Autorizzazioni e API che accedono a informazioni sensibili

Le Autorizzazioni SMS e Registro chiamate sono considerate dati utente personali e sensibili soggetti alle norme relative a Informazioni personali e sensibili e alle seguenti restrizioni:

Autorizzazione limitata	Requisito
Gruppo di autorizzazioni Registro chiamate (ad esempio READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Deve essere registrato e attivo come gestore predefinito del telefono o dell'assistente sul dispositivo.
Gruppo di autorizzazioni SMS (ad esempio, READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Deve essere registrato e attivo come gestore predefinito di SMS o dell'assistente sul dispositivo.

 

Le app prive di funzionalità di gestore predefinito di SMS, telefono o assistente non possono dichiarare l'uso di queste autorizzazioni nel file manifest, incluso testo segnaposto. Inoltre, le app devono essere registrate attivamente come gestore predefinito di SMS, telefono o assistente prima di chiedere agli utenti di accettare le autorizzazioni di cui sopra e devono interrompere immediatamente l'utilizzo dell'autorizzazione qualora non siano più il gestore predefinito. Le eccezioni e gli usi consentiti sono disponibili in questa pagina del Centro assistenza.

Le app possono utilizzare l'autorizzazione (e tutti i dati da questa derivati) solo per fornire la funzionalità principale e approvata dell'app. La funzionalità principale è definita come lo scopo primario dell'app e può comprendere un insieme di funzionalità di base, che devono essere tutte documentate e promosse in evidenza nella descrizione dell'app. Senza la funzionalità o le funzionalità di base, l'app non funziona o è inutilizzabile. Il trasferimento, la condivisione o l'uso autorizzato mediante licenza di questi dati deve avvenire solo ed esclusivamente allo scopo di fornire funzionalità o servizi fondamentali all'interno dell'app e il loro uso non deve mai essere esteso a nessun altro scopo (ad esempio per migliorare altre app o servizi, per scopi pubblicitari o di marketing). Non è possibile utilizzare metodi alternativi (incluse altre autorizzazioni, API o fonti di terze parti) per ricavare i dati attribuiti alle autorizzazioni relative al registro chiamate o agli SMS.

La posizione del dispositivo è considerata un dato utente personale e sensibile soggetto alle norme relative alle informazioni personali e sensibili, alle norme relative alla posizione in background e ai seguenti requisiti:

• Le app non possono accedere ai dati protetti dalle autorizzazioni di accesso alla posizione (ad esempio, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) quando non sono più necessari per offrire le funzionalità o i servizi inclusi nell'app.
• Lo sviluppatore non deve mai richiedere agli utenti le autorizzazioni di accesso alla posizione esclusivamente a scopi pubblicitari o di analisi. Le app che estendono l'utilizzo autorizzato di questi dati per la pubblicazione di annunci devono essere conformi alle nostre Norme relative agli annunci.
• Le app devono richiedere l'ambito minimo necessario (ad esempio, generico anziché specifico e in primo piano anziché in background) per fornire la funzionalità o il servizio corrente che richiede la posizione; inoltre, per gli utenti deve essere ragionevolmente prevedibile che la funzionalità o il servizio richieda il livello di posizione richiesto. Ad esempio, potremo rifiutare eventuali app che richiedano la posizione in background o accedano a questa senza una giustificazione convincente.
• La posizione in background può essere utilizzata soltanto per fornire funzionalità utili all'utente e attinenti alla funzionalità di base dell'app.

Le app possono accedere alla posizione usando l'autorizzazione di accesso al servizio in primo piano (che prevede per l'app soltanto l'accesso in primo piano, ad esempio "durante l'uso") se l'uso:

• È stato iniziato come continuazione di un'azione avviata dall'utente nell'app e inoltre
• Cessa immediatamente dopo che il caso d'uso previsto dell'azione avviata dall'utente viene completato dall'applicazione.

Le app progettate specificatamente per bambini e ragazzi devono essere conformi alle norme del programma Per la famiglia.

Per ulteriori informazioni sui requisiti delle norme, leggi questo articolo del Centro assistenza.

