The Android 15 Beta is now available. Try it out today and let us know what you think!

Se usó la API de Cloud Translation para traducir esta página.

Paquete de metadatos de app para la seguridad de los datos

Los paquetes de metadatos de aplicaciones proporcionan a los desarrolladores una forma transparente de incluir información sobre ellos (el desarrollador), la app y la forma en que recopilan, comparten y protegen los datos del usuario. Google Play Store requiere que los desarrolladores proporcionen esta información a las apps que distribuye, y los fabricantes de dispositivos Android con Servicios de Google Play exigen lo mismo a los desarrolladores de apps que el fabricante precarga, con excepciones limitadas para los servicios del sistema.

Otros instaladores y tiendas de aplicaciones pueden optar por requerir un paquete de metadatos de app para las apps que distribuyen. El método de distribución de apps determina cómo los desarrolladores pueden crear e integrar un paquete de metadatos de app. Android muestra a los usuarios información de seguridad de los datos del paquete de metadatos de la app. Por ejemplo, si una app declara que comparte la ubicación con un tercero, esa información se muestra en el mensaje de permiso de ubicación en los dispositivos que ejecutan Android 14 o versiones posteriores.

Descripción general

Un paquete de metadatos de app te permite compartir información sobre ti (el desarrollador) y tu app, incluidos los datos del usuario que recopila o comparte, y mostrar las prácticas clave de privacidad y seguridad de tu app. Esta información ayuda a los usuarios a tomar decisiones más informadas, por ejemplo, cuando otorguen acceso a permisos.

Los paquetes de metadatos de apps son independientes y adicionales a las obligaciones legales de transparencia y divulgación a las que podrías estar sujeto, como desarrollador, en los países donde operas.

Se recomienda a todos los desarrolladores que declaren cómo recopilan y manejan los datos del usuario en sus apps y que proporcionen detalles sobre el propósito de la app, la información para desarrolladores y la manera en que la app protege los datos del usuario mediante prácticas de seguridad como la encriptación. Esto incluye los datos recopilados y manejados mediante bibliotecas o SDKs de terceros que se usen en las apps. Es posible que los desarrolladores quieran consultar la información de seguridad de los datos publicada por los proveedores del SDK para obtener más detalles. Los desarrolladores pueden consultar el Índice SDK de Google Play para ver si un proveedor proporcionó un vínculo a su orientación.

Los paquetes de metadatos de app llegan al dispositivo de manera diferente, según cómo se distribuya la app:

Apps precargadas en la imagen del sistema: El fabricante del dispositivo es responsable de incluir el paquete de metadatos de la app en un archivo XML de seguridad de los datos, en la imagen del sistema.
Apps distribuidas por instaladores: El instalador es responsable de enviar el paquete de metadatos de la app al dispositivo. Si desarrollas una app que se distribuye en Google Play, consulta las instrucciones en la Ayuda de Play Console. Los instaladores pueden hacer referencia al esquema para paquetes de metadatos de la app.

Los desarrolladores de apps precargadas pueden crear un archivo en formato XML de seguridad de los datos a través de uno de los siguientes métodos:

Si desarrollas una app que está publicada en Play Store, usa el formulario de seguridad de los datos de Play Console en la página Contenido de la app. Para ello, navega a Política > Contenido de la app. Si ya completaste este formulario, no es necesario que realices ninguna acción adicional.
Descarga y edita el archivo en formato XML de plantilla que está disponible en esta página para proporcionarlo a los fabricantes o instaladores.

Preparando la información

Antes de que los desarrolladores comiencen a crear un paquete de metadatos de app, completa los siguientes pasos:

Asegúrate de haber agregado una política de privacidad.
Consulta cómo la app recopila y comparte datos del usuario y las prácticas de seguridad. En particular, verifica los permisos declarados de la app y las APIs que usa.

Además de revisar cómo la app recopila y comparte datos del usuario, los desarrolladores también deben revisar la manera en que el código de terceros (como las bibliotecas o los SDKs de terceros) que se incluye en la app recopila y comparte esos datos. El paquete de metadatos de la app debe reflejar la recopilación o el uso compartido de datos que realiza ese código de terceros.

Qué deben divulgar los desarrolladores en las secciones de información sobre la app y el desarrollador

En esta sección, se explica qué información deben divulgar los desarrolladores en las secciones app e información para desarrolladores del paquete de metadatos de apps. Si la app se distribuye en Google Play Store, usa Play Console para ingresar esta información.

Qué deben compartir los desarrolladores sobre la app

Cuando se crea un paquete de metadatos de app, los desarrolladores deben divulgar la información de la app que se describe en las siguientes secciones:

Propósito de la app

Describe el propósito de la app en un BLOB de texto legible en inglés (límite de 4,000 caracteres).

Categoría de app

En la siguiente lista, selecciona la categoría que mejor se adapte al propósito de la app.

