Autorizzazioni e API che accedono a informazioni sensibili

Le Autorizzazioni SMS e Registro chiamate sono considerate dati utente personali e sensibili soggetti alle norme relative a Informazioni personali e sensibili e alle seguenti restrizioni:

Autorizzazione limitata	Requisito
Gruppo di autorizzazioni Registro chiamate (ad esempio READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Deve essere registrato e attivo come gestore predefinito del telefono o dell'assistente sul dispositivo.
Gruppo di autorizzazioni SMS (ad esempio, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Deve essere registrato e attivo come gestore predefinito di SMS o dell'assistente sul dispositivo.

 

Le app prive di funzionalità di gestore predefinito di SMS, telefono o assistente non possono dichiarare l'uso di queste autorizzazioni nel file manifest, incluso testo segnaposto. Inoltre, le app devono essere registrate attivamente come gestore predefinito di SMS, telefono o assistente prima di chiedere agli utenti di accettare le autorizzazioni di cui sopra e devono interrompere immediatamente l'utilizzo dell'autorizzazione qualora non siano più il gestore predefinito. Le eccezioni e gli usi consentiti sono disponibili in questa pagina del Centro assistenza.

Le app possono utilizzare l'autorizzazione (e tutti i dati da questa derivati) solo per fornire la funzionalità principale e approvata dell'app. La funzionalità principale è definita come lo scopo primario dell'app e può comprendere un insieme di funzionalità di base, che devono essere tutte documentate e promosse in evidenza nella descrizione dell'app. Senza la funzionalità o le funzionalità di base, l'app non funziona o è inutilizzabile. Il trasferimento, la condivisione o l'uso autorizzato mediante licenza di questi dati deve avvenire solo ed esclusivamente allo scopo di fornire funzionalità o servizi fondamentali all'interno dell'app e il loro uso non deve mai essere esteso a nessun altro scopo (ad esempio per migliorare altre app o servizi, per scopi pubblicitari o di marketing). Non è possibile utilizzare metodi alternativi (incluse altre autorizzazioni, API o fonti di terze parti) per ricavare i dati attribuiti alle autorizzazioni relative al registro chiamate o agli SMS.

La posizione del dispositivo è considerata un dato utente personale e sensibile soggetto alle norme relative alle informazioni personali e sensibili, alle norme relative alla posizione in background e ai seguenti requisiti:

• Le app non possono accedere ai dati protetti dalle autorizzazioni di accesso alla posizione (ad esempio, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) quando non sono più necessari per offrire le funzionalità o i servizi inclusi nell'app.
• Lo sviluppatore non deve mai richiedere agli utenti le autorizzazioni di accesso alla posizione esclusivamente a scopi pubblicitari o di analisi. Le app che estendono l'utilizzo autorizzato di questi dati per la pubblicazione di annunci devono essere conformi alle nostre Norme relative agli annunci.
• Le app devono richiedere l'ambito minimo necessario (ad esempio, generico anziché specifico e in primo piano anziché in background) per fornire la funzionalità o il servizio corrente che richiede la posizione; inoltre, per gli utenti deve essere ragionevolmente prevedibile che la funzionalità o il servizio richieda il livello di posizione richiesto. Ad esempio, potremo rifiutare eventuali app che richiedano la posizione in background o accedano a questa senza una giustificazione convincente.
• La posizione in background può essere utilizzata soltanto per fornire funzionalità utili all'utente e attinenti alla funzionalità di base dell'app.

Le app possono accedere alla posizione usando l'autorizzazione di accesso al servizio in primo piano (che prevede per l'app soltanto l'accesso in primo piano, ad esempio "durante l'uso") se l'uso:

• È stato iniziato come continuazione di un'azione avviata dall'utente nell'app e inoltre
• Cessa immediatamente dopo che il caso d'uso previsto dell'azione avviata dall'utente viene completato dall'applicazione.

Le app progettate specificatamente per bambini e ragazzi devono essere conformi alle norme del programma Per la famiglia.

Per ulteriori informazioni sui requisiti delle norme, leggi questo articolo del Centro assistenza.

