Vista previa: Permisos y APIs que acceden a información sensible

Los permisos de SMS y registro de llamadas se consideran datos de usuario sensibles y personales sujetos a la política Información personal y sensible y a los siguientes requisitos:

Permiso restringido	Requisito
Grupo de permisos de registro de llamadas (p. ej., READ_CALL_LOG, WRITE_CALL_LOG o PROCESS_OUTGOING_CALLS)	Tu aplicación debe estar registrada de forma activa como controlador predeterminado del teléfono o asistencia en el dispositivo.
Grupo de permisos de SMS (p. ej., READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH o RECEIVE_MMS)	Tu aplicación debe estar registrada de forma activa como controlador predeterminado de SMS o asistencia en el dispositivo.

 

Las aplicaciones que no tengan la función de controlador predeterminado de SMS, teléfono o asistencia no podrán declarar el uso de estos permisos en su archivo de manifiesto. Esto incluye texto de marcador de posición en el manifiesto. Además, estas aplicaciones deben estar registradas como controladores predeterminados de SMS, teléfono o asistencia para solicitar a los usuarios que acepten cualquiera de estos permisos. Asimismo, deben dejar de usar los permisos inmediatamente si dejan de actuar como controladores predeterminados. Puedes consultar los usos permitidos y las excepciones en esta página del Centro de Ayuda.

Las aplicaciones solo pueden utilizar un permiso (y los datos derivados de él) para ofrecer funciones principales aprobadas. La función principal de una aplicación es su objetivo principal. Puede incluir un conjunto de funciones principales, que deben estar claramente documentadas y promocionadas en la descripción de la aplicación. Sin estas funciones, la aplicación no funcionará. Solo se deben transferir, compartir o usar con licencia estos datos para ofrecer funciones o servicios principales de la aplicación, y no se deben usar con otros fines (p. ej., mejorar otros servicios o aplicaciones, mostrar publicidad o marketing). No se pueden usar métodos alternativos (como otros permisos, APIs o fuentes de terceros) para obtener datos atribuidos a los permisos relacionados con los SMS o el registro de llamadas.

La ubicación del dispositivo se considera un dato de usuario personal y sensible sujeto a las políticas Información Personal y Sensible y Ubicación en Segundo Plano, así como a los siguientes requisitos:

• Las aplicaciones no pueden acceder a los datos protegidos por los permisos de ubicación (por ejemplo, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION o ACCESS_BACKGROUND_LOCATION) una vez que dejan de ser necesarios para proporcionar las funciones o servicios de tu aplicación.
• Nunca debes solicitar permisos de ubicación de los usuarios con el único objetivo de realizar tareas de publicidad o análisis. Las aplicaciones que extiendan el uso permitido de estos datos para publicar anuncios deben cumplir nuestra Política de Anuncios.
• Las aplicaciones deben solicitar el nivel mínimo necesario de acceso a la ubicación (es decir, aproximado en lugar de exacto y en primer plano en lugar de en segundo plano) para proporcionar la función o el servicio que solicita la ubicación, y los usuarios deben esperar de forma razonable que la función o el servicio necesite el nivel de ubicación solicitado. Por ejemplo, podemos rechazar las aplicaciones que solicitan o acceden a la ubicación en segundo plano sin una justificación de peso.
• La ubicación en segundo plano solo se puede utilizar para proporcionar funciones beneficiosas para el usuario que sean pertinentes para la función principal de la aplicación.

Se permite que las aplicaciones accedan a la ubicación mediante el permiso de servicios en primer plano (cuando la aplicación solo tiene acceso en primer plano; por ejemplo, "mientras esté en uso") si el uso:

• Se inició como consecuencia de una acción iniciada por el usuario en la aplicación.
• Se cancela inmediatamente después de que la aplicación complete el caso de uso previsto de la acción que ha iniciado el usuario.

Las aplicaciones diseñadas específicamente para niños deben cumplir la política del programa Diseñado para Familias.

Para obtener más información sobre los requisitos de la política, consulta este artículo de ayuda.

