Permisos y API que Acceden a Información Sensible

Los Permisos de SMS y Registro de Llamadas se consideran datos sensibles y personales de los usuarios y están sujetos a la política de Información Personal y Sensible, así como a las siguientes restricciones:

Permiso Restringido	Requisito
Grupo de permisos de Registro de llamadas (p. ej., READ_CALL_LOG, WRITE_CALL_LOG, PROCESS_OUTGOING_CALLS)	Debe estar registrado activamente como el controlador predeterminado de Teléfono o Asistente en el dispositivo.
Grupo de permisos de SMS (p. ej., READ_SMS, SEND_SMS, WRITE_SMS, RECEIVE_SMS, RECEIVE_WAP_PUSH, RECEIVE_MMS)	Debe estar registrado activamente como controlador predeterminado de SMS o del Asistente en el dispositivo.

 

Las apps que no posean la función de controlador predeterminado del Asistente, Teléfono o SMS no pueden declarar el uso de los permisos anteriores en el manifiesto. Esto también se aplica al texto de marcador de posición en el manifiesto. Además, las aplicaciones deben estar registradas de forma activa como controladores predeterminados del Asistente, Teléfono o SMS antes de solicitar a los usuarios que acepten cualquiera de los permisos anteriores. Asimismo, deben finalizar de inmediato el uso del permiso cuando dejen de ser controladores predeterminados. En esta página del Centro de ayuda, se pueden consultar los usos permitidos y las excepciones.

Las aplicaciones solo pueden usar el permiso (y cualquier dato derivado de este) para brindar la funcionalidad principal aprobada de la aplicación. La funcionalidad principal se define como el objetivo más importante de la aplicación. Esto puede incluir una serie de funciones principales, las cuales deben estar claramente documentadas y promocionadas en la descripción de la aplicación. Sin las funciones principales, la aplicación se considera "dañada" o inútil. Solo se deben transferir, compartir o usar con licencia estos datos a fin de brindar funciones o servicios principales dentro de la aplicación, y no se puede extender su uso para ningún otro propósito (p. ej., mejorar otras aplicaciones o servicios, publicidad o marketing). No se pueden usar métodos alternativos (incluidos otros permisos, API o fuentes de terceros) para obtener datos atribuidos a los permisos de Registro de llamadas o SMS relacionados.

Se considera que la ubicación del dispositivo es un dato sensible y personal del usuario, y está sujeto a la política de Información Personal y Sensible, a la política de Ubicación en Segundo Plano y a los siguientes requisitos:

• Las aplicaciones no pueden acceder a los datos protegidos por permisos de ubicación (p. ej., ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION) luego de que estos dejen de ser necesarios para implementar funciones o servicios existentes dentro de la aplicación.
• Nunca debe solicitar permisos de ubicación a los usuarios únicamente con fines de publicidad o análisis. Las aplicaciones que extienden el uso permitido de este dato para publicar anuncios deben cumplir con nuestra Política de Anuncios.
• Las aplicaciones deben solicitar el alcance mínimo necesario (es decir, ubicación aproximada en lugar de precisa y uso en primer plano en vez de en segundo plano) para proporcionar el servicio o la función en curso que requiere la ubicación, y los usuarios deben tener una expectativa razonable de que el servicio o la función necesita el nivel de ubicación solicitado. Por ejemplo, es posible que rechacemos las aplicaciones que soliciten acceso o que accedan a la ubicación en segundo plano sin una justificación convincente.
• La ubicación en segundo plano solo se puede usar con el fin de proporcionar funciones beneficiosas para el usuario y relevantes para la funcionalidad principal de la aplicación.

Se permite que las aplicaciones accedan a la ubicación con un servicio en primer plano (cuando la aplicación solo tiene acceso en primer plano, p. ej., "durante el uso") si el uso cumple con las siguientes condiciones:

• Se inició como una continuación de una acción iniciada por el usuario dentro de la aplicación.
• Finaliza inmediatamente después de que la aplicación completa el caso de uso previsto de la acción iniciada por el usuario.

Las aplicaciones diseñadas específicamente para niños deben cumplir con la política de Diseñado para Familias.

Para obtener más información sobre los requisitos de la política, consulte este artículo de ayuda.