Las siguientes categorías están pensadas para las apps precargadas:

OTA: paquetes responsables de recibir e instalar actualizaciones inalámbricas
AOSP: Paquetes disponibles en el Proyecto de código abierto de Android
Seguridad
App Store

Google Play también usa las categorías que se describen en la siguiente tabla:

Categoría	Ejemplos
Arte y diseño	Cuaderno de bocetos, herramientas para pintores, herramientas de arte y diseño, libros para colorear
Autos y vehículos	Tiendas para autos, seguros para autos, comparación de precios de autos, seguridad vial, opiniones y noticias sobre autos
Belleza	Tutoriales de maquillaje, herramientas de maquillaje, peinados, tiendas de productos de belleza, simuladores de maquillaje
Libros y referencias	Lectores de libros, libros de referencia, libros de texto, diccionarios, tesauros, wikis
Negocio	Lector o editor de documentos, seguimiento de paquetes, escritorio remoto, administración de correo electrónico, búsqueda de empleo
Cómics	Personajes de cómics, títulos de cómics
Comunicaciones	Mensajería, chat o mensajería instantánea, marcadores, libretas de direcciones, navegadores, administración de llamadas
Citas	Formación de parejas, noviazgo, creación de relaciones, encuentros con gente nueva, búsqueda del amor
Educación	Preparación de exámenes, ayudas para el estudio, vocabulario, juegos educativos, aprendizaje de idiomas
Entretenimiento	Video en streaming, películas, programas de TV y entretenimiento interactivo
Eventos	Entradas para conciertos, eventos deportivos y cines, y reventa de entradas
Finanzas	Banca, pagos, buscadores de cajeros automáticos, noticias financieras, seguros, impuestos, administración de carteras y comercio, calculadoras de propinas
Comida y bebida	Recetas, restaurantes, guías gastronómicas, descubrimiento y degustación de vinos, recetas de tragos
Salud y fitness	Bienestar personal, seguimiento de ejercicios, sugerencias sobre dietas y nutrición, salud y seguridad
Casa y hogar	Búsqueda de casas y apartamentos, mejoras para el hogar, decoración de interiores, hipotecas, bienes raíces
Bibliotecas y demostración	Bibliotecas de software y demostraciones técnicas
Estilo de vida	Instructivos, planificación de bodas y eventos, y guías prácticas
Mapas y navegación	Herramientas de navegación, GPS, cartografía, herramientas de tránsito y transporte público
Medicina	Referencias clínicas y de medicamentos, calculadoras, manuales para proveedores de atención médica, noticias y revistas médicas
Música y audio	Servicios musicales, radios y reproductores de música
Noticias y revistas	Periódicos, agregadores de noticias, revistas y blogs
Paternidad y maternidad	Embarazo, cuidado y vigilancia de bebés, cuidado de niños
Personalización	Fondos de pantalla, fondos de pantalla animados, pantalla principal, pantalla bloqueada, tonos
Fotografía	Cámaras, herramientas de edición de fotografías, apps para administrar y compartir fotos
Productividad	Blocs de notas, listas de tareas, teclados, impresión, calendarios, copias de seguridad, calculadoras, herramientas de conversión
Compras	Compras en línea, subastas, cupones, comparaciones de precios, listas de compras, reseñas de productos
Sociales	Redes sociales y registro
Deportes	Comentarios y noticias deportivas, seguimiento de resultados, administración de equipos virtuales y cobertura de partidos
Herramientas	Herramientas para dispositivos Android
Viajes y local	Herramientas para hacer reservas, viajes compartidos, taxis, guías de ciudades, información sobre empresas locales, herramientas de administración de viajes y reserva de recorridos
Reproductores y editores de video	Reproductores de video, editores de video, almacenamiento de medios
Clima	Informes meteorológicos.

Marketing y publicidad de apps

Indica si la app incluye publicidad o marketing, incluidas promociones integradas.

Política de Privacidad

Incluye un vínculo a la política de privacidad en el que se detalle cómo el desarrollador maneja los datos del usuario. Si la app no contiene este vínculo, se supone que no controla los datos del usuario.

Qué deben compartir los desarrolladores sobre sí mismos

Cuando se crea un paquete de metadatos de app, los desarrolladores deben divulgar la información para desarrolladores que se describe en las siguientes secciones:

Nombre del desarrollador

El nombre del desarrollador, la persona o la empresa que creó la app. Puede haber varios nombres de desarrollador.

Registro de aplicaciones

Si la app aparece en algún registro de apps, incluidas tiendas y otros instaladores, indícalo en este campo. Se permiten varias entradas para varias tiendas.

En el caso de los registros de apps que son instaladores de Android: El valor debe ser el nombre del paquete de Android de la tienda. Por ejemplo, usa com.android.vending para Google Play Store.
Para otros registros de app: El valor debe ser la URL del registro.

Omite este campo por cualquiera de los siguientes motivos:

El desarrollador es un SDK que aparece en el Índice SDK de Google Play.
El desarrollador no está registrado en ninguna tienda de aplicaciones ni registro.

ID de registro de la app

En el caso de las apps que figuran en cualquier registro de apps, incluidos los instaladores y las tiendas, este valor debe ser la tienda, el instalador o la identidad de registro del desarrollador. Se permiten varias entradas para varias tiendas.

