The Android 16 Developer Preview is now available. Try it out today and let us know what you think!

Se usó la API de Cloud Translation para traducir esta página.

Paquetes de metadatos de la app para la seguridad de los datos

Los paquetes de metadatos de la app proporcionan a los desarrolladores una forma transparente de incluir información sobre ellos (el desarrollador), la app y si recopilan, comparten y protegen los datos del usuario, y cómo lo hacen. Google Play Store requiere que los desarrolladores proporcionen esta información para las apps que distribuye, y los fabricantes de dispositivos Android con Servicios de Google Play exigen lo mismo a los desarrolladores de las apps que el fabricante precarga, con excepciones limitadas para los servicios del sistema.

Otros instaladores y tiendas de aplicaciones pueden optar por requerir un paquete de metadatos de la app para las apps que distribuyen. El método de distribución de la app determina cómo los desarrolladores pueden crear e integrar un paquete de metadatos de la app. Android muestra a los usuarios información de seguridad de los datos del paquete de metadatos de la app. Por ejemplo, si una app declara que comparte la ubicación con un tercero, esa información se muestra en el mensaje de permiso de ubicación en dispositivos que ejecutan Android 14 o versiones posteriores.

Descripción general

Un paquete de metadatos de la app te permite compartir información sobre ti (el desarrollador) y la app, incluidos los datos del usuario que esta recopila o comparte, y mostrar las prácticas de privacidad y seguridad más importantes. Esta información ayuda a los usuarios a tomar decisiones mejor fundamentadas cuando, por ejemplo, otorgan acceso a permisos.

Los paquetes de metadatos de la app son independientes de cualquier obligación de transparencia y divulgación legal a la que, como desarrollador, puedas estar sujeto en los países en los que opera.

Se recomienda a todos los desarrolladores que declaren cómo recopilan y manejan los datos del usuario en sus apps, y que proporcionen detalles sobre el propósito de la app, la información del desarrollador y cómo la app protege los datos del usuario a través de prácticas de seguridad, como la encriptación. Esto incluye los datos recopilados y manejados mediante bibliotecas o SDKs de terceros que se usen en las apps. Los desarrolladores pueden consultar la información de seguridad de los datos publicada por los proveedores de SDKs para obtener más detalles. Los desarrolladores pueden consultar el Índice SDK de Google Play para ver si un proveedor proporcionó un vínculo a su orientación.

Los paquetes de metadatos de la app llegan al dispositivo de manera diferente, según la distribución de la app:

Apps precargadas en la imagen del sistema: El fabricante del dispositivo es responsable de incluir el paquete de metadatos de la app en un archivo en formato XML de seguridad de los datos en la imagen del sistema.
Apps distribuidas por instaladores: El instalador es responsable de enviar el paquete de metadatos de la app al dispositivo. Si desarrollas una app que se distribuye a través de Google Play, consulta las instrucciones de la Ayuda de Play Console. Los instaladores pueden consultar el esquema de paquetes de metadatos de apps.

Los desarrolladores de apps precargadas pueden crear un archivo XML de seguridad de datos con uno de los siguientes métodos:

Si desarrollas una app que está publicada en Play Store, usa el formulario de seguridad de los datos de Play Console en la página Contenido de la app. Para ello, navega a Política > Contenido de la app. Si ya completaste este formulario, no es necesario que realices ninguna acción adicional.
Descarga y edita el archivo en formato XML de la plantilla que está disponible en esta página para proporcionarlo a los fabricantes o instaladores.

Prepara la información

Antes de que los desarrolladores comiencen a crear un paquete de metadatos de app, completa los siguientes pasos:

Asegúrate de que hayan agregado una política de privacidad.
Revisa cómo la app recopila y comparte datos del usuario, y las prácticas de seguridad de la app. En particular, verifica los permisos declarados de la app y las APIs que usa.

Además de revisar cómo la app recopila y comparte datos del usuario, los desarrolladores también deben revisar cómo cualquier código de terceros (como bibliotecas o SDKs de terceros) presente en la app recopila y comparte esos datos. El paquete de metadatos de la app debe reflejar la recopilación o el uso compartido de datos que realice el código de terceros.

Qué deben divulgar los desarrolladores en las secciones de información de la app y del desarrollador

En esta sección, se explica qué información deben divulgar los desarrolladores en las secciones Información del desarrollador y Información del desarrollador del paquete de metadatos de la app. Si la app se distribuye en Google Play Store, usa Play Console para ingresar esta información.

Qué deben compartir los desarrolladores sobre la app

Cuando se crea un paquete de metadatos de la app, los desarrolladores deben divulgar la información de la app que se describe en las siguientes secciones:

Propósito de la app

Describe el propósito de la app en un texto legible por humanos en inglés (límite de 4,000 caracteres).