Los archivos y los atributos de directorio del dispositivo de un usuario se consideran datos personales y sensibles sujetos a la Política de Información Personal y Sensible y a los siguientes requisitos:

• Las aplicaciones solo deben solicitar acceso al almacenamiento del dispositivo que resulte fundamental para su funcionamiento y no pueden solicitar acceso al almacenamiento del dispositivo en nombre de ningún tercero que no esté relacionado con la funcionalidad crítica de la aplicación.
• Los dispositivos Android que ejecuten la versión R o una posterior requerirán el permiso MANAGE_EXTERNAL_STORAGE para administrar el acceso en el almacenamiento compartido. Todas las aplicaciones que se orienten a Android R y soliciten acceso amplio al almacenamiento compartido ("Acceso a todos los archivos") deben realizar y aprobar una revisión de acceso adecuada antes de su publicación. Las aplicaciones que pueden usar este permiso deben solicitar a los usuarios que habiliten el "Acceso a todos los archivos" en la configuración de "Acceso especial de apps". Para obtener más información sobre los requisitos de Android R, consulte este artículo de ayuda.

Cuando se consulta el inventario de aplicaciones instaladas desde un dispositivo, dicho contenido se considera información sensible y personal del usuario, y está sujeto a la política de Información Personal y Sensible, así como a los requisitos que se detallan a continuación.

Las aplicaciones que tienen como propósito principal lanzar o explorar otras aplicaciones del dispositivo, o interoperar con ellas, pueden obtener visibilidad apropiada para el alcance de otras aplicaciones instaladas en el dispositivo, como se describe a continuación:

• Visibilidad amplia de la aplicación: La visibilidad amplia es la capacidad de una aplicación para tener una visibilidad extensa (o "amplia") de las aplicaciones instaladas ("paquetes") en un dispositivo.
  • En el caso de las aplicaciones segmentadas al nivel de API 30 o niveles superiores, la visibilidad amplia de las aplicaciones instaladas mediante el permiso QUERY_ALL_PACKAGES está restringida a casos de uso específicos en los que el conocimiento de las aplicaciones del dispositivo o la interoperabilidad con ellas son necesarios para que funcione la aplicación. 
    • No puede usar QUERY_ALL_PACKAGES si su aplicación puede funcionar con una declaración de visibilidad de paquetes específicos segmentada más limitada (p. ej., consultar paquetes específicos e interactuar con ellos en lugar de solicitar una visibilidad amplia).
  • El uso de métodos alternativos para aproximar el nivel de visibilidad amplia asociado con el permiso QUERY_ALL_PACKAGES también está restringido a la funcionalidad principal para el usuario de la aplicación y la interoperabilidad con las aplicaciones que se detecten a través de este método.
  • Si desea conocer los casos de uso admisibles para el permiso QUERY_ALL_PACKAGES, consulte este artículo del Centro de ayuda.
• Visibilidad limitada de la aplicación: La visibilidad limitada ocurre cuando una aplicación minimiza el acceso a los datos mediante búsquedas de aplicaciones específicas con métodos más puntuales (en lugar de métodos "amplios"), como búsquedas de aplicaciones específicas que satisfacen la declaración del manifiesto de la aplicación. Puede usar este método para realizar búsquedas de aplicaciones en los casos en que su aplicación tenga interoperabilidad en cumplimiento con las políticas o esté a cargo de la administración de esas aplicaciones. 
• La visibilidad del inventario de las aplicaciones instaladas en un dispositivo debe estar directamente relacionada con el propósito o la funcionalidad principales a los que acceden los usuarios en su aplicación. 

Los datos de inventario de las aplicaciones que se consultan desde las aplicaciones distribuidas en Play no se pueden vender ni compartir con fines de análisis o monetización de anuncios.

No se puede usar la API de Accessibility para los siguientes fines:

• Cambiar los parámetros de configuración de los usuarios sin su permiso o impedir la posibilidad de que los usuarios inhabiliten o desinstalen cualquier aplicación o servicio, a menos que se cuente con la autorización de una madre, un padre o un tutor en una aplicación de control parental o de administradores autorizados en un software de administración empresarial 
• Ignorar las notificaciones y los controles de privacidad integrados de Android
• Cambiar la interfaz de usuario o sacar provecho de ella de una manera engañosa o que de otro modo incumpla las Políticas para Desarrolladores de Google Play 

La API de Accessibility no se puede solicitar para realizar grabaciones de audio de llamadas remotas, ya que no está diseñada para tal fin. 

El uso de la API de Accessibility debe estar documentado en la ficha de Google Play.

Lineamientos para el uso de la etiqueta IsAccessibilityTool

Las aplicaciones cuya funcionalidad principal pretenda brindar asistencia directa a las personas con discapacidades son aptas para usar la etiqueta IsAccessibilityTool a fin de designarse públicamente como aplicaciones de accesibilidad de forma adecuada.