I file e gli attributi di directory sul dispositivo di un utente sono considerati dati utente personali e sensibili soggetti alle norme relative a Informazioni personali e sensibili e ai seguenti requisiti:

• Le app devono richiedere l'accesso solo allo spazio di archiviazione del dispositivo essenziale per il loro funzionamento e non possono richiedere l'accesso allo spazio di archiviazione per conto di terze parti per scopi non correlati alla funzionalità critica per gli utenti.
• I dispositivi Android su cui è installato R o versioni successive richiedono l'autorizzazione MANAGE_EXTERNAL_STORAGE per gestire l'accesso nell'archivio condiviso. Tutte le app destinate a R e che richiedono accesso completo all'archivio condiviso ("Accesso a tutti i file") devono superare una revisione di accesso appropriata prima della pubblicazione. Le app autorizzate a utilizzare questa autorizzazione devono chiedere chiaramente agli utenti di abilitare "Accesso a tutti i file" nelle impostazioni "Accesso speciale per le app". Ulteriori informazioni sui requisiti di R sono disponibili in questo articolo del Centro assistenza.

L'inventario delle app installate a cui vengono inviate query da un dispositivo è considerato un dato utente personale e sensibile soggetto alle norme relative a informazioni personali e sensibili e ai seguenti requisiti:

Le app che hanno come scopo principale l'avvio, la ricerca o l'interoperabilità con altre app installate sul dispositivo possono ottenere visibilità, in conformità al relativo ambito, sulle altre app installate sul dispositivo secondo le modalità descritte di seguito:

• Ampia visibilità delle app. Per "ampia visibilità" si intende la capacità di un'app di avere una visibilità estesa (o "ampia") rispetto alle app installate ("pacchetti") su un dispositivo.
  • Per le app destinate al livello API 30 o successivo, l'ampia visibilità sulle app installate tramite l'autorizzazione QUERY_ALL_PACKAGES è limitata a casi d'uso specifici in cui, per il corretto funzionamento dell'app, sono necessari il riconoscimento di e/o l'interoperabilità con tutte le app sul dispositivo. 
    • Non è possibile usare l'autorizzazione QUERY_ALL_PACKAGES se l'app è in grado di funzionare con una dichiarazione di visibilità dei pacchetti con ambito più mirato, ad esempio inviando query a pacchetti specifici e interagendo con questi, evitando la richiesta di ampia visibilità.
  • Anche il ricorso a metodi alternativi per avvicinarsi al livello di ampia visibilità associato all'autorizzazione QUERY_ALL_PACKAGES è limitato alla funzionalità principale dell'app rivolta agli utenti e all'interoperabilità con qualsiasi app rilevata tramite tali metodi.
  • Consulta questo articolo del Centro assistenza relativo ai casi d'uso consentiti per l'autorizzazione QUERY_ALL_PACKAGES.
• Visibilità limitata delle app. Per "visibilità limitata" si intende una situazione in cui un'app riduce al minimo l'accesso ai dati inviando query per app specifiche tramite metodi più mirati, anziché "ampi", ad esempio inviando query per app specifiche che soddisfano la dichiarazione del file manifest dell'app che esegue la query. Puoi usare questo metodo per inviare query per app nei casi in cui la tua app includa funzionalità conformi alle norme di interazione con tali app o di gestione di queste. 
• La visibilità sull'inventario delle app installate su un dispositivo deve essere direttamente correlata allo scopo principale o alla funzionalità principale a cui gli utenti hanno accesso all'interno dell'app. 

I dati dell'inventario di app oggetto di query da parte di app distribuite su Google Play non possono mai essere venduti né condivisi a fini di analisi o di monetizzazione degli annunci.

Non è possibile usare l'API Accessibility per:

• modificare le impostazioni degli utenti senza la loro autorizzazione o impedire agli utenti di disattivare o disinstallare app o servizi, a meno che non venga fornita autorizzazione da un genitore o tutore tramite un'app per il controllo genitori oppure da amministratori autorizzati tramite software di gestione aziendale; 
• aggirare le notifiche e i controlli per la privacy integrati in Android oppure
• cambiare l'interfaccia utente o usarla in modo ingannevole o secondo modalità che violano le norme per gli sviluppatori di Google Play. 

L'API Accessibility non è pensata e non può essere richiesta per la registrazione dell'audio delle chiamate da remoto.

L'uso dell'API Accessibility deve essere documentato nella scheda di Google Play.