Los archivos y los atributos de directorio del dispositivo de un usuario se consideran datos personales y sensibles sujetos a la política Información Personal y Sensible y a los siguientes requisitos:

• Las aplicaciones solo pueden solicitar acceso al almacenamiento del dispositivo si es fundamental para que funcionen. No pueden solicitar acceso al almacenamiento del dispositivo en nombre de ningún tercero por ningún motivo que no esté relacionado con las funciones esenciales de la aplicación de cara al usuario.
• Los dispositivos Android que ejecuten R o una versión posterior necesitarán el permiso MANAGE_EXTERNAL_STORAGE para gestionar el acceso en el almacenamiento compartido. Todas las aplicaciones orientadas a R y que soliciten un acceso amplio al almacenamiento compartido ("Acceso a todos los archivos") deben superar una revisión de acceso adecuada antes de su publicación. Las aplicaciones que puedan usar este permiso deben indicar claramente a los usuarios que habiliten la opción "Acceso a todos los archivos" de la sección "Acceso especial de aplicaciones". Para obtener más información sobre los requisitos de R, consulta este artículo de ayuda.

Las fotos y los vídeos del dispositivo de un usuario se consideran datos personales y sensibles del interesado de acuerdo con la Política de Datos de Usuario de Google Play. Las aplicaciones solo pueden acceder a fotos y vídeos con fines directamente relacionados con la funcionalidad de la aplicación y no pueden solicitar acceso en nombre de terceros con fines no relacionados con la funcionalidad de la aplicación de cara al usuario. Para disfrutar de una experiencia que proteja más la privacidad, recomendamos el uso de un sistema de selección, como el selector de fotos.

Las aplicaciones que requieran acceso amplio a archivos de fotos y vídeos ubicados en el almacenamiento compartido de los dispositivos deben superar una revisión de acceso adecuada y demostrar un caso de uso principal que requiera un acceso continuo o frecuente a archivos de fotos y vídeos ubicados en el almacenamiento compartido. Las aplicaciones que necesiten acceder a estos archivos solo una vez o con poca frecuencia deben usar un selector del sistema, como el selector de fotos de Android.

El acceso amplio a fotos y vídeos también está sujeto a los siguientes requisitos:

• Las aplicaciones orientadas a Android 13 (nivel 33 de la API) o versiones posteriores necesitan el permiso READ_MEDIA_IMAGES o READ_MEDIA_VIDEO para obtener un acceso amplio a los archivos de fotos o vídeos ubicados en el almacenamiento compartido del dispositivo. Todas las aplicaciones orientadas a Android 13 o versiones posteriores que soliciten los permisos READ_MEDIA_IMAGES o READ_MEDIA_VIDEO deben superar una revisión de acceso adecuada antes de su publicación.
  • Las aplicaciones que soliciten acceso al permiso READ_MEDIA_VIDEO o READ_MEDIA_IMAGES deben demostrar un caso de uso principal que requiera un uso continuo o frecuente del acceso a fotos o vídeos ubicados en el almacenamiento interno.

Si tu aplicación no requiere un acceso amplio a los permisos READ_MEDIA_VIDEO o READ_MEDIA_IMAGES o no cumple los requisitos pertinentes, debes quitar dichos permisos del archivo de manifiesto de tu aplicación para que cumpla los requisitos de revisión de cumplimiento de políticas.

De acuerdo con la política de permisos restringidos, debes adaptarte en la medida razonablemente posible a los usuarios que no concedan un acceso amplio a los archivos multimedia ubicados en sus dispositivos. Esto incluye facilitar una experiencia de aplicación adaptada en la que los usuarios puedan seguir disfrutando de la función principal de tu aplicación.

Las aplicaciones que tengan un caso de acceso legítimo a fotos o vídeos, pero no cumplan los requisitos de los permisos READ_MEDIA_IMAGES ni READ_MEDIA_VIDEO, pueden usar un selector de sistema como el selector de fotos. Para obtener más información, consulta este artículo del Centro de Ayuda.