Las aplicaciones que no sean aptas para usar IsAccessibilityTool no pueden usar la etiqueta y deben cumplir con los requisitos de consentimiento y divulgación destacada que se describen en la política de Datos del Usuario debido a que la función de accesibilidad no es obvia para el usuario. Para obtener más información, consulte el artículo del Centro de ayuda sobre la API de AccessibilityService.

Cuando sea posible, las aplicaciones deben usar API y permisos con alcances más restringidos en lugar de la API de Accesibility a fin de lograr la funcionalidad deseada. 

El permiso REQUEST_INSTALL_PACKAGES autoriza a la aplicación a solicitar la instalación de los paquetes correspondientes.​​ Para usar este permiso, la funcionalidad principal de tu aplicación debe incluir lo siguiente: 

• Envío o recepción de paquetes de aplicación
• Habilitación de instalaciones iniciadas por el usuario de paquetes de aplicación 

Las funcionalidades permitidas incluyen las siguientes:

• Búsqueda o navegación web
• Servicios de comunicación que admiten archivos adjuntos
• Uso compartido, transferencia o administración de archivos
• Administración de dispositivos empresariales 
• Creación de copias de seguridad y restablecimiento
• Migración de dispositivo o transferencia telefónica

La funcionalidad principal se define como el objetivo más importante de la aplicación. La funcionalidad principal, así como cualquier otra función importante que la constituya, deben documentarse de forma destacada y promocionarse en la descripción de la aplicación. 

El permiso REQUEST_INSTALL_PACKAGES no debe usarse para realizar actualizaciones automáticas, modificaciones o implementaciones de paquetes de otros APK en el archivo de activos, a menos que sea con fines de administración de dispositivos. Todas las actualizaciones o instalaciones de paquetes deben estar sujetas a la política de Abuso de Redes y Dispositivos de Google Play, y el usuario es quien debe iniciarlas.

Los datos a los que se accede con los Permisos para Health Connect se consideran datos personales y sensibles de los usuarios, y están sujetos a la política de Datos del Usuario y a los siguientes requisitos adicionales:

Las solicitudes para acceder a datos desde Health Connect deben ser claras y comprensibles. Health Connect solo se puede usar de acuerdo con las políticas y los términos y condiciones aplicables, y para los casos de uso aprobados según se describe en esta política. Esto significa que solo puede solicitar acceso a los permisos cuando su aplicación o servicio cumpla con uno de los casos de uso aprobados.

A continuación se indican los casos de uso aprobados con el fin de acceder a los Permisos para Health Connect:

• Aplicaciones o servicios con una o más funciones para beneficiar la salud y el estado físico de los usuarios a través de una interfaz del usuario que permita registrar, informar, supervisar o analizar directamente su actividad física, sueño, bienestar mental, nutrición, mediciones de salud, descripciones físicas u otras mediciones y descripciones relacionadas con la salud y el estado físico
• Aplicaciones o servicios con una o más funciones para beneficiar la salud y el estado físico de los usuarios a través de una interfaz del usuario que les permita almacenar su actividad física, sueño, bienestar mental, nutrición, mediciones de salud, descripciones físicas u otras mediciones y descripciones relacionadas con la salud y el estado físico en su teléfono o wearable, y compartir sus datos con otras aplicaciones integradas en el dispositivo que satisfagan estos casos de uso

Health Connect es una plataforma de uso general para el almacenamiento y uso compartido de datos que les permite a los usuarios recopilar información de salud y estado físico de distintas fuentes en su dispositivo Android y compartirla con terceros según lo prefieran. Los datos pueden originarse de distintas fuentes a partir de lo que determinen los usuarios. Los desarrolladores deben evaluar si Health Connect es una opción adecuada para su uso previsto y para investigar y aprobar la fuente y la calidad de los datos de Health Connect con relación a cualquier propósito y, en particular, para usos médicos o relacionados con la salud o la investigación.