Para desarrolladores registrados en Google Play: Este valor debe ser la URL de la página del desarrollador (por ejemplo, https://play.google.com/store/apps/dev?id=5700313618786177705 es la URL del desarrollador de Google LLC).
Si el desarrollador es un desarrollador del SDK que figura en el Índice SDK de Google Play, usa la URL del SDK (por ejemplo, https://play.google.com/sdks/details/com-google-android-gms-play-services-ads es la URL del SDK de anuncios de Google para dispositivos móviles [GMA]).
Si el desarrollador está registrado en otra tienda o registro, se puede proporcionar una URL de tienda de aplicaciones o algún otro identificador.

Si un desarrollador no está registrado en ninguna tienda de aplicaciones, se puede omitir este atributo.

Información de contacto del desarrollador

Proporciona la siguiente información:

Correo electrónico
Sitio web
País o región
Dirección postal física

Qué deben divulgar los desarrolladores en la sección de Seguridad de los datos

En esta sección, se explica qué información deben divulgar los desarrolladores en la sección de seguridad de los datos del paquete de metadatos de la app, y se enumeran los tipos de datos del usuario y los propósitos que los desarrolladores pueden seleccionar. Si una app se distribuye en Google Play Store, usa Play Console para ingresar esta información.

Qué deben declarar los desarrolladores en los distintos tipos de datos

Cuando los desarrolladores crean un paquete de metadatos de app, deben divulgar información sobre los tipos de datos que recopilan y comparten, como se describe en las siguientes secciones:

Recopilación de datos

En este caso, Recopilar significa transmitir datos desde una app hacia fuera del dispositivo de un usuario. Ten en cuenta los siguientes lineamientos:

Bibliotecas y SDKs: Esto incluye los datos del usuario que se transmiten fuera del dispositivo desde una app mediante bibliotecas o SDKs que se usan en una app, independientemente de si los datos se transmiten al desarrollador de la app o a un servidor de terceros.
WebView: Incluye datos del usuario recopilados de una WebView que se abrió desde la app, si esta controla el código y el comportamiento que se entregan a través de esa WebView.

No es necesario que los desarrolladores declaren la recopilación de datos desde una WebView en la que los usuarios navegan por la Web abierta.
Procesamiento efímero: Los datos del usuario transmitidos fuera del dispositivo que se procesan de forma efímera no necesitan incluirse en el paquete de metadatos de la app si cumplen con el siguiente estándar:

El procesamiento efímero de datos implica acceder a ellos y usarlos mientras se almacenan solo en la memoria, y retenerlos no más del tiempo necesario para atender la solicitud específica en tiempo real.

Por ejemplo, una app meteorológica que transmite la ubicación del usuario desde el dispositivo para recuperar el clima actual en esa ubicación, pero solo usa datos de ubicación en la memoria y no los almacena una vez que se completa la solicitud, puede tratar su uso transitorio de la ubicación como efímero. Sin embargo, el uso de datos para crear perfiles publicitarios o cualquier otro perfil de usuario no se puede tratar como efímero y debe declararse como recopilación o uso compartido para los fines relevantes.
Datos seudónimos: Los datos del usuario que se recopilan de forma seudónima deben divulgarse. Por ejemplo, se deben divulgar los datos que se pueden volver a asociar de manera razonable con un usuario.

Fuera del alcance de la divulgación de recopilación de datos

No es necesario divulgar los siguientes casos de uso como recopilación:

Acceso o procesamiento en el dispositivo: No es necesario divulgar los datos del usuario a los que accede una app y que solo se procesan de manera local en el dispositivo del usuario y no se envían fuera de él.
Encriptación de extremo a extremo: Se trata de datos del usuario que se envían fuera del dispositivo, pero que son ilegibles para ti o cualquier otra persona que no sea el remitente o el destinatario como resultado de la encriptación de extremo a extremo. No es necesario que se divulguen.

Los datos encriptados no deben ser legibles para ninguna entidad intermediaria, incluido el desarrollador, y solo el remitente y el destinatario pueden tener las claves necesarias.

En este caso, el uso compartido hace referencia a la transferencia de datos del usuario recopilados de una app a un tercero. Esto incluye los datos del usuario que se transfieren de las siguientes maneras:

Fuera del dispositivo, como transferencias de servidor a servidor: Por ejemplo, si un desarrollador transfiere datos del usuario recopilados de una app del servidor del desarrollador a un servidor de terceros.
Transferencia en el dispositivo a otra app: Transferencia de datos del usuario de una app a otra directamente en el dispositivo. En este caso, el desarrollador debe divulgar el uso compartido de datos en la sección de Seguridad de los datos incluso si la app no transmite los datos fuera del dispositivo del usuario.
Desde las bibliotecas y los SDKs de tu app: Transferencia de datos recopilados de una app desde el dispositivo de un usuario directamente a un tercero mediante bibliotecas o SDKs incluidos en la app.
Desde WebView que se abrió a través de la app: Transferencia de datos del usuario a un tercero mediante una WebView que se abrió desde la app, si esta controla el código y el comportamiento que se entregan a través de esa WebView.

No es necesario que los desarrolladores declaren el uso compartido de datos desde una WebView en la que los usuarios navegan por la Web abierta.