I file e gli attributi di directory sul dispositivo di un utente sono considerati dati utente personali e sensibili soggetti alle norme relative a Informazioni personali e sensibili e ai seguenti requisiti:

• Le app devono richiedere l'accesso solo allo spazio di archiviazione del dispositivo essenziale per il loro funzionamento e non possono richiedere l'accesso allo spazio di archiviazione per conto di terze parti per scopi non correlati alla funzionalità critica per gli utenti.
• I dispositivi Android su cui è installato R o versioni successive richiedono l'autorizzazione MANAGE_EXTERNAL_STORAGE per gestire l'accesso nell'archivio condiviso. Tutte le app destinate a R e che richiedono accesso completo all'archivio condiviso ("Accesso a tutti i file") devono superare una revisione di accesso appropriata prima della pubblicazione. Le app autorizzate a utilizzare questa autorizzazione devono chiedere chiaramente agli utenti di abilitare "Accesso a tutti i file" nelle impostazioni "Accesso speciale per le app". Ulteriori informazioni sui requisiti di R sono disponibili in questo articolo del Centro assistenza.

L'inventario delle app installate a cui vengono inviate query da un dispositivo è considerato un dato utente personale e sensibile soggetto alle norme relative a informazioni personali e sensibili e ai seguenti requisiti:

Le app che hanno come scopo principale l'avvio, la ricerca o l'interoperabilità con altre app installate sul dispositivo possono ottenere visibilità, in conformità al relativo ambito, sulle altre app installate sul dispositivo secondo le modalità descritte di seguito:

• Ampia visibilità delle app. Per "ampia visibilità" si intende la capacità di un'app di avere una visibilità estesa (o "ampia") rispetto alle app installate ("pacchetti") su un dispositivo.
  • Per le app destinate al livello API 30 o successivo, l'ampia visibilità sulle app installate tramite l'autorizzazione QUERY_ALL_PACKAGES è limitata a casi d'uso specifici in cui, per il corretto funzionamento dell'app, sono necessari il riconoscimento di e/o l'interoperabilità con tutte le app sul dispositivo. 
    • Non è possibile usare l'autorizzazione QUERY_ALL_PACKAGES se l'app è in grado di funzionare con una dichiarazione di visibilità dei pacchetti con ambito più mirato, ad esempio inviando query a pacchetti specifici e interagendo con questi, evitando la richiesta di ampia visibilità.
  • Anche il ricorso a metodi alternativi per avvicinarsi al livello di ampia visibilità associato all'autorizzazione QUERY_ALL_PACKAGES è limitato alla funzionalità principale dell'app rivolta agli utenti e all'interoperabilità con qualsiasi app rilevata tramite tali metodi.
  • Consulta questo articolo del Centro assistenza relativo ai casi d'uso consentiti per l'autorizzazione QUERY_ALL_PACKAGES.
• Visibilità limitata delle app. Per "visibilità limitata" si intende una situazione in cui un'app riduce al minimo l'accesso ai dati inviando query per app specifiche tramite metodi più mirati, anziché "ampi", ad esempio inviando query per app specifiche che soddisfano la dichiarazione del file manifest dell'app che esegue la query. Puoi usare questo metodo per inviare query per app nei casi in cui la tua app includa funzionalità conformi alle norme di interazione con tali app o di gestione di queste. 
• La visibilità sull'inventario delle app installate su un dispositivo deve essere direttamente correlata allo scopo principale o alla funzionalità principale a cui gli utenti hanno accesso all'interno dell'app. 

I dati dell'inventario di app oggetto di query da parte di app distribuite su Google Play non possono mai essere venduti né condivisi a fini di analisi o di monetizzazione degli annunci.

Non è possibile usare l'API Accessibility per:

• modificare le impostazioni degli utenti senza la loro autorizzazione o impedire agli utenti di disattivare o disinstallare app o servizi, a meno che non venga fornita autorizzazione da un genitore o tutore tramite un'app per il controllo genitori oppure da amministratori autorizzati tramite software di gestione aziendale; 
• aggirare le notifiche e i controlli per la privacy integrati in Android oppure
• cambiare l'interfaccia utente o usarla in modo ingannevole o secondo modalità che violano le norme per gli sviluppatori di Google Play. 