Categoría de app

Selecciona la categoría que mejor se adapte al propósito de la app de la siguiente lista.

Las siguientes categorías son para apps precargadas:

OTA: Son paquetes responsables de recibir e instalar actualizaciones inalámbricas (OTA).
AOSP: Son paquetes disponibles en el Proyecto de código abierto de Android.
Seguridad
Tienda

Google Play también usa las categorías que se describen en la siguiente tabla:

Categoría	Ejemplos
Arte y diseño	Cuaderno de bocetos, herramientas para pintores, herramientas de arte y diseño, libros para colorear
Autos y vehículos	Tiendas para autos, seguros para autos, comparación de precios de autos, seguridad vial, opiniones y noticias sobre autos
Belleza	Tutoriales de maquillaje, herramientas de maquillaje, peinados, tiendas de productos de belleza, simuladores de maquillaje
Libros y referencias	Lectores de libros, libros de referencia, libros de texto, diccionarios, tesauros, wikis
Empresa	Lector o editor de documentos, seguimiento de paquetes, escritorio remoto, administración de correo electrónico, búsqueda de empleo
Cómics	Personajes de cómics, títulos de cómics
Comunicaciones	Mensajería, chat o IM, marcadores, libretas de direcciones, navegadores, administración de llamadas
Citas	Formación de parejas, noviazgo, creación de relaciones, encuentros con gente nueva, búsqueda del amor
Educación	Preparación de exámenes, ayudas para el estudio, vocabulario, juegos educativos, aprendizaje de idiomas
Entretenimiento	Video en streaming, películas, programas de TV y entretenimiento interactivo
Eventos	Entradas para conciertos, eventos deportivos y cines, y reventa de entradas
Finanzas	Banca, pagos, buscadores de cajeros, noticias financieras, seguros, impuestos, administración y comercio de carteras, calculadoras de propinas
Comida y bebida	Recetas, restaurantes, guías gastronómicas, descubrimiento y degustación de vinos, recetas de tragos
Salud y fitness	Bienestar personal, seguimiento de ejercicios, sugerencias sobre dietas y nutrición, salud y seguridad
Casa y hogar	Búsqueda de casas y apartamentos, mejoras para el hogar, decoración de interiores, hipotecas, bienes raíces
Bibliotecas y demostración	Bibliotecas de software y demostraciones técnicas
Estilo de vida	Instructivos, planificación de bodas y eventos, y guías prácticas
Mapas y navegación	Herramientas de navegación, GPS, cartografía, herramientas de tránsito y transporte público
Medicina	Referencias clínicas y de medicamentos, calculadoras, manuales para proveedores de atención médica, noticias y revistas médicas
Música y audio	Servicios musicales, radios y reproductores de música
Noticias y revistas	Periódicos, agregadores de noticias, revistas y blogs
Paternidad y maternidad	Embarazo, cuidado y vigilancia de bebés, cuidado de niños
Personalización	Fondos de pantalla, fondos de pantalla animados, pantalla principal, pantalla bloqueada, tonos
Fotografía	Cámaras, herramientas de edición de fotografías, apps para administrar y compartir fotos
Productividad	Blocs de notas, listas de tareas, teclados, impresión, calendarios, copias de seguridad, calculadoras, herramientas de conversión
Compras	Compras en línea, subastas, cupones, comparaciones de precios, listas de compras, reseñas de productos
Sociales	Redes sociales y registro
Deportes	Comentarios y noticias deportivas, seguimiento de resultados, administración de equipos de fantasía y cobertura de partidos
Herramientas	Herramientas para dispositivos Android
Viajes y local	Herramientas para hacer reservas, viajes compartidos, taxis, guías de ciudades, información sobre empresas locales, herramientas de administración de viajes y reserva de recorridos
Reproductores y editores de video	Reproductores de video, editores de video, almacenamiento de medios
Clima	Informes meteorológicos.

Publicidad y marketing en apps

Indica si la app contiene publicidad o marketing, incluidas las promociones integradas.

Política de Privacidad

Incluye un vínculo a la política de privacidad en el que se detalle cómo el desarrollador controla los datos del usuario. Si la app no contiene este vínculo, se supone que no controla los datos del usuario.

Qué deben compartir los desarrolladores sobre sí mismos

Cuando crean un paquete de metadatos de app, los desarrolladores deben divulgar la información del desarrollador que se describe en las siguientes secciones:

Nombre del programador

Es el nombre del desarrollador, la persona o la empresa que creó la app. Puede haber varios nombres de desarrolladores.

Registro de la app

Si la app aparece en cualquier registro de apps, incluidas tiendas y otros instaladores, indícalo en este campo. Se permiten varias entradas para varias tiendas.

En el caso de los registros de apps que son instaladores de Android, el valor debe ser el nombre del paquete de Android de la tienda. Por ejemplo, usa com.android.vending para Google Play Store.
Para otros registros de apps: El valor debe ser la URL del registro.

