The Android 15 Beta is now available. Try it out today and let us know what you think!

Se usó la API de Cloud Translation para traducir esta página.

Paquetes de metadatos de apps para la seguridad de los datos

Los paquetes de metadatos de la app proporcionan a los desarrolladores una forma transparente de incluir información sobre ellos (el desarrollador) y sobre la app, y si recopilan, comparten y protegen los datos del usuario, y de qué manera. Google Play Store requiere que los desarrolladores proporcionen esta información para las apps que distribuye, y los fabricantes de dispositivos Android con Servicios de Google Play exigen lo mismo a los desarrolladores de apps que el fabricante precarga, con excepciones limitadas para los servicios del sistema.

Otros instaladores y tiendas de aplicaciones pueden optar por exigir un paquete de metadatos para las apps que distribuyen. El método de distribución de apps determina cómo los desarrolladores pueden crear e integrar un paquete de metadatos de la app. Android les muestra a los usuarios información de seguridad de los datos del paquete de metadatos de la app; por ejemplo, si una app declara que comparte la ubicación con un tercero, esa información se muestra en la solicitud de permiso de ubicación en los dispositivos que ejecutan Android 14 o versiones posteriores.

Descripción general

Un paquete de metadatos de la app te permite compartir información sobre ti (el desarrollador) y tu app, incluidos los datos del usuario que recopila o comparte, y mostrar las prácticas clave de privacidad y seguridad de tu app. Esta información ayuda a los usuarios a tomar decisiones más informadas, por ejemplo, cuando otorguen acceso a permisos.

Los paquetes de metadatos de app son independientes y complementan las obligaciones de transparencia y divulgación legales a las que tú, como desarrollador, podrías estar sujeto en los países donde operas.

Se recomienda a todos los desarrolladores que declaren cómo recopilan y manejan los datos del usuario para sus apps, y que proporcionen detalles sobre el propósito de la app, la información del desarrollador y cómo la app protege los datos del usuario a través de prácticas de seguridad como la encriptación. Esto incluye los datos recopilados y manejados mediante bibliotecas o SDKs de terceros que se usen en apps. Es posible que los desarrolladores quieran consultar la información de seguridad de los datos publicada por los proveedores del SDK para obtener más detalles. Los desarrolladores pueden consultar el Índice SDK de Google Play para ver si un proveedor proporcionó un vínculo a su orientación.

Los paquetes de metadatos de la app llegan al dispositivo de manera diferente, según cómo se distribuya la app:

Apps precargadas en la imagen del sistema: El fabricante del dispositivo es responsable de incluir el paquete de metadatos de la app en un archivo XML de seguridad de los datos en la imagen del sistema.
Apps distribuidas por instaladores: El instalador es responsable de enviar el paquete de metadatos de la app al dispositivo. Si desarrollas una app que se distribuye en Google Play, consulta las instrucciones en la Ayuda de Play Console. Los instaladores pueden consultar el esquema para paquetes de metadatos de la app.

Los desarrolladores de apps precargadas pueden crear un archivo en formato XML de seguridad de los datos mediante uno de los siguientes métodos:

Si desarrollas una app que está publicada en Play Store, usa el formulario de seguridad de los datos de Play Console en la página Contenido de la app. Para ello, navega a Política > Contenido de la app. Si ya completaste este formulario, no es necesario que realices ninguna acción adicional.
Descarga y edita el archivo en formato XML de plantilla que está disponible en esta página para proporcionarlo a los fabricantes o instaladores.

Preparando la información

Antes de que los desarrolladores comiencen a crear un paquete de metadatos de app, completa los siguientes pasos:

Asegúrate de que haya agregado una política de privacidad.
Consulta cómo la app recopila y comparte datos del usuario y las prácticas de seguridad de la app. En particular, verifica los permisos declarados de la app y las APIs que usa.

Además de revisar cómo la app recopila y comparte los datos del usuario, los desarrolladores también deben revisar cómo el código de terceros (como bibliotecas o SDKs) que se use en ella recopila y comparte esos datos. El paquete de metadatos de la app debe reflejar la recopilación o el uso compartido de datos que realiza ese código de terceros.

Qué deben divulgar los desarrolladores en las secciones de información sobre la app y el desarrollador

En esta sección, se explica qué información deben divulgar los desarrolladores en las secciones de la app y de información del desarrollador del paquete de metadatos de la app. Si la app se distribuye en Google Play Store, usa Play Console para ingresar esta información.

Qué deben compartir los desarrolladores sobre la app

Cuando crean un paquete de metadatos de la app, los desarrolladores deben divulgar la información de la app que se describe en las siguientes secciones:

Propósito de la app

Describe el propósito de la app en un BLOB de texto legible en inglés (límite de 4,000 caracteres).

Categoría de app

Selecciona la categoría que mejor se ajuste al propósito de la app en la siguiente lista.