No es necesario divulgar los siguientes tipos de transferencia de datos como uso compartido:

Proveedores de servicios: Transferencia de datos del usuario a un proveedor de servicios que los procese en nombre del desarrollador Un proveedor de servicios hace referencia a una entidad que procesa datos del usuario en nombre del desarrollador y según sus instrucciones.
Propósitos legales: Transferencia de datos del usuario para fines legales específicos, por ejemplo, en respuesta a una obligación legal o solicitud gubernamental.
Acción iniciada por el usuario o divulgación destacada y consentimiento del usuario: Transferencia de datos del usuario a un tercero en función de una acción específica iniciada por el usuario, en la que el usuario espera razonablemente que se compartan los datos, o en función de una divulgación destacada y consentimiento en la app.
Datos anónimos. Transferencia de datos del usuario que se anonimizaron completamente para que ya no se puedan asociar con un usuario individual.
Propios y de terceros: De origen se refiere al desarrollador, la organización principal responsable de procesar los datos que recopila la app. En el caso de las apps que se distribuyen en tiendas, suele corresponder a la organización que publica la app en la tienda.

Tiene la obligación de aclararles de forma razonable a los usuarios qué organización es la principal responsable del procesamiento de los datos que recopila la app.

Terceros se refiere a cualquier organización que no sea la organización de origen o sus proveedores de servicios.

Manejo de datos

Los desarrolladores también pueden divulgar si cada tipo de datos que recopila la app es opcional u obligatorio. Opcional: Incluye la capacidad de habilitar o inhabilitar la recopilación de datos. Por ejemplo, los desarrolladores pueden declarar un tipo de datos como opcional si un usuario tiene control sobre su recopilación y puede usar la app sin proporcionarlo, o bien si elige hacerlo manualmente. Si las capacidades principales de una app requieren el tipo de datos, los desarrolladores deben declararlos según sea necesario.

Los desarrolladores pueden declarar que una app recopila ciertos datos de forma opcional solo si todos los usuarios, independientemente del dispositivo o la región, tienen la opción de proporcionar información, inhabilitar o aceptar la recopilación de datos de manera opcional.

Estos son algunos ejemplos de recopilación de datos opcional:

Una app de redes sociales que solicita la fecha de nacimiento de un usuario para la comunicación de marketing, pero esa información no es obligatoria y el usuario puede registrarse sin proporcionarla.
Datos del usuario que solo se recopilan cuando una persona accede a su cuenta en casos en los que puede interactuar con la app sin acceder a su cuenta.

Otras divulgaciones de datos y apps

La sección de Seguridad de los datos también es una oportunidad para que los desarrolladores muestren las prácticas de privacidad y seguridad de una app. Por ejemplo, los desarrolladores pueden destacar la siguiente información:

Encriptación en tránsito: Indica si los datos recopilados o compartidos por una app usan la encriptación en tránsito para proteger el flujo de datos del usuario desde su dispositivo hasta el servidor.

Algunas apps están diseñadas para permitirles a los usuarios transferir datos a otro sitio o servicio. Por ejemplo, una app de mensajería podría ofrecer a los usuarios la opción de enviar un mensaje SMS a través de su proveedor de servicios de telefonía celular, lo que mantiene diferentes prácticas de encriptación. En la sección de Seguridad de los datos, estas apps pueden declarar que los datos se transfieren mediante una conexión segura, siempre y cuando usen los mejores estándares de la industria para encriptarlos de forma segura mientras se trasladan entre el dispositivo del usuario y los servidores de la app.
Mecanismo de solicitud de eliminación: Indica si una app proporciona una forma para que los usuarios soliciten que se borren sus datos.

Revisión de seguridad independiente (disponible para todas las apps)

Los desarrolladores pueden optar por declarar en la sección de Seguridad de los datos que la app se validó de forma independiente para verificar que cumpliera con un estándar de seguridad global. Esta es una revisión opcional que realizan y pagan los desarrolladores. Por ejemplo, con una evaluación de seguridad para aplicaciones móviles (MASA), los desarrolladores pueden trabajar directamente con un lab a fin de que sus apps se evalúen en función del Estándar de verificación de seguridad para aplicaciones móviles (MASVS) del Open Worldwide Application Security Project (OWASP). Las organizaciones de terceros que realizan las revisiones lo hacen en nombre del desarrollador.

Tipos y propósitos de datos

Se les solicita a los desarrolladores que proporcionen la recopilación, el uso compartido y otras prácticas para una variedad de tipos de datos del usuario, además de los propósitos para los que el desarrollador usa esos datos, como se describe en las siguientes tablas:

Categoría	Tipo de datos	Descripción
Ubicación	Ubicación aproximada	Ubicación física del usuario o dispositivo en un área igual a 3 kilómetros cuadrados o mayor, como la ciudad en la que se encuentra un usuario o la ubicación proporcionada en el permiso `ACCESS_COARSE_LOCATION` de Android.
	Ubicación precisa	Ubicación física del usuario o dispositivo en un área menor a 3 kilómetros cuadrados, como la ubicación proporcionada por el permiso `ACCESS_FINE_LOCATION` de Android.
Información personal	Nombre	Corresponde a la forma en que un usuario se refiere a sí mismo, como su nombre, apellido o sobrenombre.
	Dirección de correo electrónico	Es la dirección de correo electrónico de un usuario.
	IDs de usuario	Son identificadores relacionados con una persona identificable. Por ejemplo, un ID, número o nombre de cuenta.
	Dirección	La dirección de un usuario, como una dirección particular o de correo postal.
	Número de teléfono	El número de teléfono de un usuario.
	Origen étnico	Incluye información sobre el origen étnico del usuario.
	Creencias políticas o religiosas	Incluye información sobre las creencias políticas o religiosas del usuario.
	Orientación sexual	Incluye información sobre la orientación sexual del usuario.
	Otra información	Cualquier otra información personal, como la fecha de nacimiento, la identidad de género o la condición de veterano de guerra
Información financiera	Información de pago del usuario	Incluye información sobre las cuentas financieras del usuario, como el número de la tarjeta de crédito.
	Historial de compras	Es la información sobre compras o transacciones que realizó el usuario.
	Calificación crediticia	Información sobre la calificación crediticia del usuario.
	Otra información financiera	Incluye cualquier otra información financiera, como deudas o salarios del usuario.
Salud y fitness	Información sanitaria	Incluye información sobre la salud del usuario, como su historia clínica o síntomas.
	Información de estado físico	Incluye información sobre el estado físico del usuario, como el ejercicio que realiza y otras actividades físicas.
Mensajes	Correos electrónicos	Incluye los correos electrónicos del usuario, incluidos los asuntos, los remitentes, los destinatarios y el contenido de los mensajes.
	SMS o MMS	Incluye los mensajes de texto del usuario, incluidos los remitentes, los destinatarios y el contenido de los mensajes.
	Otros mensajes desde apps	Se trata de otros tipos de mensajes. Por ejemplo, mensajes instantáneos o contenido de chat.
Fotos y videos	Fotos	Son las fotos del usuario.
	Videos	Son los videos del usuario.
Archivos de audio	Grabaciones de voz o sonido	La voz del usuario, como un mensaje de voz o una grabación de sonido.
	Archivos de música	Los archivos de música del usuario.
	Otros archivos de audio	Corresponde a cualquier otro archivo de audio creado por el usuario o proporcionado por él.
Archivos y documentos	Archivos y documentos	Los archivos o documentos del usuario, o la información sobre sus archivos o documentos, como los nombres de archivos.
Calendario	Eventos de calendario	Incluye información del calendario del usuario, como eventos, notas de eventos y asistentes.
Contactos	Contactos	Información sobre los contactos del usuario, como sus nombres, historial de mensajes y datos de gráficos sociales, como nombres de usuario, antigüedad y frecuencia de los contactos, duración de las interacciones y el historial de llamadas.
Actividad en apps	Interacciones en la app	Es información acerca de cómo un usuario interactúa con la app (por ejemplo, la cantidad de veces que visita una página o qué secciones presiona).
	Historial de búsqueda en apps	Incluye información sobre lo que el usuario buscó en la app.
	Apps instaladas	Incluye información sobre las apps que están instaladas en el dispositivo del usuario.
	Otro contenido generado por usuarios	Es otro contenido generado por usuarios que no se incluye en esta lista ni en ninguna otra sección, como biografías de usuarios, notas o respuestas abiertas.
	Otras acciones	Es cualquier otra actividad del usuario o acciones llevadas a cabo en la app que no aparezcan aquí, como el uso de juegos, "me gusta" y opciones de diálogos.
Navegación web	Historial de navegación web	Es la información sobre los sitios web que un usuario visitó.
Información y rendimiento de la app	Registros de fallas	Datos del registro de fallas de la app. Por ejemplo, la cantidad de veces que la app falló, los seguimientos de pila o cualquier otra información directamente relacionada con una falla.
	Diagnóstico	Información sobre el rendimiento de la app. Por ejemplo, duración de batería, tiempo de carga, latencia, velocidad de fotogramas o cualquier diagnóstico técnico.
	Otros datos de rendimiento de apps	Son otros datos de rendimiento de la app que no se incluyen en esta lista.
Dispositivo u otros ID	Dispositivo u otros ID	Identificadores relacionados con un dispositivo, un navegador o una app individuales, como un número IMEI, una dirección MAC, un ID de dispositivo Widevine, un ID de instalación de Firebase o un identificador de publicidad

Propósitos

Propósito de los datos	Descripción	Ejemplo
Funciones de la app	Se usa para funciones que están disponibles en la app.	Por ejemplo, para habilitar funciones de la app o autenticar usuarios.
Analytics	Sirve para recopilar datos sobre cómo los usuarios utilizan tu app y cuál es el rendimiento.	Por ejemplo, a fin de saber cuántos usuarios utilizan una función específica, para supervisar el estado de la app, detectar y corregir errores o fallas y, además, mejorar el rendimiento.
Comunicaciones del desarrollador	Se usan para comunicar noticias o notificaciones relacionadas con la app o el desarrollador.	Por ejemplo, una notificación push para informar a los usuarios sobre una actualización de seguridad importante o nuevas funciones de la app.
Publicidad o marketing	Se usan para mostrar u orientar anuncios y medir su rendimiento o enviar comunicaciones de marketing.	Por ejemplo, para mostrar anuncios en la app, enviar notificaciones push con el objetivo de promocionar otros productos o servicios o compartir datos con socios publicitarios.
Seguridad, cumplimiento y prevención de fraudes	Se usan para la prevención de fraudes, la seguridad o el cumplimiento de las leyes.	Por ejemplo, supervisar intentos de acceso fallidos a fin de detectar actividad potencialmente fraudulenta.
Personalización	Se usan para personalizar la app, por ejemplo, mostrar sugerencias o contenido recomendado.	Por ejemplo, para sugerir playlists según lo que escucha el usuario o entregar noticias locales según su ubicación.
Administración de la cuenta	Se usan para la configuración o la administración de una cuenta de usuario con el desarrollador.	Por ejemplo, a fin de permitir que los usuarios creen cuentas o agreguen información a una cuenta que el desarrollador proporciona para usar en todos sus servicios, accedan a la app o verifiquen sus credenciales.