Omite este campo por alguno de los siguientes motivos:

El desarrollador es un SDK que aparece en el Índice SDK de Google Play.
El desarrollador no está registrado en ninguna tienda de aplicaciones ni registro.

ID de registro de la app

Para las apps que aparecen en cualquier registro de apps, incluidos los instaladores y las tiendas, este valor debe ser la identidad del instalador, la tienda o el registro del desarrollador. Se permiten varias entradas para varias tiendas.

Para desarrolladores registrados en Google Play: Este valor debe ser la URL de la página del desarrollador (por ejemplo, https://play.google.com/store/apps/dev?id=5700313618786177705 es la URL del desarrollador Google LLC).
Si el desarrollador es un desarrollador que aparece en el Índice SDK de Google Play: Usa la URL del SDK (por ejemplo, https://play.google.com/sdks/details/com-google-android-gms-play-services-ads es la URL del SDK de anuncios de Google para dispositivos móviles [GMA]).
Si el desarrollador está registrado en otra tienda o registro: Se puede proporcionar una URL de la tienda de aplicaciones o algún otro identificador.

Si un desarrollador no está registrado en ninguna tienda de aplicaciones, se puede omitir este atributo.

Información de contacto del desarrollador

Proporciona la siguiente información:

Correo electrónico
Sitio web
País o región
Dirección postal física

Qué deben divulgar los desarrolladores en la sección de seguridad de los datos

En esta sección, se explica qué información deben divulgar los desarrolladores en la sección de seguridad de los datos del paquete de metadatos de la app y se enumeran los tipos de datos del usuario y los propósitos que pueden seleccionar. Si una app se distribuye en Google Play Store, usa Play Console para ingresar esta información.

Qué deben declarar los desarrolladores en los distintos tipos de datos

Cuando crean un paquete de metadatos de app, los desarrolladores deben divulgar información sobre los tipos de datos que recopilan y comparten, como se describe en las siguientes secciones:

Recopilación de datos

Recopilar en este caso significa transmitir datos desde una app hacia fuera del dispositivo de un usuario. Ten en cuenta los siguientes lineamientos:

Bibliotecas y SDKs: Esto incluye los datos del usuario que se transmiten fuera del dispositivo desde una app a través de bibliotecas o SDKs que se usan en una app, independientemente de que los datos se transmitan al desarrollador de la app o a un servidor de terceros.
WebView: Esto incluye los datos del usuario recopilados de una WebView que se abrió desde la app, si esta controla el código y el comportamiento que se entrega a través de esa WebView.

No es necesario que los desarrolladores declaren la recopilación de datos desde una WebView en la que los usuarios navegan por la Web abierta.
Procesamiento efímero: Los datos del usuario transmitidos fuera del dispositivo que se procesan de forma efímera no es necesario que se incluyan en el paquete de metadatos de tu app si cumplen con el siguiente estándar:

El procesamiento efímero de datos implica acceder a ellos y usarlos mientras se almacenan solo en la memoria, y retenerlos no más del tiempo necesario para atender la solicitud específica en tiempo real.

Por ejemplo, una app del clima que transmite la ubicación del usuario desde el dispositivo para obtener el clima actual en esa ubicación, pero que solo usa los datos de ubicación en la memoria y no los almacena una vez que se completa la solicitud, puede tratar su uso transitorio de la ubicación como efímero. Sin embargo, el uso de datos para crear perfiles publicitarios o cualquier otro perfil de usuario no se puede tratar como efímero y debe declararse como recopilación o uso compartido para los fines relevantes.
Datos seudónimos: Se deben divulgar los datos del usuario recopilados de forma seudónima. Por ejemplo, deben divulgarse los datos que se pueden volver a asociar de manera razonable con un usuario.

Fuera del alcance de la divulgación de la recopilación de datos

No es necesario divulgar los siguientes casos de uso como recopilación:

Acceso o procesamiento en el dispositivo: No es necesario divulgar los datos del usuario a los que accede una app y que solo se procesan de manera local en el dispositivo del usuario y no se envían fuera de él.
Encriptación de extremo a extremo: Se trata de datos del usuario que se envían fuera del dispositivo, pero que son ilegibles para ti o cualquier otra persona que no sea el remitente o el destinatario como resultado de la encriptación de extremo a extremo. No es necesario que se divulguen.

Los datos encriptados no deben ser legibles para ninguna entidad intermediaria, incluido el desarrollador. Además, solo el remitente y el destinatario pueden tener las claves necesarias.