El inventario de aplicaciones instaladas que se consulta desde un dispositivo se considera como datos de usuario personales y sensibles sujetos a la política de Información Personal y Sensible y a los siguientes requisitos:

Las aplicaciones cuya finalidad principal sea iniciar y buscar otras aplicaciones del dispositivo, o interactuar con ellas, pueden obtener una visibilidad de otras aplicaciones instaladas en el dispositivo acorde con su alcance, como se indica a continuación:

• Visibilidad general de las aplicaciones: la visibilidad general es la capacidad de obtener una visibilidad amplia (o "general") de las aplicaciones instaladas ("paquetes") en el dispositivo.
  • En el caso de las aplicaciones orientadas al nivel de API 30 o posterior, la visibilidad general de las aplicaciones instaladas mediante el permiso QUERY_ALL_PACKAGES queda restringida a casos prácticos específicos en los que el conocimiento de alguna o de todas las aplicaciones del dispositivo o la interoperabilidad con ellas sea necesaria para que la aplicación funcione. 
    • No puedes usar QUERY_ALL_PACKAGES si tu aplicación puede funcionar con una declaración de visibilidad de paquetes más específica y acorde con su alcance (por ejemplo, mediante consultas e interacciones con paquetes específicos en lugar de solicitar visibilidad general).
  • El uso de métodos alternativos para aproximarse al nivel de visibilidad general asociado al permiso QUERY_ALL_PACKAGES también se restringe a la función principal de la aplicación dirigida al usuario y a su interoperabilidad con las aplicaciones detectadas mediante este método.
  • Puedes consultar este artículo del Centro de Ayuda para ver casos prácticos de uso permitido del permiso QUERY_ALL_PACKAGES.
• Visibilidad limitada de las aplicaciones: la visibilidad limitada consiste en que la aplicación minimiza el acceso a los datos efectuando consultas a aplicaciones específicas usando métodos más limitados (en lugar de "generales"), como hacer consultas a aplicaciones específicas que cumplan la declaración del archivo de manifiesto de la aplicación. Puedes utilizar este método para hacer consultas a aplicaciones en los casos en los que la interoperabilidad o la gestión de esas aplicaciones por parte de tu aplicación cumpla nuestras políticas. 
• La visibilidad del inventario de aplicaciones instaladas en un dispositivo debe estar directamente relacionada con el propósito principal o con la función principal a los que los usuarios acceden en tu aplicación. 

Los datos de inventario de aplicaciones consultados desde aplicaciones distribuidas por Play no se pueden vender ni compartir para analíticas ni para la obtención de ingresos por publicidad.

La API Accessibility no se puede usar para:

• Cambiar la configuración del usuario sin su permiso o evitar que los usuarios inhabiliten o desinstalen cualquier aplicación o servicio, a menos que lo autorice el padre, la madre o un tutor a través de una aplicación de controles parentales, o bien los administradores autorizados a través de un software de gestión para empresas. 
• Eludir los controles y las notificaciones de privacidad integrados de Android.
• Modificar o aprovechar la interfaz de usuario de forma que resulte engañosa o infrinja las Políticas para Desarrolladores de Google Play de cualquier otra forma. 

La API Accessibility no se ha diseñado para grabar el audio de llamadas remotas y no se puede solicitar con dicho fin. 

El uso de la API Accessibility debe documentarse en la ficha de Google Play.

Directrices para IsAccessibilityTool

Las aplicaciones cuya función principal sea ayudar directamente a personas con discapacidades pueden optar a usar IsAccessibilityTool para que se puedan clasificar públicamente como aplicaciones de accesibilidad.

Las aplicaciones que no puedan usar IsAccessibilityTool tampoco podrán utilizar el distintivo de aplicación de accesibilidad. Además, deberán cumplir los requisitos de aviso y consentimiento destacados (incluidos en la Política de Datos de Usuario), ya que las funciones relacionadas con la accesibilidad no serán evidentes para los usuarios. Para obtener más información, consulta el artículo sobre la API AccessibilityService en el Centro de Ayuda.

Las aplicaciones deben usar APIs y permisos más restrictivos en lugar de la API Accessibility cuando sea posible para lograr la funcionalidad deseada. 

El permiso REQUEST_INSTALL_PACKAGES permite que la aplicación solicite la instalación de paquetes de aplicaciones.​​ Para usar este permiso, la función principal de tu aplicación debe permitir:

• Enviar o recibir paquetes de aplicaciones.
• Habilitar la instalación iniciada por el usuario de paquetes de aplicaciones.