Linee guida per IsAccessibilityTool

Le app con una funzionalità di base pensata per supportare direttamente le persone con disabilità possono essere debitamente e pubblicamente designate come app di accessibilità utilizzando IsAccessibilityTool.

Le app non idonee all'uso di IsAccessibilityTool non possono usare questa designazione e devono rispettare i requisiti relativi al consenso e alla visibilità dell'informativa indicati nelle norme relative ai dati utente, in quanto la funzionalità collegata all'accessibilità non è evidente per l'utente. Per ulteriori informazioni, leggi l'articolo del Centro assistenza Usare l'API AccessibilityService.

Quando possibile, le app devono usare API e autorizzazioni con ambito più limitato al posto dell'API Accessibility per ottenere la funzionalità desiderata. 

L'autorizzazione REQUEST_INSTALL_PACKAGES consente a un'applicazione di richiedere l'installazione di pacchetti dell'app.​​ Per usare questa autorizzazione, la funzionalità di base dell'app deve includere:

• Invio o ricezione di pacchetti dell'app; e
• Attivazione dell'installazione dei pacchetti dell'app avviata dall'utente.

Le funzionalità consentite includono:

• Navigazione o ricerca sul web
• Servizi di comunicazione che supportano gli allegati
• Condivisione, trasferimento o gestione di file
• Gestione di dispositivi aziendali
• Backup e ripristino
• Migrazione dispositivi/trasferimento telefono
• App companion per sincronizzare il telefono a dispositivi indossabili o IoT (ad esempio, smartwatch o smart TV).

La funzionalità di base è lo scopo principale dell'app. La funzionalità di base e le eventuali funzionalità principali che la costituiscono devono essere tutte documentate e dichiarate in modo ben visibile nella descrizione dell'app.

Non è possibile usare l'autorizzazione REQUEST_INSTALL_PACKAGES per eseguire aggiornamenti automatici o modifiche o per creare bundle di altri APK nel file di asset, se non per finalità di gestione dei dispositivi. Tutti gli aggiornamenti o le installazioni di pacchetti devono avvenire in conformità con le norme relative all'utilizzo illecito di dispositivi e reti di Google Play, nonché essere avviati e gestiti dall'utente.

Connessione Salute può essere usata esclusivamente nel rispetto delle norme e dei termini e condizioni vigenti e per i casi d'uso approvati, come previsto dalle presenti norme. Questo significa che puoi richiedere l'accesso alle autorizzazioni solo se la tua applicazione o il tuo servizio soddisfa uno dei casi d'uso approvati.

I casi d'uso approvati includono: attività fisica e benessere, premi, allenamento, benessere aziendale, assistenza medica, ricerca medica e giochi.

Solo le applicazioni o i servizi con una o più funzionalità progettate per andare a vantaggio di salute e attività fisica degli utenti possono richiedere l'accesso alle autorizzazioni di Connessione Salute. Sono inclusi:

• Le applicazioni o i servizi che consentono agli utenti di registrare con regolarità, riportare, monitorare e/o analizzare direttamente l'attività fisica, il sonno, il benessere mentale, l'alimentazione, le misurazioni relative allo stato di salute, le descrizioni fisiche e/o altre descrizioni o misurazioni relative alla salute o all'attività fisica.
• Le applicazioni o i servizi che consentono agli utenti di archiviare sul dispositivo l'attività fisica, il sonno, il benessere mentale, l'alimentazione, le misurazioni relative allo stato di salute, le descrizioni fisiche e/o altre descrizioni o misurazioni relative alla salute o all'attività fisica.

L'accesso a Connessione Salute non può essere utilizzato in violazione delle presenti norme o di altri termini e condizioni o norme di Connessione Salute vigenti. Ciò include le finalità indicate di seguito:

• Non utilizzare Connessione Salute per lo sviluppo di (o per l'integrazione in) applicazioni, ambienti o attività in cui ci si può ragionevolmente attendere che l'uso o il malfunzionamento di Connessione Salute possa causare morte, lesioni personali o danni ambientali o materiali (ad esempio per la creazione o il funzionamento di impianti nucleari, controllo del traffico aereo, sistemi salvavita o armi).
• Non accedere a dati ottenuti mediante Connessione Salute usando app headless. Le app devono mostrare un'icona facilmente identificabile nella barra delle applicazioni, nelle impostazioni delle app sul dispositivo, nelle icone di notifica e così via.
• Non utilizzare Connessione Salute con app che sincronizzano dati tra dispositivi o piattaforme non compatibili.
• Non utilizzare Connessione Salute per collegarti ad applicazioni, servizi o funzionalità destinati esclusivamente ai bambini.
• Adotta misure ragionevoli e appropriate per proteggere tutti i sistemi o le applicazioni che fanno uso di Connessione Salute da accesso, utilizzo, distruzione, perdita, modifica o divulgazione non autorizzati o illegali.