En este caso, uso compartido hace referencia a la transferencia de datos del usuario recopilados desde una app a un tercero. Esto incluye los datos del usuario transferidos de las siguientes maneras:

Fuera del dispositivo, como transferencias de servidor a servidor: Por ejemplo, si un desarrollador transfiere datos del usuario recopilados de una app del servidor del desarrollador a un servidor de terceros.
Transferencia en el dispositivo a otra app: Se trata de transferir datos del usuario de una app a otra directamente en el dispositivo. En este caso, el desarrollador debe divulgar el uso compartido de datos en la sección de Seguridad de los datos, incluso si la app no transmite los datos hacia fuera del dispositivo del usuario.
Desde las bibliotecas y los SDK de tu app: Transferencia de los datos recopilados en una app desde el dispositivo de un usuario directamente a un tercero mediante bibliotecas o SDKs que se incluyen en la app.
Desde WebView que se abrió a través de tu app: Transferencia de datos del usuario a un tercero mediante una WebView que se abrió desde la app, si esta tiene el control del código y el comportamiento entregado a través de esa WebView.

Los desarrolladores no necesitan declarar el uso compartido de datos desde una WebView en la que los usuarios navegan por la Web abierta.

No es necesario divulgar los siguientes tipos de transferencia de datos como uso compartido:

Proveedores de servicios: Transferencia de datos del usuario a un proveedor de servicios que los procese en nombre del desarrollador Un proveedor de servicios hace referencia a una entidad que procesa datos del usuario en nombre del desarrollador y según sus instrucciones.
Propósitos legales: Transferencia de datos del usuario para fines legales específicos, por ejemplo, en respuesta a una obligación legal o solicitud gubernamental.
Acción iniciada por el usuario o divulgación destacada y consentimiento del usuario: Transferencia de datos del usuario a un tercero en función de una acción específica iniciada por el usuario, en la que el usuario espera de manera razonable que se compartan los datos, o en base a una divulgación destacada en la app y un consentimiento.
Datos anónimos. Transferencia de datos del usuario que se anonimizaron completamente para que ya no se puedan asociar con un usuario individual.
Organizaciones de origen y de terceros: Organización de origen hace referencia al desarrollador, la organización principal responsable de procesar los datos recopilados por la app. En el caso de las apps distribuidas a través de tiendas, esta suele ser la organización que publica la app en la tienda.

Tiene la obligación de aclararles de forma razonable a los usuarios qué organización es la principal responsable del procesamiento de los datos recopilados en la app.

Tercero se refiere a cualquier organización que no sea la organización de origen o sus proveedores de servicios.

Manejo de datos

Los desarrolladores también pueden divulgar si cada tipo de datos que recopila la app es opcional o obligatorio. Opcional incluye la capacidad de habilitar o inhabilitar la recopilación de datos. Por ejemplo, los desarrolladores pueden declarar un tipo de datos como opcional cuando un usuario tiene control sobre su recopilación y puede usar la app sin proporcionarla, o cuando un usuario elige si proporcionar manualmente ese tipo de datos. Si las funciones principales de una app requieren el tipo de datos, los desarrolladores deben declararlos como obligatorios.

Los desarrolladores pueden declarar que una app recopila ciertos datos de forma opcional solo si todos los usuarios, independientemente del dispositivo o la región, pueden elegir de forma opcional entre proporcionar la información, inhabilitar o habilitar la recopilación de datos.

Estos son algunos ejemplos de recopilación de datos opcional:

Una app de redes sociales que solicita la fecha de nacimiento de un usuario para comunicaciones de marketing, pero esa información no es obligatoria y el usuario puede registrarse sin proporcionarla
Datos del usuario que solo se recopilan cuando una persona accede a su cuenta en casos en los que puede interactuar con la app sin acceder a su cuenta

Otras divulgaciones de datos y apps

La sección de Seguridad de los datos también es una oportunidad para que los desarrolladores muestren las prácticas de seguridad y privacidad de una app. Por ejemplo, los desarrolladores pueden destacar la siguiente información:

Encriptación en tránsito: Indica si los datos que recopila o comparte una app usan encriptación en tránsito para proteger el flujo de datos del usuario desde su dispositivo hasta el servidor.

Algunas apps están diseñadas para permitirles a los usuarios transferir datos a otro sitio o servicio. Por ejemplo, una app de mensajería podría ofrecer a los usuarios la opción de enviar un mensaje SMS a través de su proveedor de servicios móviles, lo que mantiene distintas prácticas de encriptación. En la sección de seguridad de los datos, estas apps pueden declarar que los datos se transfieren mediante una conexión de confianza, siempre y cuando utilicen los mejores estándares de la industria para encriptarlos de forma segura cuando se trasladan entre el dispositivo del usuario y los servidores de la app.
Mecanismo de solicitud de eliminación: Indica si una app les ofrece a los usuarios una forma de solicitar que se borren sus datos.