Las siguientes categorías están destinadas a apps precargadas:

OTA: Paquetes responsables de recibir e instalar actualizaciones inalámbricas (OTA)
AOSP: Paquetes disponibles en el Proyecto de código abierto de Android
Seguridad
App Store

Google Play también usa las categorías que se describen en la siguiente tabla:

Categoría	Ejemplos
Arte y diseño	Cuaderno de bocetos, herramientas para pintores, herramientas de arte y diseño, libros para colorear
Autos y vehículos	Tiendas para autos, seguros para autos, comparación de precios de autos, seguridad vial, opiniones y noticias sobre autos
Belleza	Tutoriales de maquillaje, herramientas de maquillaje, peinados, tiendas de productos de belleza, simuladores de maquillaje
Libros y referencias	Lectores de libros, libros de referencia, libros de texto, diccionarios, tesauros, wikis
Empresas	Editor o lector de documentos, seguimiento de paquetes, escritorio remoto, administración de correo electrónico, búsqueda de empleo
Cómics	Personajes de cómics, títulos de cómics
Comunicaciones	Mensajería, chat o mensajería instantánea, marcadores, libretas de direcciones, navegadores, administración de llamadas
Citas	Formación de parejas, noviazgo, creación de relaciones, encuentros con gente nueva, búsqueda del amor
Educación	Preparación de exámenes, ayudas para el estudio, vocabulario, juegos educativos, aprendizaje de idiomas
Entretenimiento	Transmisión de video, películas, TV y entretenimiento interactivo
Eventos	Entradas para conciertos, eventos deportivos y cines, y reventa de entradas
Finanzas	Banca, pagos, buscadores de cajeros automáticos, noticias financieras, seguros, impuestos, administración de carteras y operaciones, calculadoras de propinas
Comida y bebida	Recetas, restaurantes, guías gastronómicas, descubrimiento y degustación de vinos, recetas de tragos
Salud y fitness	Bienestar personal, seguimiento de ejercicios, sugerencias sobre dietas y nutrición, salud y seguridad
Casa y hogar	Búsqueda de casas y apartamentos, mejoras para el hogar, decoración de interiores, hipotecas, bienes raíces
Bibliotecas y demostración	Bibliotecas de software y demostraciones técnicas
Estilo de vida	Instructivos, planificación de bodas y eventos, y guías prácticas
Mapas y navegación	Herramientas de navegación, GPS, cartografía, herramientas de tránsito y transporte público
Medicina	Referencias clínicas y de medicamentos, calculadoras, manuales para proveedores de atención médica, noticias y revistas médicas
Música y audio	Servicios musicales, radios y reproductores de música
Noticias y revistas	Periódicos, agregadores de noticias, revistas y blogs
Paternidad y maternidad	Embarazo, cuidado y vigilancia de bebés, cuidado de niños
Personalización	Fondos de pantalla, fondos de pantalla animados, pantalla principal, pantalla bloqueada, tonos
Fotografía	Cámaras, herramientas de edición de fotografías, apps para administrar y compartir fotos
Productividad	Blocs de notas, listas de tareas, teclados, impresión, calendarios, copias de seguridad, calculadoras, herramientas de conversión
Compras	Compras en línea, subastas, cupones, comparaciones de precios, listas de compras, reseñas de productos
Sociales	Redes sociales y registro
Deportes	Comentarios y noticias deportivas, seguimiento de resultados, administración de equipos virtuales y cobertura de partidos
Herramientas	Herramientas para dispositivos Android
Viajes y local	Herramientas para hacer reservas, viajes compartidos, taxis, guías de ciudades, información sobre empresas locales, herramientas de administración de viajes y reserva de recorridos
Reproductores y editores de video	Reproductores de video, editores de video, almacenamiento de medios
Clima	Informes meteorológicos.

Publicidad y marketing de apps

Indica si la app contiene publicidad o marketing, incluidas promociones integradas en la aplicación.

Política de Privacidad

Incluye un vínculo a la política de privacidad en el que se detalle cómo el desarrollador maneja los datos del usuario. Si la app no contiene este vínculo, se supone que no controla los datos del usuario.

Qué deben compartir los desarrolladores sobre sí mismos

Cuando se crea un paquete de metadatos de la app, los desarrolladores deben divulgar la información para desarrolladores que se describe en las siguientes secciones:

Nombre del desarrollador

Es el nombre del desarrollador, la persona o la empresa que creó la app. Puede haber varios nombres de desarrollador.

Registro de aplicaciones

Si la app aparece en algún registro de apps, incluidas tiendas y otros instaladores, indícalo en este campo. Se permiten varias entradas para varias tiendas.

Para registros de apps que son instaladores de Android: El valor debe ser el nombre del paquete de Android de la tienda. Por ejemplo, usa com.android.vending para Google Play Store.
Para otros registros de apps: El valor debe ser la URL del registro.

Omite este campo por cualquiera de los siguientes motivos:

El desarrollador es un SDK que aparece en el Índice SDK de Google Play.
El desarrollador no está registrado en ninguna tienda de aplicaciones ni registro.

ID de registro de la app

En el caso de las apps que figuran en cualquier registro de apps, incluidos los instaladores y las tiendas, este valor debe ser la identidad de registro, instalador o tienda del desarrollador. Se permiten varias entradas para varias tiendas.