L'API Accessibility non è pensata e non può essere richiesta per la registrazione dell'audio delle chiamate da remoto.

L'uso dell'API Accessibility deve essere documentato nella scheda di Google Play.

Linee guida per IsAccessibilityTool

Le app con una funzionalità di base pensata per supportare direttamente le persone con disabilità possono essere debitamente e pubblicamente designate come app di accessibilità utilizzando IsAccessibilityTool.

Le app non idonee all'uso di IsAccessibilityTool non possono usare questa designazione e devono rispettare i requisiti relativi al consenso e alla visibilità dell'informativa indicati nelle norme relative ai dati utente, in quanto la funzionalità collegata all'accessibilità non è evidente per l'utente. Per ulteriori informazioni, leggi l'articolo del Centro assistenza Usare l'API AccessibilityService.

Quando possibile, le app devono usare API e autorizzazioni con ambito più limitato al posto dell'API Accessibility per ottenere la funzionalità desiderata. 

L'autorizzazione REQUEST_INSTALL_PACKAGES consente a un'applicazione di richiedere l'installazione di pacchetti dell'app.​​ Per usare questa autorizzazione, la funzionalità di base dell'app deve includere:

• Invio o ricezione di pacchetti dell'app; e
• Attivazione dell'installazione dei pacchetti dell'app avviata dall'utente.

Le funzionalità consentite includono:

• Navigazione o ricerca sul web
• Servizi di comunicazione che supportano gli allegati
• Condivisione, trasferimento o gestione di file
• Gestione di dispositivi aziendali
• Backup e ripristino
• Migrazione dispositivi/trasferimento telefono
• App companion per sincronizzare il telefono a dispositivi indossabili o IoT (ad esempio, smartwatch o smart TV).

La funzionalità di base è lo scopo principale dell'app. La funzionalità di base e le eventuali funzionalità principali che la costituiscono devono essere tutte documentate e dichiarate in modo ben visibile nella descrizione dell'app.

Non è possibile usare l'autorizzazione REQUEST_INSTALL_PACKAGES per eseguire aggiornamenti automatici o modifiche o per creare bundle di altri APK nel file di asset, se non per finalità di gestione dei dispositivi. Tutti gli aggiornamenti o le installazioni di pacchetti devono avvenire in conformità con le norme relative all'utilizzo illecito di dispositivi e reti di Google Play, nonché essere avviati e gestiti dall'utente.

I dati a cui si accede tramite le autorizzazioni di Connessione Salute sono considerati dati utente personali e sensibili soggetti alle norme relative ai Dati utente, nonché ai seguenti requisiti aggiuntivi:

Le richieste di accesso ai dati tramite Connessione Salute devono essere chiare e comprensibili. La piattaforma Connessione Salute può essere usata esclusivamente nel rispetto delle norme, dei termini e delle condizioni vigenti e per i casi d'uso approvati, come previsto dalle presenti norme. Questo significa che puoi richiedere l'accesso alle autorizzazioni solo se la tua applicazione o servizio soddisfa uno dei casi d'uso approvati.

I casi d'uso approvati per l'accesso alle autorizzazioni di Connessione Salute sono:

• Le applicazioni o i servizi con una o più funzionalità che vanno a vantaggio della salute e dell'attività fisica degli utenti mediante un'interfaccia utente che consente di registrare con regolarità, riferire, monitorare e/o analizzare direttamente l'attività fisica, il sonno, il benessere mentale, l'alimentazione, le misurazioni relative allo stato di salute, le descrizioni fisiche e/o altre descrizioni o misurazioni relative alla forma fisica o alla salute.
• Le applicazioni o i servizi con una o più funzionalità a vantaggio della salute e dell'attività fisica degli utenti mediante un'interfaccia utente che consente di archiviare sul telefono e/o dispositivo indossabile l'attività fisica, il sonno, il benessere mentale, l'alimentazione, le misurazioni relative allo stato di salute, le descrizioni fisiche e/o altre descrizioni o misurazioni relative alla forma fisica o alla salute e condividere i dati con altre app sul dispositivo che soddisfano i presenti casi d'uso.