Revisión de seguridad independiente (disponible para todas las apps)

Los desarrolladores pueden declarar en la sección de seguridad de los datos que la app se validó de forma independiente respecto de un estándar de seguridad global. Esta es una revisión opcional que realizan y pagan los desarrolladores. Por ejemplo, con una evaluación de seguridad para aplicaciones móviles (MASA), los desarrolladores pueden trabajar directamente con un lab para que se evalúen sus apps en función del estándar de verificación de seguridad para aplicaciones móviles (MASVS) del Proyecto de seguridad para aplicaciones web abiertas (OWASP). Las organizaciones de terceros que realizan las revisiones lo hacen en nombre del desarrollador.

Tipos y propósitos de datos

Se les pide a los desarrolladores que proporcionen información sobre la recopilación, el uso compartido y otras prácticas relacionadas con una variedad de tipos de datos del usuario, así como los fines para los que el desarrollador usa esos datos, como se describe en las siguientes tablas:

Categoría	Tipo de datos	Descripción
Ubicación	Ubicación aproximada	Ubicación física del usuario o dispositivo en un área igual a 3 kilómetros cuadrados o mayor, como la ciudad en la que se encuentra un usuario o la ubicación proporcionada en el permiso `ACCESS_COARSE_LOCATION` de Android.
	Ubicación precisa	Ubicación física del usuario o dispositivo en un área menor a 3 kilómetros cuadrados, como la ubicación proporcionada por el permiso `ACCESS_FINE_LOCATION` de Android.
Información personal	Nombre	Corresponde a la forma en que un usuario se refiere a sí mismo, como su nombre, apellido o sobrenombre.
	Dirección de correo electrónico	Es la dirección de correo electrónico de un usuario.
	IDs de usuario	Son identificadores relacionados con una persona identificable. Por ejemplo, un ID, número o nombre de cuenta.
	Dirección	La dirección de un usuario, como una dirección particular o de correo postal.
	Número de teléfono	El número de teléfono de un usuario.
	Origen étnico	Incluye información sobre el origen étnico del usuario.
	Creencias políticas o religiosas	Incluye información sobre las creencias políticas o religiosas del usuario.
	Orientación sexual	Incluye información sobre la orientación sexual del usuario.
	Otra información	Corresponde a cualquier otra información personal, como la fecha de nacimiento, la identidad de género o la condición de veterano de guerra.
Información financiera	Información de pago del usuario	Incluye información sobre las cuentas financieras del usuario, como el número de la tarjeta de crédito.
	Historial de compras	Es la información sobre compras o transacciones que realizó el usuario.
	Calificación crediticia	Es la información sobre la calificación crediticia del usuario.
	Otra información financiera	Incluye cualquier otra información financiera, como deudas o salarios del usuario.
Salud y fitness	Información sanitaria	Incluye información sobre la salud del usuario, como su historia clínica o síntomas.
	Información de estado físico	Incluye información sobre el estado físico del usuario, como el ejercicio que realiza y otras actividades físicas.
Mensajes	Correos electrónicos	Son los correos electrónicos del usuario, incluidos los asuntos, los remitentes, los destinatarios y el contenido de los mensajes.
	SMS o MMS	Son los mensajes de texto del usuario, incluidos los remitentes, los destinatarios y el contenido de los mensajes.
	Otros mensajes desde apps	Se trata de otros tipos de mensajes. Por ejemplo, mensajes instantáneos o contenido de chat.
Fotos y videos	Fotos	Son las fotos del usuario.
	Videos	Son los videos del usuario.
Archivos de audio	Grabaciones de voz o sonido	La voz del usuario, como un mensaje de voz o una grabación de sonido.
	Archivos de música	Los archivos de música del usuario.
	Otros archivos de audio	Corresponde a cualquier otro archivo de audio creado por el usuario o proporcionado por él.
Archivos y documentos	Archivos y documentos	Son los archivos o documentos de un usuario, o la información sobre sus archivos o documentos, como los nombres de archivos.
Calendario	Eventos de calendario	Incluye información del calendario de un usuario, como eventos, notas de eventos y asistentes.
Contactos	Contactos	Es la información sobre los contactos del usuario, como los nombres, el historial de mensajes y la información de grafos sociales, lo que incluye los nombres de usuario, la antigüedad y frecuencia de contactos, la duración de las interacciones y el historial de llamadas.
Actividad en apps	Interacciones en la app	Es información acerca de cómo un usuario interactúa con la app (por ejemplo, la cantidad de veces que visita una página o qué secciones presiona).
	Historial de búsqueda en la app	Incluye información sobre las búsquedas que realizó el usuario en la app.
	Apps instaladas	Incluye información sobre las apps que están instaladas en el dispositivo del usuario.
	Otro contenido generado por usuarios	Es otro contenido generado por usuarios que no se incluye en esta lista ni en ninguna otra sección, como biografías de usuarios, notas o respuestas abiertas.
	Otras acciones	Es cualquier otra actividad del usuario o acciones llevadas a cabo en la app que no aparezcan aquí, como el uso de juegos, "me gusta" y opciones de diálogos.
Navegación web	Historial de navegación web	Es la información sobre los sitios web que un usuario visitó.
Información y rendimiento de la app	Registros de fallas	Datos del registro de fallas de la app. Por ejemplo, la cantidad de veces que la app falló, los seguimientos de pila o cualquier otra información directamente relacionada con una falla.
	Diagnóstico	Es la información sobre el rendimiento de la app. Por ejemplo, duración de batería, tiempo de carga, latencia, velocidad de fotogramas y otros diagnósticos técnicos.
	Otros datos de rendimiento de apps	Son otros datos de rendimiento de la app que no se incluyen en esta lista.
Dispositivo u otros ID	Dispositivo u otros ID	Son identificadores relacionados con un dispositivo, un navegador o una app específicos, como un número IMEI, una dirección MAC, un ID de dispositivo Widevine, un ID de instalación de Firebase o un identificador de publicidad.