Para desarrolladores registrados en Google Play: Este valor debe ser la URL de la página del desarrollador (por ejemplo, https://play.google.com/store/apps/dev?id=5700313618786177705 es la URL del desarrollador Google LLC).
Si el desarrollador es un desarrollador del SDK que figura en el Índice SDK de Google Play: Usa la URL del SDK (por ejemplo, https://play.google.com/sdks/details/com-google-android-gms-play-services-ads es la URL del SDK de anuncios de Google para dispositivos móviles [GMA]).
Si el desarrollador está registrado en otra tienda o registro, se puede proporcionar una URL de la tienda de aplicaciones o algún otro identificador.

Si un desarrollador no está registrado en ninguna tienda de aplicaciones, se puede omitir este atributo.

Información de contacto del desarrollador

Proporciona la siguiente información:

Correo electrónico
Sitio web
País o región
Dirección de correo postal física

Qué deben divulgar los desarrolladores en la sección de Seguridad de los datos

En esta sección, se explica qué información deben divulgar los desarrolladores en la sección de Seguridad de los datos del paquete de metadatos de la app, y se enumeran los tipos de datos del usuario y los propósitos que los desarrolladores pueden seleccionar. Si una app se distribuye en Google Play Store, usa Play Console para ingresar esta información.

Qué deben declarar los desarrolladores en los distintos tipos de datos

Cuando crean un paquete de metadatos de la app, los desarrolladores deben divulgar información sobre los tipos de datos que recopilan y comparten, como se describe en las siguientes secciones:

Recopilación de datos

En este caso, Recopilar significa transmitir datos desde una app hacia fuera del dispositivo de un usuario. Ten en cuenta los siguientes lineamientos:

Bibliotecas y SDKs: Se incluyen los datos del usuario que se transmiten fuera del dispositivo desde una app mediante bibliotecas o SDKs que se usan en una app, independientemente de que los datos se transmitan al desarrollador de la app o a un servidor de terceros.
WebView: Incluye los datos del usuario recopilados de una WebView que se abrió desde la app, si esta controla el código y el comportamiento que se entregan a través de esa WebView.

No es necesario declarar la recopilación de datos desde una WebView en la que los usuarios navegan por la Web abierta.
Procesamiento efímero: Los datos del usuario transmitidos fuera del dispositivo que se procesan de forma efímera no necesitan incluirse en el paquete de metadatos de la app si cumplen con el siguiente estándar:

El procesamiento efímero de datos implica acceder a ellos y usarlos mientras se almacenan solo en la memoria, y retenerlos no más del tiempo necesario para atender la solicitud específica en tiempo real.

Por ejemplo, una app meteorológica que transmite la ubicación del usuario fuera del dispositivo para recuperar el clima actual en esa ubicación, pero solo usa datos de ubicación en la memoria y no los almacena una vez que se completa la solicitud, puede tratar el uso transitorio de la ubicación como efímero. Sin embargo, el uso de datos para crear perfiles publicitarios o cualquier otro perfil de usuario no se puede tratar como efímero y debe declararse como recopilación o uso compartido para los fines relevantes.
Datos seudónimos: Los datos del usuario recopilados de forma seudónima deben divulgarse. Por ejemplo, se deben divulgar los datos que se pueden volver a asociar de manera razonable con un usuario.

Fuera del alcance de la divulgación de recopilación de datos

No es necesario divulgar los siguientes casos de uso como recopilación:

Acceso o procesamiento en el dispositivo: No es necesario divulgar los datos del usuario a los que accede una app y que solo se procesan de manera local en el dispositivo del usuario y no se envían fuera de él.
Encriptación de extremo a extremo: Se trata de datos del usuario que se envían fuera del dispositivo, pero que son ilegibles para ti o cualquier otra persona que no sea el remitente o el destinatario como resultado de la encriptación de extremo a extremo. No es necesario que se divulguen.

Los datos encriptados no deben ser legibles para ninguna entidad intermediaria, incluido el desarrollador, y solo el remitente y el destinatario pueden tener las claves necesarias.

En este caso, el uso compartido hace referencia a la transferencia de datos del usuario recopilados desde una app a un tercero. Esto incluye datos del usuario que se transfieren de las siguientes maneras:

Fuera del dispositivo, como transferencias de servidor a servidor: Por ejemplo, si un desarrollador transfiere datos del usuario recopilados de una app del servidor del desarrollador a un servidor de terceros.
Transferencia en el dispositivo a otra app: Transferencia de datos del usuario de una app a otra directamente en el dispositivo. En este caso, el desarrollador debe divulgar el uso compartido de datos en la sección de Seguridad de los datos incluso si la app no transmite los datos fuera del dispositivo del usuario.
Desde las bibliotecas y los SDKs de tu app: Transferencia de datos recopilados de una app desde el dispositivo del usuario directamente a un tercero mediante bibliotecas o SDKs incluidos en la app.
Desde WebView que se abrió a través de tu app: Transferencia de datos del usuario a un tercero mediante una WebView que se abrió desde la app, si esta controla el código y el comportamiento que se proporcionan a través de esa WebView.

No es necesario que los desarrolladores declaren el uso compartido de datos desde una WebView en la que los usuarios navegan por la Web abierta.

