASP Top 10.

En función de la API a la que se acceda y el número de usuarios, pediremos que tu aplicación o servicio se someta a una evaluación de seguridad periódica y que obtenga el certificado correspondiente de un tercero designado si tu producto transfiere datos fuera del propio dispositivo del usuario.

Para obtener más información sobre los requisitos para las aplicaciones que se conecten a Health Connect, consulta este artículo de ayuda.

VpnService es una clase base que permite que las aplicaciones amplíen y desarrollen sus propias soluciones de VPN. Solo las aplicaciones que usen VpnService y cuya función principal sea proporcionar servicios de VPN pueden crear un túnel seguro a nivel del dispositivo hasta un servidor remoto. Sin embargo, hay algunas excepciones, entre las que se incluyen las aplicaciones que necesitan un servidor remoto para realizar su función principal. A continuación se indican algunos ejemplos:

• Aplicaciones de controles parentales y gestión empresarial.
• Aplicaciones de seguimiento de uso.
• Aplicaciones de seguridad de dispositivos (por ejemplo, antivirus, gestión de dispositivos móviles o cortafuegos).
• Herramientas relacionadas con redes (por ejemplo, aplicaciones de acceso remoto).
• Aplicaciones de navegación web.
• Aplicaciones del operador que requieren el uso de funciones de VPN para proporcionar servicios de telefonía o conectividad.

VpnService no se puede usar para:

• Recoger datos de usuarios personales y sensibles sin aviso destacado y consentimiento.
• Redirigir o manipular el tráfico de usuarios desde otras aplicaciones en un dispositivo para obtener ingresos (por ejemplo, redirigir el tráfico de los anuncios a través de un país diferente al del usuario).

Las aplicaciones que utilicen VpnService deben:

• Documentar el uso de VpnService en la ficha de Google Play.
• Cifrar los datos desde el dispositivo hasta el destino del túnel de VPN.
• Respetar todas las Políticas del Programa para Desarrolladores, incluidas las políticas de Fraude publicitario, Permisos y Software malicioso.

Se incorporará un nuevo permiso, USE_EXACT_ALARM, que dará acceso a la función de alarma exacta en las aplicaciones, a partir de Android 13 (nivel de API de destino: 33). 

USE_EXACT_ALARM es un permiso restringido y las aplicaciones solo deben declarar este permiso si su función principal requiere una alarma exacta. Las aplicaciones que soliciten este permiso restringido estarán sujetas a revisión y, si no cumplen los criterios de uso aceptable, no se podrán publicar en Google Play.

Usos aceptables para el permiso de alarma exacta

Tu aplicación solo debe utilizar la función USE_EXACT_ALARM si la función o el propósito principal de tu aplicación para el usuario requiere acciones con pautas de tiempo precisas, como en los casos siguientes:

• Se trata de una aplicación de alarma o temporizador.
• Se trata de una aplicación de calendario que muestra notificaciones de eventos.

Si tu aplicación hace un uso de la función de alarma exacta que no se ajusta a los casos mencionados anteriormente, te recomendamos que evalúes la conveniencia de utilizar SCHEDULE_EXACT_ALARM como opción alternativa.

Para obtener más información sobre la función de alarma exacta, consulta esta guía para desarrolladores.