Propósitos

Propósito de los datos	Descripción	Ejemplo
Funciones de la app	Se usa para funciones que están disponibles en la app.	Por ejemplo, para habilitar funciones de la app o autenticar usuarios.
Análisis	Sirve para recopilar datos sobre cómo los usuarios utilizan tu app y cuál es el rendimiento.	Por ejemplo, a fin de saber cuántos usuarios utilizan una función específica, para supervisar el estado de la app, detectar y corregir errores o fallas y, además, mejorar el rendimiento.
Comunicaciones del desarrollador	Se usan para comunicar noticias o notificaciones relacionadas con la app o el desarrollador.	Por ejemplo, una notificación push para informar a los usuarios sobre una actualización de seguridad importante o nuevas funciones de la app.
Publicidad o marketing	Se usan para mostrar u orientar anuncios y medir su rendimiento o enviar comunicaciones de marketing.	Por ejemplo, para mostrar anuncios en la app, enviar notificaciones push con el objetivo de promocionar otros productos o servicios o compartir datos con socios publicitarios.
Seguridad, cumplimiento y prevención de fraudes	Se usan para la prevención de fraudes, la seguridad o el cumplimiento de las leyes.	Por ejemplo, supervisar intentos de acceso fallidos a fin de detectar actividad potencialmente fraudulenta.
Personalización	Se usan para personalizar la app, por ejemplo, para mostrar sugerencias o contenido recomendado.	Por ejemplo, para sugerir listas de reproducción según los hábitos de escucha del usuario o enviar noticias locales según su ubicación.
Administración de la cuenta	Se usan para configurar o administrar la cuenta de un usuario con el desarrollador.	Por ejemplo, para permitirles crear cuentas o agregar información a cuentas que el desarrollador proporcione para usar en sus servicios, acceder a la app o verificar sus credenciales.

Crea un archivo en formato XML de seguridad de los datos de forma manual

En el siguiente archivo en formato XML de seguridad de los datos de muestra, se muestra la estructura de archivos de una app precargada que comparte datos relacionados con la ubicación de un usuario. Para editar esta estructura, agrega, edita o quita elementos según el tipo de información que necesites divulgar para tu app.

Ten en cuenta que el archivo de muestra no es necesariamente completo. Consulta el esquema para paquetes de metadatos de la app si quieres obtener más información sobre la estructura XML requerida para las secciones de app, desarrollador y Seguridad de los datos del paquete de metadatos que tu app podría necesitar.

<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />

  <pbundle_as_map name="safety_labels">
    <long name="version" value="1" />

      <pbundle_as_map name="data_labels">
        <pbundle_as_map name="data_shared">
          <pbundle_as_map name="location">
            <pbundle_as_map name="approx_location">
              <int-array name="purposes" num="4">
                  <item value="1" />
                  <item value="2" />
                  <item value="5" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
            <pbundle_as_map name="precise_location">
              <int-array name="purposes" num="2">
                  <item value="1" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
          </pbundle_as_map>
        </pbundle_as_map>

    </pbundle_as_map>
</pbundle_as_map>
</bundle>

Preguntas frecuentes

Consulta las siguientes secciones para obtener respuestas a las preguntas frecuentes que hacen los desarrolladores.

Preguntas generales

En las siguientes secciones, se incluyen respuestas a preguntas generales sobre los paquetes de metadatos de apps.

Un desarrollador envió información similar para iOS. ¿Qué porcentaje de ese trabajo puede reutilizar el desarrollador para el paquete de metadatos de la app para Android?