Cómo crear un archivo XML de seguridad de los datos de forma manual

En el siguiente ejemplo de archivo en formato XML de seguridad de los datos, se muestra la estructura de archivos para una app precargada que comparte datos relacionados con la ubicación de un usuario. Para editar esta estructura, agrega, edita o quita elementos según el tipo de información que necesites divulgar para tu app.

Ten en cuenta que el archivo de muestra no necesariamente está completo. Consulta el esquema para paquetes de metadatos de app a fin de obtener más información sobre la estructura XML requerida para las secciones app, desarrollador y Seguridad de los datos del paquete de metadatos de app que tu app podría necesitar incluir.

<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />

  <pbundle_as_map name="safety_labels">
    <long name="version" value="1" />

      <pbundle_as_map name="data_labels">
        <pbundle_as_map name="data_shared">
          <pbundle_as_map name="location">
            <pbundle_as_map name="approx_location">
              <int-array name="purposes" num="4">
                  <item value="1" />
                  <item value="2" />
                  <item value="5" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
            <pbundle_as_map name="precise_location">
              <int-array name="purposes" num="2">
                  <item value="1" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
          </pbundle_as_map>
        </pbundle_as_map>

    </pbundle_as_map>
</pbundle_as_map>
</bundle>

Preguntas frecuentes

Consulta las siguientes secciones para obtener respuestas a preguntas comunes que han hecho los desarrolladores.

Preguntas generales

Las siguientes secciones tienen respuestas a preguntas generales sobre los paquetes de metadatos de la app.

Un desarrollador envió información similar para iOS. ¿Cuánto de ese trabajo puede reutilizar el desarrollador para el paquete de metadatos de la app para Android?

Es excelente que el desarrollador tenga un buen control de las prácticas de datos de la app. Para completar de forma correcta un paquete de metadatos de aplicación, es posible que el desarrollador necesite información adicional que quizás no haya usado antes, por lo que debe esperar realizar un trabajo adicional. La taxonomía y el framework del paquete de metadatos de la app para Android pueden diferir sustancialmente de los que se usan en otras tiendas de aplicaciones.

¿Cómo se asegura Google de que los desarrolladores compartan información precisa? Hemos observado que esta información no siempre es precisa en la industria.

Al igual que ocurre con una política de privacidad, los desarrolladores son responsables de la información que se divulga en el paquete de metadatos de la app.

¿Con qué frecuencia un desarrollador debe actualizar un paquete de metadatos de app?

Los desarrolladores deben actualizar el paquete de metadatos de la app cuando haya cambios relevantes en las prácticas de datos de la app.

Preguntas sobre cómo completar la sección de Seguridad de los datos

En las siguientes secciones, se tienen respuestas a preguntas para completar la sección de Seguridad de los datos de un paquete de metadatos de app.

¿Qué sucede si la app se comporta de forma diferente en las distintas versiones de Android compatibles?

El paquete de metadatos de la app debe ser preciso para que sea independiente del uso, la versión de la app, la región y la edad del usuario. En la sección de Seguridad de los datos, se describe la suma de la recopilación y el uso compartido de datos de la app en todas las ubicaciones geográficas y los tipos de usuarios.

¿Cómo puede demostrar el desarrollador que tiene diferentes prácticas en distintas regiones? Por ejemplo, un desarrollador no usa ciertas bibliotecas en Europa, pero podría usarlas en otras.

El paquete de metadatos de la app refleja la representación global de las prácticas de datos por app. En la sección de Seguridad de los datos, se describe la suma de la recopilación y el uso compartido de datos de la app en todas las ubicaciones geográficas y los tipos de usuarios.

¿Las secciones de Seguridad de los datos están protegidas por un mecanismo de consentimiento para los usuarios? ¿El desarrollador debe seguir pasos adicionales para crear una divulgación destacada en la app?

No, no hay una divulgación nueva en el proceso de instalación de la app del usuario ni un consentimiento nuevo relacionado con esta función. Los desarrolladores de apps de Google Play y de apps empaquetadas para dispositivos móviles en dispositivos Android con Servicios de Google Play que recopilan datos personales y sensibles de los usuarios deben implementar divulgaciones y consentimiento en la aplicación cuando así lo exija la política.

¿El desarrollador debe declarar datos si la app incluye un permiso, pero no recopila ni comparte los datos?