È inoltre tua responsabilità garantire la conformità con qualsiasi requisito normativo o legale eventualmente vigente in base all'uso da te previsto di Connessione Salute e degli eventuali dati contenuti nell'app. Google, fatto salvo quanto espressamente indicato sulle etichette o nelle informazioni fornite da Google stessa per prodotti o servizi Google specifici, non raccomanda l'uso, né garantisce l'accuratezza dei dati contenuti in Connessione Salute per alcun impiego o scopo e, in particolare, per usi connessi alla ricerca, alla salute o medicali. Google non si assume alcuna responsabilità associata all'uso dei dati ottenuti mediante Connessione Salute.

Quando si utilizza Connessione Salute, l'accesso ai dati e il relativo uso devono ottemperare a limitazioni specifiche:

• L'uso dei dati dovrebbe essere limitato alla fornitura o al miglioramento del caso d'uso appropriato o delle funzionalità visibili nell'interfaccia utente dell'applicazione.
• I dati dell'utente possono essere trasferiti a terze parti solo con il suo consenso esplicito: per finalità di sicurezza (ad esempio, per indagare su abusi), per rispettare leggi o regolamenti vigenti o nell'ambito di fusioni/acquisizioni.
• L'accesso ai dati utente da parte di persone è limitato salvo l'ottenimento del consenso esplicito dell'utente, a fini di sicurezza, di conformità con le leggi o quando i dati sono aggregati per operazioni interne come da requisiti legali.
• È proibito qualsiasi altro trasferimento, uso o vendita dei dati di Connessione Salute, inclusi:
  • Il trasferimento o la vendita di dati utente a terze parti, ad esempio piattaforme pubblicitarie, intermediari di dati o qualsiasi rivenditore di informazioni.
  • Il trasferimento, la vendita o l'uso di dati utente per la pubblicazione di annunci, inclusa la pubblicità personalizzata o basata sugli interessi.
  • Il trasferimento, la vendita o l'uso di dati utente per determinare l'affidabilità creditizia o per finalità di prestito.
  • Il trasferimento, la vendita o l'uso di dati utente con qualsiasi prodotto o servizio che possa essere classificato come dispositivo medico, a meno che l'app per dispositivi medici non rispetti tutte le normative vigenti, incluso l'ottenimento delle autorizzazioni o delle approvazioni necessarie da parte degli enti normativi competenti (ad esempio la FDA statunitense) per l'uso previsto dei dati di Connessione Salute, nonché del consenso esplicito da parte dell'utente per tale uso.
  • Il trasferimento, la vendita o l'uso di dati utente per qualsiasi scopo o in qualsiasi modalità che coinvolga dati sanitari protetti (come definiti dalla normativa HIPAA) a meno che tu non disponga della preventiva autorizzazione scritta di Google per tale uso.

Devi solo richiedere l'accesso alle autorizzazioni necessarie per implementare le funzionalità o i servizi del tuo prodotto. Tali richieste di accesso dovrebbero essere specifiche e limitate ai dati necessari.

Connessione Salute gestisce i dati relativi a salute e attività fisica, comprese le informazioni sensibili, e richiede che tutte le applicazioni dispongano di norme sulla privacy complete. Le norme sulla privacy devono comunicare in maniera trasparente il modo in cui l'app raccoglie, utilizza e condivide i dati utente. Oltre ai requisiti legali, gli sviluppatori devono includere le seguenti informazioni nelle norme sulla privacy:

• Descrivere accuratamente l'identità dell'app, indicando i dati a cui accede e il relativo collegamento a consigli o funzionalità in evidenza dell'app.
• Pratiche di conservazione ed eliminazione dei dati.
• Procedure di trattamento dei dati. Ad esempio, la trasmissione dei dati mediante metodi moderni di crittografia (ad esempio, tramite HTTPS).