No es necesario divulgar los siguientes tipos de transferencia de datos como uso compartido:

Proveedores de servicios: Transferencia de datos del usuario a un proveedor de servicios que los procese en nombre del desarrollador. Un proveedor de servicios hace referencia a una entidad que procesa datos del usuario en nombre del desarrollador y según sus instrucciones.
Propósitos legales: Transferencia de datos del usuario para fines legales específicos, por ejemplo, en respuesta a una obligación legal o solicitud gubernamental.
Acción iniciada por el usuario o divulgación destacada y consentimiento del usuario: Transferencia de datos del usuario a un tercero según una acción específica iniciada por el usuario, en la que el usuario espera de manera razonable que se compartan los datos o en función de una divulgación destacada y consentimiento en la app.
Datos anónimos. Transferencia de datos del usuario que se anonimizaron completamente para que ya no se puedan asociar con un usuario individual.
Propios y de terceros: Propios se refiere al desarrollador, la organización principal responsable del procesamiento de los datos que recopila la app. En el caso de las apps distribuidas en tiendas, suele ser la organización que publica la app en ellas.

Tiene la obligación de aclararles de forma razonable a los usuarios qué organización es la principal responsable del procesamiento de los datos recopilados por la app.

Terceros se refiere a cualquier organización que no sea la organización de origen o sus proveedores de servicios.

Manejo de datos

Los desarrolladores también pueden divulgar si cada tipo de datos que recopila la app es opcional u obligatorio. Opcional incluye la posibilidad de habilitar o inhabilitar la recopilación de datos. Por ejemplo, los desarrolladores pueden declarar un tipo de datos como opcional cuando un usuario tiene control sobre su recopilación y puede usar la app sin proporcionarlo, o bien cuando un usuario elige si desea hacerlo manualmente. Si las funciones principales de una app requieren el tipo de datos, los desarrolladores deben declararlos como obligatorios.

Los desarrolladores pueden declarar que una app recopila ciertos datos opcionalmente solo si todos los usuarios, independientemente del dispositivo o la región, tienen la opción de proporcionar información, inhabilitar la recopilación o habilitar la recopilación de datos.

Estos son algunos ejemplos de recopilación de datos opcional:

Una app de redes sociales que solicita la fecha de nacimiento de un usuario para la comunicación de marketing, pero esa información no es obligatoria y el usuario puede registrarse sin proporcionarla
Datos del usuario que solo se recopilan cuando una persona accede a su cuenta en casos en los que puede interactuar con la app sin acceder a su cuenta.

Otras divulgaciones de datos y apps

La sección de Seguridad de los datos también es una oportunidad para que los desarrolladores muestren las prácticas de privacidad y seguridad de una app. Por ejemplo, los desarrolladores pueden destacar la siguiente información:

Encriptación en tránsito: Si los datos recopilados o compartidos por una app usan la encriptación en tránsito para proteger el flujo de datos del usuario desde su dispositivo hasta el servidor.

Algunas apps están diseñadas para permitir que los usuarios transfieran datos a otro sitio o servicio. Por ejemplo, una app de mensajería podría ofrecer a los usuarios la opción de enviar un mensaje SMS a través de su proveedor de servicios móviles, lo que mantiene diferentes prácticas de encriptación. En la sección de Seguridad de los datos, estas apps pueden declarar que los datos se transfieren mediante una conexión segura, siempre y cuando usen los mejores estándares de la industria para encriptarlos de forma segura mientras se trasladan entre el dispositivo del usuario y los servidores de la app.
Mecanismo de solicitud de eliminación: Indica si una app proporciona una forma para que los usuarios soliciten la eliminación de sus datos.

Revisión de seguridad independiente (disponible para todas las apps)

Los desarrolladores pueden declarar en la sección de Seguridad de los datos que la app se validó de forma independiente para verificar que cumpliera con un estándar de seguridad global. Esta es una revisión opcional que realizan y pagan los desarrolladores. Por ejemplo, con una evaluación de seguridad para aplicaciones móviles (MASA), los desarrolladores pueden trabajar directamente con un lab a fin de que se evalúen sus aplicaciones según el Estándar de verificación de seguridad para aplicaciones móviles (MASVS) del Proyecto de seguridad para aplicaciones de todo el mundo (OWASP). Las organizaciones de terceros que realizan las revisiones lo hacen en nombre del desarrollador.

Tipos y propósitos de datos

Se solicita a los desarrolladores que proporcionen información sobre la recopilación, el uso compartido y otras prácticas relacionadas con una variedad de tipos de datos del usuario, además de los propósitos para los que usan esos datos, como se describe en las siguientes tablas:

Categoría	Tipo de datos	Descripción
Ubicación	Ubicación aproximada	Ubicación física del usuario o dispositivo en un área igual a 3 kilómetros cuadrados o mayor, como la ciudad en la que se encuentra un usuario o la ubicación proporcionada por el permiso `ACCESS_COARSE_LOCATION` de Android.
	Ubicación precisa	Ubicación física del usuario o dispositivo en un área menor a 3 kilómetros cuadrados, como la ubicación proporcionada por el permiso `ACCESS_FINE_LOCATION` de Android.
Información personal	Nombre	Corresponde a la forma en que un usuario se refiere a sí mismo, como su nombre, apellido o sobrenombre.
	Dirección de correo electrónico	Es la dirección de correo electrónico de un usuario.
	IDs de usuario	Son identificadores relacionados con una persona identificable. Por ejemplo, un ID, número o nombre de cuenta.
	Dirección	La dirección de un usuario, como una dirección particular o de correo postal.
	Número de teléfono	El número de teléfono de un usuario.
	Origen étnico	Incluye información sobre el origen étnico del usuario.
	Creencias políticas o religiosas	Incluye información sobre las creencias políticas o religiosas del usuario.
	Orientación sexual	Incluye información sobre la orientación sexual del usuario.
	Otra información	Cualquier otra información personal, como la fecha de nacimiento, la identidad de género o la condición de veterano de guerra
Información financiera	Información de pago del usuario	Incluye información sobre las cuentas financieras del usuario, como el número de la tarjeta de crédito.
	Historial de compras	Es la información sobre compras o transacciones que realizó el usuario.
	Calificación crediticia	Información sobre la calificación crediticia del usuario.
	Otra información financiera	Incluye cualquier otra información financiera, como deudas o salarios del usuario.
Salud y fitness	Información sanitaria	Incluye información sobre la salud del usuario, como su historia clínica o síntomas.
	Información de estado físico	Incluye información sobre el estado físico del usuario, como el ejercicio que realiza y otras actividades físicas.
Mensajes	Correos electrónicos	Incluye los correos electrónicos del usuario, incluidos los asuntos, los remitentes, los destinatarios y el contenido de los mensajes.
	SMS o MMS	Incluye los mensajes de texto del usuario, incluidos los remitentes, los destinatarios y el contenido de los mensajes.
	Otros mensajes desde apps	Se trata de otros tipos de mensajes. Por ejemplo, mensajes instantáneos o contenido de chat.
Fotos y videos	Fotos	Son las fotos del usuario.
	Videos	Son los videos del usuario.
Archivos de audio	Grabaciones de voz o sonido	La voz del usuario, como un mensaje de voz o una grabación de sonido.
	Archivos de música	Los archivos de música del usuario.
	Otros archivos de audio	Corresponde a cualquier otro archivo de audio creado por el usuario o proporcionado por él.
Archivos y documentos	Archivos y documentos	Los archivos o documentos del usuario, o la información sobre sus archivos o documentos, como los nombres de archivos.
Calendario	Eventos de calendario	Incluye información del calendario del usuario, como eventos, notas de eventos y asistentes.
Contactos	Contactos	Incluye información sobre los contactos del usuario, como los nombres de los contactos, el historial de mensajes y otros datos de gráficos sociales, como los nombres de usuario, las visitas recientes, la frecuencia de los contactos, la duración de las interacciones y el historial de llamadas.
Actividad en apps	Interacciones en la app	Es información acerca de cómo un usuario interactúa con la app (por ejemplo, la cantidad de veces que visita una página o qué secciones presiona).
	Historial de búsqueda en apps	Incluye información sobre lo que buscó un usuario en la app.
	Apps instaladas	Incluye información sobre las apps que están instaladas en el dispositivo del usuario.
	Otro contenido generado por usuarios	Es otro contenido generado por usuarios que no se incluye en esta lista ni en ninguna otra sección, como biografías de usuarios, notas o respuestas abiertas.
	Otras acciones	Es cualquier otra actividad del usuario o acciones llevadas a cabo en la app que no aparezcan aquí, como el uso de juegos, "me gusta" y opciones de diálogos.
Navegación web	Historial de navegación web	Es la información sobre los sitios web que un usuario visitó.
Información y rendimiento de la app	Registros de fallas	Datos del registro de fallas de la app. Por ejemplo, la cantidad de veces que la app falló, los seguimientos de pila o cualquier otra información directamente relacionada con una falla.
	Diagnóstico	Información sobre el rendimiento de la app. Por ejemplo, duración de batería, tiempo de carga, latencia, velocidad de fotogramas o cualquier diagnóstico técnico.
	Otros datos de rendimiento de apps	Son otros datos de rendimiento de la app que no se incluyen en esta lista.
Dispositivo u otros ID	Dispositivo u otros ID	Son identificadores relacionados con un dispositivo, un navegador o una app específicos. Por ejemplo, un número IMEI, dirección MAC, ID de dispositivo Widevine, ID de instalación de Firebase o identificador de publicidad

Propósitos

Propósito de los datos	Descripción	Ejemplo
Funciones de la app	Se usa para funciones que están disponibles en la app.	Por ejemplo, para habilitar funciones de la app o autenticar usuarios.
Analytics	Sirve para recopilar datos sobre cómo los usuarios utilizan tu app y cuál es el rendimiento.	Por ejemplo, a fin de saber cuántos usuarios utilizan una función específica, para supervisar el estado de la app, detectar y corregir errores o fallas y, además, mejorar el rendimiento.
Comunicaciones del desarrollador	Se usan para comunicar noticias o notificaciones relacionadas con la app o el desarrollador.	Por ejemplo, una notificación push para informar a los usuarios sobre una actualización de seguridad importante o nuevas funciones de la app.
Publicidad o marketing	Se usan para mostrar u orientar anuncios y medir su rendimiento o enviar comunicaciones de marketing.	Por ejemplo, para mostrar anuncios en la app, enviar notificaciones push con el objetivo de promocionar otros productos o servicios o compartir datos con socios publicitarios.
Seguridad, cumplimiento y prevención de fraudes	Se usan para la prevención de fraudes, la seguridad o el cumplimiento de las leyes.	Por ejemplo, supervisar intentos de acceso fallidos a fin de detectar actividad potencialmente fraudulenta.
Personalización	Se usan para personalizar la app, como mostrar contenido recomendado o sugerencias.	Por ejemplo, para sugerir playlists según los hábitos musicales del usuario o publicar noticias locales según su ubicación.
Administración de la cuenta	Se usan para configurar o administrar la cuenta de un usuario con el desarrollador.	Por ejemplo, para permitir que los usuarios creen cuentas o agreguen información a una cuenta que el desarrollador proporciona para usar en sus servicios, accedan a la app o verifiquen sus credenciales.