Es excelente que el desarrollador tenga un buen control de las prácticas de datos de la app. Para completar de forma correcta un paquete de metadatos de la app, es posible que el desarrollador necesite información adicional que tal vez no usó antes, por lo que debería realizar trabajos adicionales. La taxonomía y el marco de trabajo del paquete de metadatos de apps para Android pueden diferir sustancialmente de los que se usan en otras tiendas de aplicaciones.

¿Cómo se asegura Google de que los desarrolladores compartan información precisa? Sabemos que esta información no siempre es precisa en la industria.

Al igual que con una política de privacidad, los desarrolladores son responsables de la información que se divulga en el paquete de metadatos de la app.

¿Con qué frecuencia un desarrollador debe actualizar un paquete de metadatos de una app?

Los desarrolladores deben actualizar el paquete de metadatos de la app cuando haya cambios relevantes en las prácticas de datos de la app.

Preguntas sobre cómo completar la sección de Seguridad de los datos

Las siguientes secciones tienen respuestas a preguntas sobre cómo completar la sección de Seguridad de los datos de un paquete de metadatos de app.

¿Qué sucede si la app se comporta de forma diferente en las distintas versiones de Android compatibles?

El paquete de metadatos de la app debe ser preciso para que sea independiente del uso, la versión de la app, la región y la edad del usuario. En la sección de Seguridad de los datos, se describe la suma de la recopilación y el uso compartido de datos de la app en todas las ubicaciones geográficas y tipos de usuarios.

¿Cómo puede el desarrollador demostrar que podría tener prácticas diferentes en diferentes regiones? Por ejemplo, un desarrollador no usa ciertas bibliotecas en Europa, pero es posible que las utilice en otras ubicaciones.

El paquete de metadatos de la app refleja la representación global de las prácticas de datos por app. En la sección de Seguridad de los datos, se describe la suma de la recopilación y el uso compartido de datos de la app en todas las ubicaciones geográficas y tipos de usuarios.

¿Las secciones de seguridad de los datos están protegidas por un mecanismo de consentimiento para los usuarios? ¿El desarrollador debe seguir pasos adicionales para crear una divulgación destacada en la app?

No, no hay nuevas divulgaciones en el proceso que sigue el usuario para instalar la app ni un consentimiento nuevo que deba otorgar el usuario con relación a esta función. Los desarrolladores de apps para Google Play y apps empaquetadas para dispositivos móviles en dispositivos Android con Servicios de Google Play que recopilan datos personales y sensibles de los usuarios deben implementar divulgaciones en la app y solicitudes de consentimiento cuando la política lo requiera.

¿El desarrollador debe declarar datos si la app incluye un permiso, pero en realidad no los recopila ni comparte?

El desarrollador no necesita declarar la recopilación o el uso compartido, a menos que los datos se recopilen o se compartan. Las apps de Google Play y las apps empaquetadas para dispositivos móviles en dispositivos Android con los Servicios de Google Play deben cumplir con todas las políticas aplicables.

Si se recopila un tipo de datos como parte de otro, ¿debe el desarrollador declarar ambos? Por ejemplo, si el desarrollador recopiló contactos que incluyen el correo electrónico del usuario, ¿deberá declarar los tipos de datos de "Contactos" y "Dirección de correo electrónico"?

Si el desarrollador recopila intencionalmente un tipo de datos durante la recopilación de otro, debe divulgar ambos. Por ejemplo, si el desarrollador recopila fotos de los usuarios y las usa para determinar sus características (como el origen étnico), también debe divulgar la recopilación de esos datos.

¿El desarrollador debe proporcionar un mecanismo de eliminación? ¿Debe estar disponible para todos los datos del usuario?

La sección de seguridad de los datos proporciona una plataforma para que el desarrollador comparta si proporciona un mecanismo para recibir solicitudes de eliminación de datos de los usuarios. Como parte del proceso de completar la sección de seguridad de los datos, el desarrollador debe indicar si proporciona este tipo de mecanismo.

¿Hay algún tipo específico de mecanismo que el desarrollador deba proporcionar para indicar que la app admite solicitudes de eliminación de datos del usuario?

No existe un mecanismo prescrito, sin embargo, como práctica recomendada, los usuarios deben poder encontrar el mecanismo de solicitud y acceder a él. Algunos ejemplos comunes de mecanismos que indican claramente una ruta por la que los usuarios pueden solicitar la eliminación de datos pueden incluir, entre otros, funciones en la app, formularios de contacto o un alias de correo electrónico dedicado.

¿Cómo debe indicar un desarrollador en la sección de seguridad de los datos que proporciona un mecanismo de solicitud de eliminación de datos que se borran o anonimizan automáticamente?

El desarrollador puede declarar que los usuarios pueden solicitar que se borren sus datos si proporciona una o más de las siguientes opciones:

Un mecanismo para solicitar la eliminación de datos
Un proceso automático para iniciar la eliminación o anonimización de los datos recopilados en un plazo de 90 días desde su recopilación

El desarrollador puede declarar que los usuarios pueden solicitar que se borren sus datos, incluso si el desarrollador necesita conservar ciertos datos por motivos legítimos, como el cumplimiento legal o la prevención de abusos.