Connessione Salute è una piattaforma di archiviazione e condivisione di dati per uso generico che consente agli utenti di aggregare dati relativi alla salute e all'attività fisica da diverse fonti sul loro dispositivo Android e condividerle con terze parti a loro scelta. I dati possono provenire da diverse fonti stabilite dagli utenti. Gli sviluppatori devono valutare se la piattaforma Connessione Salute è appropriata per l'uso da loro previsto ed esaminare e verificare le fonti e la qualità dei dati provenienti da Connessione Salute in relazione a qualsiasi scopo, in particolare per usi connessi alla ricerca, alla salute o medicali.

• Le app che svolgono ricerche relative alla salute su soggetti umani usando dati ottenuti mediante Connessione Salute devono ottenere il consenso dei partecipanti o, in caso di minorenni, di un loro genitore o tutore. Tale consenso deve includere (a) la natura, lo scopo e la durata della ricerca; (b) le procedure, i rischi e i vantaggi per i partecipanti; (c) le informazioni sulla riservatezza e sulla gestione dei dati (incluse eventuali condivisioni con terze parti); (d) un punto di contatto per le domande dei partecipanti; e (e) la procedura di recesso. Le app che svolgono ricerche relative alla salute su soggetti umani usando dati ottenuti mediante Connessione Salute devono ricevere l'approvazione di un comitato indipendente 1) il cui obiettivo sia proteggere i diritti, la sicurezza e il benessere dei partecipanti e 2) che disponga dell'autorità per analizzare, modificare e approvare la ricerca su soggetti umani. Devi fornire prove di tale approvazione su richiesta.
• È inoltre tua responsabilità garantire la conformità con qualsiasi requisito normativo o legale eventualmente applicabile in base all'uso da te previsto di Connessione Salute e degli eventuali dati relativi. Google, fatto salvo quanto espressamente indicato sulle etichette o nelle informazioni dalla medesima fornite per prodotti o servizi Google specifici, non approva l'uso, né garantisce l'accuratezza dei dati contenuti in Connessione Salute per alcun impiego o scopo, in particolare per usi connessi alla ricerca, alla salute o medicali. Google non si assume alcuna responsabilità associata all'uso dei dati ottenuti mediante Connessione Salute.

Nell'ambito di un uso appropriato di Connessione Salute, l'uso dei dati a cui accedi mediante tale piattaforma deve inoltre essere conforme ai seguenti requisiti applicabili ai dati non elaborati ottenuti da Connessione Salute e ai dati aggregati, anonimizzati o derivati dai dati non elaborati.

• Limitare il tuo uso dei dati di Connessione Salute alla fornitura o al miglioramento del caso d'uso appropriato o alle funzionalità visibili e in evidenza nell'interfaccia utente dell'applicazione che li richiede.
• Trasferire i dati utente a terze parti esclusivamente:
  • per fornire o migliorare il caso d'uso appropriato o le funzionalità chiaramente indicate nell'interfaccia utente dell'applicazione che li richiede e unicamente previo consenso dell'utente;
  • se necessario per motivi di sicurezza (ad esempio, in caso di indagini per casi d'abuso);
  • per rispettare le leggi e/o le normative vigenti; o
  • nell'ambito di una fusione, un'acquisizione o una vendita di risorse dello sviluppatore dopo aver ottenuto l'esplicito consenso preventivo dell'utente.
• Non consentire a esseri umani di leggere i dati utente, a meno che:
  • sia stato ottenuto l'esplicito consenso dell'utente alla lettura di dati specifici;
  • sia necessario per motivi di sicurezza (ad esempio, in caso di indagini per casi d'abuso);
  • per adeguarsi alle leggi vigenti; o
  • i dati (incluse le derivazioni) siano aggregati e usati per impieghi interni in conformità con le normative sulla privacy e altri requisiti legali giurisdizionali vigenti.