Crea un archivo XML de seguridad de los datos de forma manual

En el siguiente ejemplo de archivo XML de seguridad de los datos, se muestra la estructura de archivos de una app precargada que comparte datos relacionados con la ubicación de un usuario. A fin de editar esta estructura, agrega, edita o quita elementos según el tipo de información que debas divulgar para tu app.

Ten en cuenta que el archivo de muestra no necesariamente está completo. Consulta el esquema para paquetes de metadatos de la app a fin de obtener más información sobre la estructura XML requerida para las secciones de app, desarrollador y Seguridad de los datos del paquete de metadatos de la app que tu app podría necesitar incluir.

<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />

  <pbundle_as_map name="safety_labels">
    <long name="version" value="1" />

      <pbundle_as_map name="data_labels">
        <pbundle_as_map name="data_shared">
          <pbundle_as_map name="location">
            <pbundle_as_map name="approx_location">
              <int-array name="purposes" num="4">
                  <item value="1" />
                  <item value="2" />
                  <item value="5" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
            <pbundle_as_map name="precise_location">
              <int-array name="purposes" num="2">
                  <item value="1" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
          </pbundle_as_map>
        </pbundle_as_map>

    </pbundle_as_map>
</pbundle_as_map>
</bundle>

Preguntas frecuentes

Consulta las siguientes secciones para obtener respuestas a las preguntas frecuentes que han hecho los desarrolladores.

Preguntas generales

En las siguientes secciones, se encuentran respuestas a preguntas generales sobre los paquetes de metadatos de las apps.

Un desarrollador envió información similar para iOS. ¿Cuánto de ese trabajo puede reutilizar el desarrollador en el paquete de metadatos de la app para Android?

Es excelente que el desarrollador tenga un buen control de las prácticas de datos de la app. A fin de completar correctamente un paquete de metadatos de la app, es posible que el desarrollador necesite información adicional que quizás no haya usado antes, por lo que debería realizar un trabajo adicional. La taxonomía y el framework del paquete de metadatos de la app para Android pueden diferir sustancialmente de los que se usan en otras tiendas de aplicaciones.

¿Cómo se asegura Google de que los desarrolladores compartan información precisa? Hemos observado que esta información no siempre es precisa en la industria.

Al igual que ocurre con una política de privacidad, los desarrolladores son responsables de la información que se divulga en el paquete de metadatos de la app.

¿Con qué frecuencia un desarrollador debe actualizar un paquete de metadatos de la app?

Los desarrolladores deben actualizar el paquete de metadatos de la app cuando haya cambios relevantes en las prácticas de datos de la app.

Preguntas sobre cómo completar la sección de Seguridad de los datos

En las siguientes secciones, se tienen respuestas a preguntas para completar la sección de Seguridad de los datos de un paquete de metadatos de app.

¿Qué sucede si la app se comporta de forma diferente en las distintas versiones de Android compatibles?

El paquete de metadatos de la app debe ser preciso para que sea independiente del uso, la versión de la app, la región y la edad del usuario. En la sección de Seguridad de los datos, se describe la suma de la recopilación y el uso compartido de datos de la app en todas las ubicaciones geográficas y los tipos de usuarios.

¿Cómo puede demostrar el desarrollador que tiene prácticas diferentes en regiones distintas? Por ejemplo, un desarrollador no utiliza ciertas bibliotecas en Europa, pero puede usarlas en otros.

El paquete de metadatos de la app refleja la representación global de las prácticas de datos por app. En la sección de Seguridad de los datos, se describe la suma de la recopilación y el uso compartido de datos de la app en todas las ubicaciones geográficas y los tipos de usuarios.

¿Las secciones de Seguridad de los datos están protegidas por un mecanismo de consentimiento para los usuarios? ¿El desarrollador debe realizar pasos adicionales para crear una divulgación destacada en la app?

No, no hay una divulgación nueva en el proceso de instalación de la app del usuario ni un consentimiento nuevo de los usuarios relacionado con esta función. Los desarrolladores de apps de Google Play y empaquetadas para dispositivos móviles en dispositivos Android con Servicios de Google Play que recopilan datos personales y sensibles de los usuarios deben implementar divulgaciones en la app y otorgar consentimiento cuando lo requiera la política.

¿El desarrollador debe declarar datos si la app incluye un permiso, pero no los recopila ni comparte?