Entre las funcionalidades permitidas se incluyen las siguientes:

• Navegación o búsqueda web
• Servicios de comunicación que admiten archivos adjuntos
• Uso compartido, transferencia o gestión de archivos
• Gestión de dispositivos empresariales
• Copia de seguridad y restauración
• Migración entre dispositivos o cambio de teléfono
• Aplicación complementaria para sincronizar el teléfono con un dispositivo wearable o del Internet de las cosas (por ejemplo, un smartwatch o una smart TV)

La función principal es el propósito fundamental de la aplicación, y tanto la función principal como cualquier característica principal que incluya deben documentarse y promocionarse de forma destacada en la descripción de la aplicación.

El permiso REQUEST_INSTALL_PACKAGES no debería usarse para hacer actualizaciones automáticas ni modificaciones, ni tampoco para crear paquetes de otros APKs en el archivo de recursos, salvo que sea con fines de gestión de dispositivos. Todas las actualizaciones o instalaciones de paquetes deben cumplir la política de abuso de dispositivos y redes de Google Play, y las debe iniciar y controlar el usuario.

Salud conectada es una plataforma Android que permite que aplicaciones de salud y actividad física almacenen y compartan los mismos datos en el dispositivo en un ecosistema unificado. También ofrece a los usuarios un mismo lugar donde controlar qué aplicaciones pueden leer y escribir datos de salud y actividad física. Salud conectada admite la lectura y escritura de diferentes tipos de datos, desde los pasos hasta la temperatura corporal.

Los datos a los que se accede a través de los Permisos de Salud conectada se consideran datos de usuario personales y sensibles sujetos a la política Datos de Usuario. Si tu aplicación se considera una aplicación de salud o tiene funciones relacionadas con la salud y accede a datos de salud (incluidos los datos de Salud conectada), también debe cumplir la política de aplicaciones de salud.

Consulta esta guía para desarrolladores de Android para saber cómo empezar a utilizar Salud conectada. Para solicitar acceso a los tipos de datos de Salud conectada, consulta más detalles aquí.

Las aplicaciones distribuidas a través de Google Play deben cumplir los siguientes requisitos de políticas para poder leer o escribir datos en Salud conectada.

Salud conectada solo puede usarse de acuerdo con las políticas y los términos y condiciones aplicables, y para los usos aprobados, tal como se establece en esta política. Esto quiere decir que solo podrás solicitar acceso a los permisos cuando tu aplicación o servicio cumpla uno de los usos aprobados.

Los usos aprobados incluyen actividad física y bienestar, recompensas, asesoramiento de actividad física, bienestar en la empresa, atención médica, investigación sobre salud y juegos. Las aplicaciones que tengan acceso a estos permisos no pueden ampliar su uso a fines no especificados o no permitidos.

Solo las aplicaciones o los servicios con una o más funciones diseñadas con el fin principal de beneficiar la salud y el estado físico de los usuarios pueden solicitar acceso a los permisos de Salud conectada. Por ejemplo:

• Aplicaciones o servicios que permiten a los usuarios registrar, informar, monitorizar y/o analizar directamente su actividad física, el sueño, el bienestar mental, la nutrición, las medidas de salud, las descripciones físicas y/u otras descripciones y medidas relacionadas con la salud o el estado físico.
• Aplicaciones o servicios que permiten a los usuarios almacenar su actividad física, el sueño, el bienestar mental, la nutrición, las medidas de salud, las descripciones físicas y/u otras descripciones y medidas relacionadas con la salud o el estado físico en su teléfono y/o wearable, así como compartir sus datos con otras aplicaciones en el dispositivo que cumplan estos usos.