Per ulteriori informazioni sui requisiti delle app che si collegano a Connessione Salute, consulta questo articolo del Centro assistenza.

VpnService è una classe base che consente alle applicazioni di estendere e creare le proprie soluzioni VPN. Solo le app che utilizzano VpnService la cui funzionalità di base è una VPN possono creare un tunnel sicuro a livello di dispositivo verso un server remoto. Tra le eccezioni figurano le app che richiedono un server remoto per la funzionalità di base, ad esempio:

• App di gestione aziendale e per il controllo genitori.
• Monitoraggio dell'utilizzo di app.
• App per la sicurezza del dispositivo (come antivirus, gestione dei dispositivi mobili, firewall).
• Strumenti relativi alla rete (come l'accesso remoto).
• App di navigazione sul Web.
• App di operatori che richiedono l'uso della funzionalità VPN per fornire servizi di telefonia o connettività.

Non è possibile usare VpnService per:

• Raccogliere dati utente personali e sensibili senza un'informativa ben visibile e senza aver ottenuto il consenso.
• Reindirizzare o manipolare il traffico utente da altre app su un dispositivo a scopi di monetizzazione (ad esempio reindirizzare il traffico dagli annunci pubblicitari in un paese diverso da quello dell'utente).

Le app che usano VpnService devono:

• Documentare l'uso di VpnService nella scheda di Google Play; e
• Criptare i dati dal dispositivo al punto di arrivo del tunnel VPN; e
• Rispettare tutte le Norme del programma per gli sviluppatori, incluse le norme relative a frodi pubblicitarie, autorizzazioni e malware.

Verrà introdotta una nuova autorizzazione chiamata USE_EXACT_ALARM per concedere l'accesso alla funzionalità di sveglia esatta nelle app su Android 13 e versioni successive (Livello API target 33). 

USE_EXACT_ALARM è un'autorizzazione limitata e le app devono dichiararla solo se la loro funzionalità di base supporta l'esigenza di una sveglia esatta. Le app che richiedono questa autorizzazione limitata sono soggette a verifica e quelle che non soddisfano i criteri delle norme di utilizzo accettabile non potranno essere pubblicate su Google Play.

Casi d'uso accettabili per l'utilizzo dell'autorizzazione Sveglia esatta

La tua app deve usare la funzionalità USE_EXACT_ALARM solo quando la funzionalità principale rivolta all'utente della tua app richiede azioni temporizzate in modo preciso, ad esempio:

• L'app è una sveglia o un timer.
• L'app è un calendario che mostra notifiche di eventi.

Se il tuo caso d'uso per la funzionalità di sveglia esatta non rientra tra quelli menzionati, dovresti valutare se esiste la possibilità di usare SCHEDULE_EXACT_ALARM in alternativa.

Per ulteriori informazioni sulla funzionalità di sveglia esatta, consulta queste indicazioni per gli sviluppatori.

Per le app che hanno come target Android 14 (livello API target 34) e versioni successive, USE_FULL_SCREEN_INTENT è un'autorizzazione di accesso alle app speciale.. Alle app sarà consentito automaticamente l'utilizzo dell'autorizzazione USE_FULL_SCREEN_INTENT se la loro funzionalità di base rientra tra una delle seguenti categorie che richiedono notifiche ad alta priorità:

• Impostazione di una sveglia
• Ricezione di telefonate e videochiamate

Le app che richiedono questa autorizzazione sono soggette a verifica e a quelle che non soddisfano i suddetti criteri non sarà concessa automaticamente l'autorizzazione. In tal caso, le app devono richiedere l'autorizzazione all'utente per utilizzare USE_FULL_SCREEN_INTENT.

Ricorda che tutti gli utilizzi dell'autorizzazione USE_FULL_SCREEN_INTENT devono rispettare tutte le norme per gli sviluppatori di Google Play, incluse le nostre norme relative al software mobile indesiderato, all'utilizzo illecito di dispositivi e retie agli annunci. Le notifiche di intent a schermo intero non possono interferire con, interrompere, danneggiare o accedere al dispositivo dell'utente senza autorizzazione. Inoltre, le app non devono interferire con altre app o con l'usabilità del dispositivo.

Scopri di più sull'autorizzazione USE_FULL_SCREEN_INTENT nel nostro Centro assistenza.