No es necesario que el desarrollador declare la recopilación o el uso compartido, a menos que realmente se recopilen o compartan los datos. Las apps de Google Play y las empaquetadas para dispositivos móviles en dispositivos Android con Servicios de Google Play deben cumplir con todas las políticas aplicables.

Si se recopila un tipo de datos como parte de otro, ¿el desarrollador debe declarar ambos? Por ejemplo, si el desarrollador recopiló Contactos que incluyen el correo electrónico del usuario, ¿declara los tipos de datos "Contactos" y "Dirección de correo electrónico"?

Si el desarrollador recopila intencionalmente un tipo de datos durante la recopilación de otro tipo, debe divulgar ambos. Por ejemplo, si el desarrollador recopila fotos del usuario y las usa para determinar sus características (como etnia o raza), también debe divulgar la recopilación de datos sobre origen étnico y raza.

¿El desarrollador debe proporcionar un mecanismo de eliminación? ¿Debe estar disponible para todos los datos del usuario?

La sección de Seguridad de los datos proporciona una plataforma que el desarrollador puede compartir si proporciona un mecanismo para recibir solicitudes de eliminación de datos de los usuarios. Como parte de completar la sección de Seguridad de los datos, el desarrollador debe indicar si ofrece este tipo de mecanismo.

¿Existe algún tipo específico de mecanismo que el desarrollador deba proporcionar para indicar que la app admite solicitudes de eliminación de datos del usuario?

No existe un mecanismo prescrito, pero se recomienda que el mecanismo de solicitud sea detectable y accesible para los usuarios. Algunos ejemplos comunes de mecanismos que indican con claridad una ruta mediante la cual los usuarios pueden solicitar la eliminación de datos pueden incluir, entre otros, los siguientes ejemplos: funciones de la app, formularios de contacto o un alias de correo electrónico dedicado.

¿Cómo debe indicar un desarrollador en la sección de Seguridad de los datos que proporciona un mecanismo de solicitud de eliminación de datos que se borran o anonimizan automáticamente?

El desarrollador puede declarar que los usuarios pueden solicitar borrar sus datos si proporciona una o más de las siguientes opciones:

Un mecanismo para solicitar la eliminación de datos
Es un proceso automático para iniciar la eliminación o anonimización de los datos recopilados dentro de los 90 días desde su recopilación.

El desarrollador puede declarar que los usuarios pueden solicitar que se borren sus datos incluso si necesita retener ciertos datos por motivos legítimos, como el cumplimiento legal o la prevención de abusos.

¿Qué sucede si el mecanismo de eliminación que proporciona el desarrollador no está disponible a nivel global para todos los usuarios? ¿El desarrollador puede indicar que proporciono un mecanismo de solicitud de eliminación?

Solo está disponible una sección de Seguridad de los datos global por paquete de metadatos de la app. Esto debe abarcar las prácticas de datos basadas en cualquier uso, región y edad del usuario. En otras palabras, si alguna de las prácticas de datos está presente en alguna versión de la app, en cualquier lugar del mundo, el desarrollador debe indicarlas. Por lo tanto, la sección de Seguridad de los datos describe la suma de la recopilación y el uso compartido de datos de la app entre todos los usuarios y las ubicaciones geográficas.

¿Qué tipos de técnicas se pueden utilizar para hacer que los datos sean anónimos?

Existen varios métodos posibles para anonimizar datos de modo que no se puedan asociar con un usuario individual. El desarrollador debe consultar a expertos en privacidad y seguridad para identificar los métodos aplicables a su caso de uso. A modo de ejemplo, en esta página se analizan algunos de los métodos de anonimización de datos que utiliza Google, como la privacidad diferencial.

¿Cómo debería abordar el desarrollador la recopilación y el uso de direcciones IP?

Al igual que con otros tipos de datos, el desarrollador debe divulgar la recopilación, el uso y el uso compartido de direcciones IP según sus prácticas y usos particulares. Por ejemplo, cuando los desarrolladores usan direcciones IP para determinar la ubicación, se debe declarar ese tipo de datos (ubicación).

¿Cómo debe informar el desarrollador la recopilación y el uso compartido de otros tipos de identificadores?

Al igual que con otros tipos de datos, el desarrollador debe divulgar la recopilación, el uso y el uso compartido de diferentes tipos de identificadores según el uso y las prácticas particulares del desarrollador. Por ejemplo, la recopilación de un nombre de cuenta asociado con una persona identificable debe declararse como un "Identificador personal", y la recopilación del ID de publicidad de Android de un usuario debe declararse como "Dispositivo u otros identificadores". Otro ejemplo es que un identificador relacionado con un evento específico en la app, pero que no se relaciona razonablemente con un dispositivo, navegador o app individuales, no necesitaría divulgarse como "Dispositivo u otros identificadores".

Como se indicó anteriormente, la recopilación de datos de forma seudónima debe divulgarse en la sección de Seguridad de los datos del paquete de metadatos de la app en el tipo de datos relevante. Por ejemplo, si el desarrollador recopila información de diagnóstico con un identificador de dispositivo, igualmente debe divulgar la recopilación de "Diagnóstico" en la sección de Seguridad de los datos.

¿Qué tipos de actividades pueden realizar los "proveedores de servicios"?