El acceso a Salud conectada no puede infringir esta política ni otros términos y condiciones ni políticas aplicables de Salud conectada, lo que incluye los siguientes fines:

• No uses Health Connect en el desarrollo de aplicaciones, entornos o actividades, o para su incorporación en estas, donde el uso o el error de Health Connect pueda razonablemente suponer la muerte, lesiones personales o daños medioambientales o materiales (como la creación o el funcionamiento de instalaciones nucleares, el control del tráfico aéreo, los sistemas de soporte vital o las armas).
• No accedas a los datos obtenidos a través de Health Connect usando aplicaciones sin interfaz gráfica. Las aplicaciones deben mostrar un icono claramente identificable en la bandeja de aplicaciones, en los ajustes de la aplicación en el dispositivo, en los iconos de notificación, etc.
• No uses Salud conectada con aplicaciones que sincronicen datos entre dispositivos o plataformas no compatibles.
• No uses Salud conectada para conectar con aplicaciones, servicios o funciones que estén dirigidas únicamente a menores.
• Adopta medidas razonables y adecuadas para que todas las aplicaciones o los sistemas que hagan uso de Salud conectada estén protegidas frente al acceso, uso, destrucción, pérdida, alteración o divulgación no autorizados o ilegales.

Además, es responsabilidad tuya asegurar el cumplimiento de cualquier requisito normativo o legal que pueda aplicarse según el uso previsto de Salud conectada y de cualquier dato de Salud conectada. Google no respalda el uso ni garantiza la precisión de los datos contenidos en Salud conectada para ningún uso o fin, en particular, para usos de investigación, de salud o médicos, salvo que se indique explícitamente en el etiquetado o en la información proporcionada por Google para productos o servicios específicos de Google. Google renuncia a todas las responsabilidades relacionadas con el uso de datos obtenidos a través de Salud conectada.

Al utilizar Salud conectada, el acceso y el uso de los datos debe cumplir las siguientes limitaciones específicas:

• El uso de los datos debe limitarse a ofrecer o mejorar el uso adecuado o las funciones que sean visibles en la interfaz de usuario de la aplicación.
• Los datos de usuario solo se pueden transferir a terceros con el consentimiento explícito del usuario por motivos de seguridad (por ejemplo, para investigar abusos), para cumplir las leyes o reglamentos aplicables o como parte de fusiones o adquisiciones.
• El acceso de personas a los datos de usuario está restringido salvo que se obtenga el consentimiento explícito del usuario por razones de seguridad, para cumplir las leyes o cuando se agregan para realizar operaciones internas de acuerdo con requisitos legales.
• Se prohíbe cualquier otra transferencia, uso o venta de los datos de Salud conectada, incluidas las siguientes:
  • Transferencia o venta de datos de usuario a terceros, como plataformas publicitarias, agentes de datos o cualquier distribuidor de información.
  • Transferencia, venta o uso de datos de usuario para la publicación de anuncios, incluidos los personalizados o basados en intereses.
  • Transferencia, venta o uso de datos de usuario para determinar la solvencia o con fines de préstamo.
  • Transferencia, venta o uso de datos de usuario con cualquier producto o servicio que pueda calificarse como dispositivo médico de acuerdo con la Sección 201(h) de la Ley Federal de Alimentos, Medicamentos y Cosméticos de Estados Unidos (Federal Food, Drug, and Cosmetic Act) en caso de que el dispositivo médico use los datos de usuario para desempeñar su función regulada.
  • Transferencia, venta o uso de datos de usuario para cualquier fin o de cualquier manera que esté relacionada con información médica protegida (según la HIPAA) a menos que recibas una aprobación previa por escrito de Google para tal uso.

Solo debes solicitar acceso a los permisos necesarios para implementar las funciones o los servicios de tu producto. Estas solicitudes de acceso deben ser específicas y limitarse a los datos que se necesitan.

Salud conectada administra datos de salud y actividad física (incluida información sensible) y requiere que todas las aplicaciones tengan una política de privacidad exhaustiva. Esta política de privacidad debe divulgar de forma transparente cómo la aplicación recoge, usa y comparte datos de usuario. Más allá de los requisitos legales, los desarrolladores deben incluir la siguiente información en la política de privacidad:

• Una descripción precisa sobre la identidad de la aplicación, en la que se indiquen los datos a los que accede y su conexión con funciones principales o recomendaciones de la aplicación.
• Prácticas sobre la conservación y eliminación de los datos.
• Procedimientos sobre la gestión de los datos. Por ejemplo, transmitirlos usando un sistema moderno de cifrado, como el protocolo HTTPS.

Si quieres obtener más información sobre los requisitos para las aplicaciones que se conecten a Salud conectada, consulta este artículo del Centro de Ayuda.