• Las aplicaciones que usen datos obtenidos con Health Connect para llevar a cabo investigaciones con seres humanos relacionadas con la salud deben obtener el consentimiento de los participantes o, en el caso de los menores, el consentimiento de su madre, padre o tutor. Dicho consentimiento debe incluir (a) la naturaleza, el propósito y la duración de la investigación; (b) los procedimientos, los riesgos y los beneficios para el participante; (c) información sobre confidencialidad y manejo de los datos (incluido el uso compartido con terceros); (d) un punto de contacto para las preguntas del participante, y (e) el proceso de rescisión. Las aplicaciones que usen datos obtenidos con Health Connect para llevar a cabo investigaciones con seres humanos relacionadas con la salud deben recibir la aprobación de una junta independiente que 1) tenga la finalidad de proteger los derechos, la seguridad y el bienestar de los participantes y 2) tenga la autoridad para escudriñar, modificar y aprobar la investigación con seres humanos. Se debe proporcionar el comprobante de esa aprobación cuando se solicite.
• También es responsabilidad suya garantizar el cumplimiento de cualquier requisito legal o regulatorio que se aplique según su uso previsto de Health Connect y los datos de Health Connect. A excepción de lo que se detalla explícitamente en las etiquetas o la información que proporciona Google para productos o servicios específicos de Google, Google no recomienda el uso ni garantiza la precisión de los datos incluidos en Health Connect para cualquier uso o propósito, y, en particular, para usos médicos o relacionados con la salud o la investigación. Google rehusa toda responsabilidad asociada con el uso de datos obtenidos con Health Connect.

Si hace un uso adecuado de Health Connect, su uso de los datos a los que se accede con Health Connect también debe satisfacer los requisitos que se indican a continuación. Estos requisitos se aplican a los datos sin procesar obtenidos de Health Connect y a los datos recopilados, desidentificados o derivados de los datos sin procesar.

• Limite su uso de datos de Health Connect para proporcionar o mejorar su caso de uso adecuado o las funciones que están visibles y destacadas en la interfaz de usuario de la aplicación que realiza la solicitud.
• Transfiera los datos del usuario a terceros únicamente con los siguientes fines:
  • Para proporcionar o mejorar el caso de uso adecuado o las funciones que están claras en la interfaz de usuario de la aplicación que realiza la solicitud, solo con el consentimiento del usuario
  • Si es necesario con fines de seguridad (por ejemplo, investigar casos de abuso)
  • Para satisfacer las leyes o reglamentaciones aplicables
  • Como parte de una combinación, adquisición o venta de activos del desarrollador después de obtener el consentimiento explícito del usuario
• No permita que seres humanos lean los datos del usuario, a excepción de los siguientes casos:
  • Se obtuvo el consentimiento explícito del usuario para leer datos específicos.
  • Es necesario con fines de seguridad (por ejemplo, investigar casos de abuso).
  • Se requiere para satisfacer las leyes aplicables.
  • Los datos (incluidas las derivaciones) se agregan y usan para operaciones internas de acuerdo con requisitos de privacidad aplicables y otros requisitos legales jurisdiccionales.

Está prohibido cualquier otro uso, transferencia o venta de datos de Health Connect, lo que incluye lo siguiente:

• Transferir o vender datos del usuario a terceros como plataformas publicitarias, agentes de datos o cualquier revendedor de información
• Transferir, vender o usar datos del usuario para publicar anuncios, lo que incluye publicidad personalizada o basada en intereses
• Transferir, vender o usar datos del usuario para determinar el valor crediticio o con fines de préstamos
• Transferir, vender o usar datos del usuario con cualquier producto o servicio que podría considerarse como un dispositivo médico en virtud del Artículo 201(h) de la Ley Federal de Alimentos, Medicamentos y Cosméticos de Estados Unidos si el dispositivo médico utilizará los datos del usuario para llevar a cabo su función regulada
• Transferir, vender o usar datos del usuario para cualquier fin o de cualquier manera que implique Información de Salud Protegida (según se define en la HIPAA), a menos que reciba aprobación previa por escrito de Google para dicho uso

El acceso a Health Connect no se puede usar si incumple esta política o cualquier otra política o términos y condiciones aplicables de Health Connect, incluso con los siguientes propósitos:

• No use Health Connect para desarrollar aplicaciones, entornos o actividades, ni para incorporar esta opción a ellos, en los que se prevea de manera razonable que el uso o la falla de Health Connect podría provocar la muerte, lesiones personales o daños ambientales o a la propiedad (como la creación o la puesta en funcionamiento de instalaciones nucleares, controles de tráfico aéreo, sistemas de soporte vital o armamento).
• No acceda a datos obtenidos a partir de Health Connect con aplicaciones sin interfaz gráfica. Las aplicaciones deben mostrar un ícono claramente identificable en la bandeja de aplicaciones, admitir la configuración en el dispositivo, mostrar íconos de notificaciones, etcétera.
• No use Health Connect con aplicaciones que sincronicen datos entre plataformas o dispositivos incompatibles.
• Health Connect no puede conectarse con aplicaciones, servicios ni funciones que se orienten únicamente a niños. Health Connect no tiene aprobación para usarse en servicios dirigidos principalmente a niños.