Los proveedores de servicios solo pueden procesar datos del usuario en nombre del desarrollador. Por ejemplo, un proveedor de estadísticas que procesa datos del usuario desde la app solo en nombre del desarrollador o un proveedor de servicios en la nube que aloja datos del usuario desde la app para que los use el desarrollador suelen calificar como "proveedores de servicios". Por otro lado, si un proveedor del SDK crea perfiles publicitarios para varios clientes en función de los datos de la app, no se consideraría actividad de "proveedor de servicios" para los fines de la sección de Seguridad de los datos y debería divulgarse como "uso compartido" en la sección de Seguridad de los datos del paquete de metadatos de la app.

Una app usa un servicio de pago externo para habilitar transacciones financieras. ¿La app debe divulgar información financiera, como datos de tarjetas de crédito, en su paquete de metadatos?

Depende de la naturaleza de la integración con el servicio de pago. Si la app usa un servicio de pago como PayPal, Google Pay, el sistema de facturación de Google Play o servicios similares para completar transacciones de pago, el desarrollador no necesita declarar la recopilación de los datos que recopila el servicio en relación con el procesamiento de transacciones financieras (como un número de tarjeta de crédito) si se cumplen todas las siguientes condiciones:

La app nunca accede a esa información.
El servicio de pago recopila esta información directamente del usuario, y la recopilación se rige por las condiciones de ese servicio.

El desarrollador debe revisar detenidamente la integración con el servicio de pago para asegurarse de que la sección de Seguridad de los datos del paquete de metadatos de la app declare cualquier recopilación y uso compartido de datos relevantes que no cumpla con estas condiciones. El desarrollador también debe considerar si la app recopila otra información financiera, como el historial de compras, y si recibe datos relevantes del servicio de pagos, por ejemplo, con fines de riesgo y antifraude.

Una app permite que los usuarios suban sus datos directamente a Google Drive o Dropbox para crear copias de seguridad o almacenarlos. La app no accede a ninguno de estos datos. ¿Debería divulgarse como "colección"?

Depende de la implementación en particular. Si el usuario elige subir sus datos directamente a su propia unidad externa o cuenta de almacenamiento en la nube (como Google Drive, Dropbox o servicios similares), y esta carga se rige por las Condiciones del Servicio y la Política de Privacidad del proveedor de almacenamiento en la nube o la unidad externa, y la app nunca recopila los datos en cuestión ni accede a ellos, no es necesario que la app declare la recopilación de estos datos.

¿Cómo debería el desarrollador encriptar los datos en tránsito?

El desarrollador debe seguir los mejores estándares de la industria para encriptar de forma segura los datos de apps en tránsito. Los protocolos de encriptación comunes incluyen la seguridad de la capa de transporte (TLS) y el protocolo de transferencia de hipertexto seguro (HTTPS).

Una app permite al usuario crear una cuenta o agregar información a ella, como su fecha de nacimiento o género. ¿Cómo debe declarar el desarrollador los datos que el usuario agrega a su cuenta?

El desarrollador debe declarar la recopilación de estos datos para la administración de la cuenta, lo que indica (si corresponde) si la recopilación es opcional para el usuario.

Además, al igual que con cualquier tipo de datos que recopila la app, el desarrollador debe divulgar estos datos, así como el propósito o los propósitos para los que la app los usa. Por ejemplo, si la app permite que un usuario agregue una fecha de nacimiento a su cuenta y también usa esos datos para enviar notificaciones push oportunas, la app también debe declarar este propósito, además de la administración de la cuenta.

La administración de cuentas se puede usar para abarcar usos generales de los datos de la cuenta que no son específicos de una app en particular. Por ejemplo, si el desarrollador usa la información de la cuenta para prevenir fraudes, publicidad, marketing o comunicaciones con desarrolladores entre servicios y no es específico de la app ni de actividades en la app, declarar "administración de la cuenta" como el propósito de recopilar los datos de esta cuenta es suficiente para cubrir esos usos generales en la sección de seguridad de los datos de la app. Sin embargo, siempre debe declarar todos los propósitos para los que la app usa los datos. Como práctica recomendada, Google sugiere divulgar cómo la app controla los datos del usuario para los servicios de cuenta como parte de la documentación a nivel de la cuenta y el proceso de registro de la cuenta.

¿Qué son los servicios del sistema?

Los servicios del sistema son software preinstalado que admite las funciones principales del sistema. Los servicios del sistema deben incluir paquetes transparency_info y system_app_safety_label (este último se proporciona en lugar de un paquete safety_labels). Los servicios del sistema que se distribuyen en Google Play pueden solicitar una exención para completar el formulario de seguridad de los datos de Google Play.

¿Cómo puede un desarrollador declarar la recopilación de datos que se utilizan de manera transitoria para cargar páginas y atender otras solicitudes del cliente en tiempo real antes de que esos datos se registren en los servidores del desarrollador y se utilicen para otros fines?

Si este uso es efímero, el desarrollador no necesita incluirlo en la sección de Seguridad de los datos del paquete de metadatos de la app. Sin embargo, el desarrollador debe declarar cualquier uso de esos datos del usuario más allá del procesamiento efímero, incluidos los fines para los que el desarrollador usa los datos del usuario que se registraron.