El desarrollador no necesita declarar la recopilación o el uso compartido, a menos que realmente se recopilen o compartan. Las apps de Google Play y las empaquetadas para dispositivos móviles en dispositivos Android con Servicios de Google Play deben cumplir con todas las políticas aplicables.

Si un tipo de datos se recopila como parte de otro, ¿el desarrollador debe declarar ambos? Por ejemplo, si el desarrollador recopiló Contactos que incluyen el correo electrónico del usuario, ¿declara los tipos de datos "Contactos" y "Dirección de correo electrónico"?

Si el desarrollador recopila deliberadamente un tipo de datos durante la recopilación de otro tipo, debe divulgar ambos. Por ejemplo, si recopila fotos del usuario y las usa para determinar sus características (como su etnia o raza), también debe divulgar la recopilación de datos sobre etnia y raza.

¿El desarrollador debe proporcionar un mecanismo de eliminación? ¿Debe estar disponible para todos los datos del usuario?

La sección de Seguridad de los datos proporciona una plataforma que el desarrollador puede compartir si proporciona un mecanismo para recibir solicitudes de eliminación de datos de los usuarios. Como parte de completar la sección de Seguridad de los datos, el desarrollador debe indicar si proporciona este tipo de mecanismo.

¿Existe un tipo específico de mecanismo que el desarrollador deba proporcionar para indicar que la app admite solicitudes de eliminación de datos del usuario?

No existe un mecanismo prescrito. Sin embargo, como práctica recomendada, el mecanismo de solicitud debe ser detectable y accesible para los usuarios. Algunos ejemplos comunes de mecanismos que indican con claridad una ruta de acceso mediante la cual los usuarios pueden solicitar la eliminación de datos pueden incluir, entre otros, los siguientes: funciones de la app, formularios de contacto o un alias de correo electrónico dedicado.

¿Cómo debe indicar un desarrollador en la sección de Seguridad de los datos que proporciona un mecanismo de solicitud de eliminación de datos que se borran o anonimizan automáticamente?

El desarrollador puede declarar que los usuarios pueden solicitar poder borrar sus datos si proporciona una o más de las siguientes opciones:

Un mecanismo para solicitar la eliminación de datos
Es un proceso automático para iniciar la eliminación o anonimización de los datos recopilados en un plazo de 90 días desde su recopilación.

El desarrollador puede declarar que los usuarios pueden solicitar borrar sus datos incluso si necesita retener ciertos datos por motivos legítimos, como el cumplimiento legal o la prevención de abusos.

¿Qué sucede si el mecanismo de eliminación que proporciona el desarrollador no está disponible a nivel global para todos los usuarios? ¿Puede el desarrollador indicar que proporciono un mecanismo de solicitud de eliminación?

Solo hay disponible una sección de Seguridad de los datos global por paquete de metadatos de app. Esto debería abarcar las prácticas de datos basadas en cualquier uso, región y edad del usuario. En otras palabras, si alguna de las prácticas de datos está presente en alguna versión de la app, en cualquier parte del mundo, el desarrollador debe indicarlas. Por lo tanto, en la sección de Seguridad de los datos, se describe la suma de la recopilación y el uso compartido de datos de la app entre todos los usuarios y las ubicaciones geográficas.

¿Qué tipos de técnicas se pueden utilizar para hacer que los datos sean anónimos?

Existen varios métodos potenciales para anonimizar datos, de modo que no se puedan asociar con un usuario individual. El desarrollador debe consultar a expertos en privacidad y seguridad para identificar los métodos aplicables a su caso de uso. A modo de ejemplo, en esta página se analizan algunos de los métodos de anonimización de datos que usa Google, como la privacidad diferencial.

¿Cómo debería abordar el desarrollador la recopilación y el uso de direcciones IP?

Al igual que con otros tipos de datos, el desarrollador debe divulgar la recopilación, el uso y el uso compartido de direcciones IP según sus prácticas y usos particulares. Por ejemplo, cuando los desarrolladores usan direcciones IP para determinar la ubicación, deben declarar ese tipo de datos (ubicación).

¿Cómo debe divulgar el desarrollador la recopilación y el uso compartido de otros tipos de identificadores?

Al igual que con otros tipos de datos, el desarrollador debe divulgar la recopilación, el uso y el uso compartido de diferentes tipos de identificadores según el uso y las prácticas particulares del desarrollador. Por ejemplo, la recopilación del nombre de una cuenta asociado a una persona identificable debe declararse como un "Identificador personal", y la recopilación del ID de publicidad de Android de un usuario debe declararse como "Dispositivo u otros identificadores". Otro ejemplo:

Como se indicó anteriormente, la recopilación de datos de forma seudónima debe divulgarse en la sección de Seguridad de los datos del paquete de metadatos de la app en el tipo de datos relevante. Por ejemplo, si el desarrollador recopila información de diagnóstico con un identificador de dispositivo, igualmente debe divulgar la recopilación de "Diagnóstico" en la sección de Seguridad de los datos.

¿Qué tipos de actividades pueden realizar los "proveedores de servicios"?