En su aplicación o en un sitio web que pertenezca a su aplicación o servicio web, se debe divulgar una declaración afirmativa de que su uso de los datos de Health Connect satisfacen las restricciones de Uso Limitado; por ejemplo, un vínculo en una página principal a una página dedicada o una política de privacidad que indique: "El uso de la información recibida de Health Connect cumplirá con la política de Permisos para Health Connect, incluidos los requisitos de Uso Limitado".

Solo puede solicitar acceso a permisos que sean críticos para implementar las funciones de su aplicación o servicio. 

Esto significa lo siguiente:

• No solicite acceso a información que no necesite. Solicite acceso únicamente a los permisos que se necesitan para implementar los servicios o funciones de su producto. Si su producto no requiere acceso a permisos específicos, no debe solicitar acceso a ellos.

Health Connect maneja datos de salud y estado físico, lo que incluye información personal y sensible. Todas las aplicaciones y servicios deben contener una política de privacidad, la cual debe divulgar de forma comprensible cómo su aplicación o servicio recopila, usa y comparte datos del usuario. Esto incluye los tipos de partes con las que se comparten los datos del usuario, cómo usa usted los datos, cómo los almacena y asegura, y qué ocurre con los datos cuando se desactiva o borra una cuenta.

Además de las disposiciones correspondientes a la ley aplicable, también debe cumplir con los siguientes requisitos:

• Debe proporcionar una divulgación sobre el acceso, la recopilación y el uso de los datos, así como con quién se comparten. La divulgación debe cumplir con lo siguiente:
  • Debe representar con precisión la identidad de la aplicación o el servicio que busca acceder a los datos del usuario.
  • Debe proporcionar información clara y precisa que explique los tipos de datos a los que se accede y que se solicitan o recopilan.
  • Debe explicar cómo se usarán o compartirán los datos: si solicita datos por un motivo, pero estos también se usarán para un propósito secundario, debe notificar a los usuarios sobre ambos casos de uso.
• Debe proporcionar documentación de ayuda para los usuarios que explique cómo pueden administrar y borrar sus datos de la aplicación.

Debe manejar todos los datos del usuario de forma segura. Tome medidas razonables y adecuadas para proteger todas las aplicaciones o sistemas que usen Health Connect contra el acceso, el uso, la destrucción, la pérdida, la alteración o la divulgación que no estén autorizados o no sean legales.

Las prácticas de seguridad recomendadas incluyen implementar y mantener un Sistema de Administración de la Seguridad de la Información según se describe en el estándar ISO/IEC 27001 y garantizar que la aplicación o el servicio web sea robusto y no tenga problemas de seguridad comunes según se describe en el documento de OWASP Top 10.

Según la API a la que se acceda y la cantidad de usuarios, exigiremos que su aplicación o servicio se someta a una evaluación periódica de seguridad y obtenga una Carta de Evaluación de un tercero designado si su producto transfiere datos del dispositivo del usuario.

Si desea obtener más información sobre los requisitos para las aplicaciones que se conectan a Health Connect, consulte este artículo de ayuda.

VpnService es una clase básica para que las aplicaciones extiendan y compilen sus propias soluciones de VPN. Únicamente las aplicaciones que usan VpnService y tienen una VPN como su funcionalidad principal pueden crear un túnel seguro a nivel del dispositivo hacia un servidor remoto. Entre las excepciones se incluyen las aplicaciones que requieren un servidor remoto para la funcionalidad principal, como las siguientes:

• Aplicaciones de administración empresarial y control parental
• Opciones de seguimiento de uso de aplicaciones
• Aplicaciones de seguridad del dispositivo (por ejemplo, antivirus, administración de dispositivos móviles, firewall)
• Herramientas relacionadas con redes (por ejemplo, acceso remoto)
• Aplicaciones de navegación web
• Aplicaciones del operador que requieren el uso de funciones de la VPN para proporcionar servicios de conectividad o telefonía

VpnService no se puede usar para lo siguiente:

• Recopilar datos personales y sensibles de los usuarios sin su consentimiento y una divulgación destacada
• Redireccionar o manipular el tráfico de otras aplicaciones en un dispositivo con fines de monetización (por ejemplo, redireccionar el tráfico de anuncios por un país que no sea el del usuario)
• Manipular anuncios que puedan afectar la monetización de las aplicaciones

Las aplicaciones que usan VpnService deben hacer lo siguiente: 

• Documentar el uso de VpnService en la ficha de Google Play
• Encriptar los datos que van del dispositivo al extremo del túnel de la VPN
• Cumplir con todas las Políticas del Programa para Desarrolladores, incluidas las políticas de Fraude Publicitario, Permisos y Software Malicioso.