È proibito qualsiasi altro trasferimento, uso o vendita dei dati di Connessione Salute, inclusi:

• Il trasferimento o la vendita di dati utenti a terze parti, ad esempio piattaforme pubblicitarie, intermediari di dati o rivenditori di informazioni.
• Il trasferimento, la vendita o l'uso di dati utente per la pubblicazione di annunci, inclusa la pubblicità personalizzata o basata sugli interessi.
• Il trasferimento, la vendita o l'uso di dati utente per determinare l'affidabilità creditizia o per finalità di prestito.
• Il trasferimento, la vendita o l'uso di dati utente con qualsiasi prodotto o servizio che possa essere considerato un dispositivo medico ai sensi della Sezione 201(h) del Federal Food Drug & Cosmetic Act, qualora i dati utente vengano usati dal dispositivo medico per l'esecuzione della propria funzionalità regolamentata.
• Il trasferimento, la vendita o l'uso di dati utente per qualsiasi scopo o in qualsiasi modo in relazione a dati sanitari protetti (come definiti dalla normativa HIPAA) a meno che tu non disponga della preventiva autorizzazione scritta di Google per tale utilizzo.

L'accesso a Connessione Salute non può essere utilizzato in violazione delle presenti norme o di altri termini e condizioni o norme di Connessione Salute vigenti. Ciò include le finalità indicate di seguito:

• Non utilizzare Connessione Salute per lo sviluppo di (o per l'integrazione in) applicazioni, ambienti o attività in cui ci si può ragionevolmente attendere che l'uso o il malfunzionamento di Connessione Salute possa causare morte, lesioni personali o danni ambientali o materiali (ad esempio per la creazione o il funzionamento di impianti nucleari, controllo del traffico aereo, sistemi salvavita o armi).
• Non accedere a dati ottenuti mediante Connessione Salute usando app headless. Le app devono mostrare un'icona facilmente identificabile nella barra delle applicazioni, nelle impostazioni delle app sul dispositivo, nelle icone di notifica e così via.
• Non utilizzare Connessione Salute con app che sincronizzano dati tra dispositivi o piattaforme non compatibili.
• Connessione Salute non può connettersi ad applicazioni, servizi o funzionalità destinati esclusivamente a bambini e ragazzi. L'uso di Connessione Salute in servizi rivolti principalmente a bambini e ragazzi non è approvato.

Nell'applicazione o nel sito web dell'applicazione o del servizio web deve essere presente una dichiarazione affermativa indicante che il tuo uso dei dati di Connessione Salute è conforme alle restrizioni relative all'Uso limitato; ad esempio, un link nella home page a una pagina dedicata o a norme sulla privacy che indicano quanto segue: "L'uso delle informazioni ricevute da Connessione Salute sarà conforme alle norme relative alle autorizzazioni di tale piattaforma, inclusi i requisiti di Uso limitato".

Puoi richiedere l'accesso solo alle autorizzazioni essenziali per l'implementazione delle funzionalità del servizio o dell'applicazione. 

Ciò significa:

• Non richiedere l'accesso a informazioni non necessarie. Richiedere l'accesso solo alle autorizzazioni necessarie per implementare le funzionalità o i servizi del prodotto. Se il prodotto non richiede l'accesso ad autorizzazioni specifiche, non devi richiedere l'accesso a tali autorizzazioni.

Connessione Salute gestisce dati relativi alla salute e all'attività fisica che includono informazioni personali e sensibili. Tutte le applicazioni e i servizi devono contenere norme sulla privacy che spieghino in modo esauriente in che modo l'applicazione o il servizio raccoglie, utilizza e condivide i dati utente, nonché i tipi di soggetti con cui vengono condivisi i dati utente, come vengono utilizzati, archiviati e protetti i dati da parte tua e cosa succede ai dati quando un account viene disattivato e/o eliminato.

Oltre a quelli previsti ai sensi della legge vigente, devi ottemperare ai seguenti requisiti:

• Fornire un'informativa relativa ad accesso, raccolta, utilizzo e condivisione dei dati. Tale informativa:
  • deve rappresentare in modo accurato l'identità dell'applicazione o del servizio che tenta di accedere ai dati utente;
  • deve fornire informazioni chiare e accurate che spieghino i tipi di dati a cui viene eseguito l'accesso e che vengono richiesti e/o raccolti;
  • deve spiegare in che modo i dati verranno usati e/o condivisi: se i dati vengono richiesti per un motivo, ma vengono utilizzati anche per uno scopo secondario, è necessario comunicare agli utenti entrambi i casi d'uso.
• Fornire all'utente la documentazione dell'assistenza in cui sia spiegato come gestire ed eliminare i suoi dati dall'app.