VpnService es una clase base que permite que las aplicaciones amplíen y desarrollen sus propias soluciones de VPN. Solo las aplicaciones que usen VpnService y cuya función principal sea proporcionar servicios de VPN pueden crear un túnel seguro a nivel del dispositivo hasta un servidor remoto. Sin embargo, hay algunas excepciones, entre las que se incluyen las aplicaciones que necesitan un servidor remoto para realizar su función principal. A continuación se indican algunos ejemplos:

• Aplicaciones de controles parentales y gestión empresarial.
• Aplicaciones de seguimiento de uso.
• Aplicaciones de seguridad de dispositivos (por ejemplo, antivirus, gestión de dispositivos móviles o cortafuegos).
• Herramientas relacionadas con redes (por ejemplo, aplicaciones de acceso remoto).
• Aplicaciones de navegación web.
• Aplicaciones del operador que requieren el uso de funciones de VPN para proporcionar servicios de telefonía o conectividad.

VpnService no se puede usar para:

• Recoger datos de usuarios personales y sensibles sin aviso destacado y consentimiento.
• Redirigir o manipular el tráfico de usuarios desde otras aplicaciones en un dispositivo para obtener ingresos (por ejemplo, redirigir el tráfico de los anuncios a través de un país diferente al del usuario).

Las aplicaciones que utilicen VpnService deben:

• Documentar el uso de VpnService en la ficha de Google Play.
• Cifrar los datos desde el dispositivo hasta el destino del túnel de VPN.
• Respetar todas las Políticas del Programa para Desarrolladores, incluidas las políticas de Fraude publicitario, Permisos y Software malicioso.

Se incorporará un nuevo permiso, USE_EXACT_ALARM, que dará acceso a la función de alarma exacta en las aplicaciones, a partir de Android 13 (nivel de API de destino: 33). 

USE_EXACT_ALARM es un permiso restringido y las aplicaciones solo deben declarar este permiso si su función principal requiere una alarma exacta. Las aplicaciones que soliciten este permiso restringido estarán sujetas a revisión y, si no cumplen los criterios de uso aceptable, no se podrán publicar en Google Play.

Usos aceptables para el permiso de alarma exacta

Tu aplicación solo debe utilizar la función USE_EXACT_ALARM si la función o el propósito principal de tu aplicación para el usuario requiere acciones con pautas de tiempo precisas, como en los casos siguientes:

• Se trata de una aplicación de alarma o temporizador.
• Se trata de una aplicación de calendario que muestra notificaciones de eventos.

Si tu aplicación hace un uso de la función de alarma exacta que no se ajusta a los casos mencionados anteriormente, te recomendamos que evalúes la conveniencia de utilizar SCHEDULE_EXACT_ALARM como opción alternativa.

Para obtener más información sobre la función de alarma exacta, consulta esta guía para desarrolladores.

En el caso de las aplicaciones orientadas a Android 14 (nivel de API de destino 34) y versiones posteriores, USE_FULL_SCREEN_INTENT es un permiso de acceso especial de aplicaciones. A las aplicaciones solo se les concederá automáticamente el permiso USE_FULL_SCREEN_INTENT si la función principal de la aplicación pertenece a una de las siguientes categorías que requieren notificaciones de prioridad alta:

• Establecer una alarma
• Recibir llamadas telefónicas o videollamadas

Las aplicaciones que soliciten este permiso estarán sujetas a revisión y, si no cumplen los criterios anteriores, no se les concederá automáticamente este permiso. En ese caso, las aplicaciones deberán pedir permiso al usuario para utilizar USE_FULL_SCREEN_INTENT.

Recuerda que cualquier uso del permiso USE_FULL_SCREEN_INTENT debe cumplir todas las políticas para desarrolladores de Google Play, incluidas nuestras políticas de software no deseado para móviles, de abuso de dispositivos y redes y de anuncios. Las notificaciones de intent de pantalla completa no pueden interrumpir, dañar ni acceder al dispositivo del usuario, ni interferir en este, de forma no autorizada. Además, las aplicaciones no deben interferir en otras aplicaciones ni en la usabilidad del dispositivo.

Consulta más información sobre el permiso USE_FULL_SCREEN_INTENT en nuestro Centro de Ayuda.