Un proveedor de servicios solo puede procesar datos del usuario en nombre del desarrollador. Por ejemplo, un proveedor de estadísticas que procesa datos del usuario desde la app únicamente en nombre del desarrollador o un proveedor de servicios en la nube que aloja datos del usuario de la app para que los use el desarrollador suelen calificar como “proveedores de servicios”. Por otro lado, si un proveedor de SDK crea perfiles publicitarios para varios clientes en función de datos de apps, esta no se consideraría actividad de "proveedor de servicios" a los fines de la sección de Seguridad de los datos y debería divulgarse como "uso compartido" en la sección de Seguridad de los datos del paquete de metadatos de la app.

Una app usa un servicio de pago externo para habilitar transacciones financieras. ¿La app debe divulgar información financiera, como datos de tarjetas de crédito, en su paquete de metadatos?

Depende de la naturaleza de la integración con el servicio de pago. Si la app usa un servicio de pago como PayPal, Google Pay, el sistema de facturación de Google Play o servicios similares para completar transacciones de pago, el desarrollador no necesita declarar la recopilación de los datos que recopila el servicio de pago en relación con el procesamiento de transacciones financieras, como un número de tarjeta de crédito, si se cumplen todas las condiciones que se indican a continuación:

La app nunca accede a esa información.
El servicio de pagos recopila esta información directamente del usuario, y la recopilación se rige por las condiciones de ese servicio.

El desarrollador debe revisar atentamente la integración con el servicio de pago para asegurarse de que la sección de Seguridad de los datos del paquete de metadatos de la app declare cualquier recopilación y uso compartido de datos relevantes que no cumpla con estas condiciones. El desarrollador también debe considerar si la app recopila otra información financiera, como el historial de compras, y si recibe datos relevantes del servicio de pagos, por ejemplo, con fines antifraude y de riesgo.

Una app les permite a los usuarios subir sus datos directamente a Google Drive o Dropbox para crear copias de seguridad o almacenarlos. La app no accede a ninguno de estos datos. ¿Debería divulgarse como "colección"?

Depende de la implementación en particular. Si el usuario elige subir sus datos directamente a su propia unidad externa o cuenta de almacenamiento en la nube (como Google Drive, Dropbox o servicios similares), y esta carga se rige por las Condiciones del Servicio y la política de privacidad del proveedor de almacenamiento en la nube o la unidad externa, y la app nunca recopila los datos en cuestión ni accede a ellos, no es necesario que la app declare la recopilación de estos datos.

¿Cómo debería el desarrollador encriptar los datos en tránsito?

El desarrollador debe seguir los mejores estándares de la industria para encriptar de forma segura los datos de apps en tránsito. Entre los protocolos de encriptación comunes, se incluyen la seguridad de la capa de transporte (TLS) y el protocolo de transferencia de hipertexto seguro (HTTPS).

Una app le permite al usuario crear una cuenta o agregar información a ella, como su fecha de nacimiento o género. ¿Cómo debe declarar el desarrollador los datos que agrega el usuario a su cuenta?

El desarrollador debe declarar la recopilación de estos datos para la administración de la cuenta e indicar (si corresponde) si la recopilación es opcional para el usuario.

Además, al igual que con cualquier tipo de datos que recopila la app, el desarrollador debe divulgar estos datos, además del propósito o los propósitos para los cuales la app los usa. Por ejemplo, si la app permite que un usuario agregue una fecha de nacimiento a su cuenta y también usa esos datos para enviar notificaciones push oportunas, la app también debe declarar este propósito además de la administración de la cuenta.

La administración de cuentas se puede utilizar para abarcar usos generales de los datos de la cuenta que no son específicos de la app en particular. Por ejemplo, si el desarrollador utiliza la información de la cuenta para prevenir fraudes, publicidad, marketing o comunicaciones con el desarrollador en diferentes servicios, y este no es específico de la app ni de las actividades en ella, declarar "administración de cuentas" con el propósito de recopilar los datos de esta cuenta es suficiente para incluir esos usos generales en la sección de Seguridad de los datos de la app. Sin embargo, siempre debe declarar todos los fines para los que usa los datos. Como práctica recomendada, Google recomienda divulgar la forma en que la app controla los datos del usuario para los servicios de cuenta como parte de la documentación a nivel de la cuenta y el proceso de registro de la cuenta.

¿Qué son los servicios del sistema?

Los servicios del sistema son software preinstalado que admite funciones principales del sistema. Los servicios del sistema deben incluir paquetes transparency_info y system_app_safety_label (este último se proporciona en lugar de un paquete safety_labels). Los servicios del sistema distribuidos en Google Play pueden solicitar una exención para completar el formulario de seguridad de los datos de Google Play.

¿Cómo debe declarar un desarrollador la recopilación de datos que se utilizan de manera transitoria para cargar páginas y atender otras solicitudes del cliente en tiempo real antes de que esos datos se registren en los servidores del desarrollador y se utilicen para otros fines?

Si este uso es efímero, el desarrollador no necesita incluirlo en la sección de Seguridad de los datos del paquete de metadatos de la app. Sin embargo, el desarrollador debe declarar cualquier uso de esos datos del usuario más allá del procesamiento efímero, incluidos los fines para los que el desarrollador usa los datos del usuario que se registran.