Devi gestire tutti i dati utente in sicurezza. Adotta misure ragionevoli e appropriate per proteggere tutti i sistemi o le applicazioni che fanno uso di Connessione Salute da accesso, utilizzo, distruzione, perdita, modifica o divulgazione non autorizzati o illegali.

Le misure di sicurezza consigliate includono la messa e il mantenimento in opera di un sistema di gestione della sicurezza informatica come indicato nella norma ISO/IEC 27001 e la garanzia che l'applicazione o il servizio web sia affidabile e privo di problemi di sicurezza comuni quali quelli indicati nelle OWASP Top 10.

In base all'API a cui si esegue l'accesso e al numero di utenti, richiederemo che l'applicazione o il servizio siano sottoposti a valutazioni di sicurezza periodiche e ottengano una lettera di valutazione di una terza parte designata qualora il prodotto trasferisca i dati fuori dal dispositivo dell'utente.

Per ulteriori informazioni sui requisiti delle app che si collegano a Connessione Salute, consulta questo articolo del Centro assistenza.

VpnService è una classe base che consente alle applicazioni di estendere e creare le proprie soluzioni VPN. Solo le app che utilizzano VpnService la cui funzionalità di base è una VPN possono creare un tunnel sicuro a livello di dispositivo verso un server remoto. Tra le eccezioni figurano le app che richiedono un server remoto per la funzionalità di base, ad esempio:

• App di gestione aziendale e per il controllo genitori.
• Monitoraggio dell'utilizzo di app.
• App per la sicurezza del dispositivo (come antivirus, gestione dei dispositivi mobili, firewall).
• Strumenti relativi alla rete (come l'accesso remoto).
• App di navigazione sul Web.
• App di operatori che richiedono l'uso della funzionalità VPN per fornire servizi di telefonia o connettività.

Non è possibile usare VpnService per:

• Raccogliere dati utente personali e sensibili senza un'informativa ben visibile e senza aver ottenuto il consenso.
• Reindirizzare o manipolare il traffico utente da altre app su un dispositivo a scopi di monetizzazione (ad esempio reindirizzare il traffico dagli annunci pubblicitari in un paese diverso da quello dell'utente).

Le app che usano VpnService devono:

• Documentare l'uso di VpnService nella scheda di Google Play; e
• Criptare i dati dal dispositivo al punto di arrivo del tunnel VPN; e
• Rispettare tutte le Norme del programma per gli sviluppatori, incluse le norme relative a frodi pubblicitarie, autorizzazioni e malware.

Verrà introdotta una nuova autorizzazione chiamata USE_EXACT_ALARM per concedere l'accesso alla funzionalità di sveglia esatta nelle app su Android 13 e versioni successive (Livello API target 33). 

USE_EXACT_ALARM è un'autorizzazione limitata e le app devono dichiararla solo se la loro funzionalità di base supporta l'esigenza di una sveglia esatta. Le app che richiedono questa autorizzazione limitata sono soggette a verifica e quelle che non soddisfano i criteri delle norme di utilizzo accettabile non potranno essere pubblicate su Google Play.

Casi d'uso accettabili per l'utilizzo dell'autorizzazione Sveglia esatta

La tua app deve usare la funzionalità USE_EXACT_ALARM solo quando la funzionalità principale rivolta all'utente della tua app richiede azioni temporizzate in modo preciso, ad esempio:

• L'app è una sveglia o un timer.
• L'app è un calendario che mostra notifiche di eventi.

Se il tuo caso d'uso per la funzionalità di sveglia esatta non rientra tra quelli menzionati, dovresti valutare se esiste la possibilità di usare SCHEDULE_EXACT_ALARM in alternativa.

Per ulteriori informazioni sulla funzionalità di sveglia esatta, consulta queste indicazioni per gli sviluppatori.