¿Qué sucede si el mecanismo de eliminación que proporciona el desarrollador no está disponible a nivel global para todos los usuarios? ¿Puede el desarrollador indicar que proporciona un mecanismo de solicitud de eliminación?

Solo hay una sección global de Seguridad de los datos disponible por paquete de metadatos de app. Debe abarcar las prácticas de datos en función de cualquier uso, región y edad del usuario. En otras palabras, si alguna de las prácticas de datos está presente en alguna versión de la app, en cualquier lugar del mundo, el desarrollador debe indicarlas. Por lo tanto, en la sección de Seguridad de los datos se describe tanto la recopilación como el uso compartido de datos de la app en todos los usuarios y ubicaciones geográficas.

¿Qué tipos de técnicas se pueden usar para hacer que los datos sean anónimos?

Existen varios métodos posibles para anonimizar datos de modo que no se puedan asociar con un usuario individual. El desarrollador debe consultar con expertos en seguridad y privacidad para identificar los métodos aplicables a su caso de uso. A modo de ejemplo, en esta página se analizan algunos de los métodos de anonimización de datos que usa Google, como la privacidad diferencial.

¿Cómo debe abordar el desarrollador la recopilación y el uso de las direcciones IP?

Al igual que ocurre con otros tipos de datos, el desarrollador debe divulgar la recopilación, el uso y el uso compartido de direcciones IP según sus prácticas y usos específicos. Por ejemplo, cuando los desarrolladores usan direcciones IP para determinar la ubicación, deben declarar ese tipo de datos (ubicación).

¿Cómo debe divulgar el desarrollador la recopilación y el uso compartido de otros tipos de identificadores?

Al igual que ocurre con otros tipos de datos, el desarrollador debe divulgar la recopilación, el uso y el uso compartido de los diferentes tipos de identificadores en función de sus prácticas y usos particulares. Por ejemplo, la recopilación de un nombre de cuenta asociado con una persona identificable debe declararse como "Identificador personal", y la recopilación del ID de publicidad de Android de un usuario debe declararse como "Dispositivo o algún otro identificador". Como otro ejemplo, un identificador relacionado con un evento específico en la app, pero que no se relaciona de manera razonable con un dispositivo, un navegador o una app individuales, no es necesario que se divulgue como "Dispositivo y otros identificadores".

Como se indicó anteriormente, la recopilación de datos de forma seudónima debe divulgarse en la sección de seguridad de los datos del paquete de metadatos de la app en el tipo de datos relevante. Por ejemplo, si el desarrollador recopila información de diagnóstico con un identificador de dispositivos, debe divulgar la recopilación de "Diagnósticos" en la sección de seguridad de los datos.

¿Qué tipos de actividades pueden realizar los "proveedores de servicios"?

Un proveedor de servicios solo puede procesar datos del usuario en nombre del desarrollador. Por ejemplo, un proveedor de estadísticas que procesa datos del usuario desde la app solo en nombre del desarrollador, o un proveedor de servicios en la nube que aloja datos del usuario desde la app para que los use el desarrollador, suelen calificarse como "proveedores de servicios". Por otro lado, si un proveedor de SDK crea perfiles publicitarios en varios clientes según los datos de la app, eso no se consideraría una actividad de "proveedor de servicios" a los efectos de la sección de seguridad de los datos y se debería divulgar como "uso compartido" en la sección de seguridad de los datos del paquete de metadatos de la app.

Una app usa un servicio de pago externo para habilitar transacciones financieras. ¿La app debe divulgar información financiera, como datos de la tarjeta de crédito, en su paquete de metadatos?

Depende de la naturaleza de la integración con el servicio de pago. Si la app usa un servicio de pago como PayPal, Google Pay, el sistema de facturación de Google Play o servicios similares para completar transacciones de pago, el desarrollador no necesita declarar la recopilación de los datos que recopila el servicio de pago en relación con el procesamiento de transacciones financieras (como un número de tarjeta de crédito) si se cumplen todas las condiciones que se indican a continuación:

La app nunca accede a esta información.
El servicio de pago recopila la información directamente del usuario, y dicha actividad se rige por las condiciones de ese servicio.

El desarrollador debe revisar detenidamente la integración con el servicio de pago para asegurarse de que, en la sección de seguridad de los datos del paquete de metadatos de la app, se declaren todas las actividades de recopilación y uso compartido de datos relevantes que no cumplan con estas condiciones. El desarrollador también debe tener en cuenta si la app recopila otra información financiera, como el historial de compras, y si recibe datos relevantes del servicio de pagos, por ejemplo, con el fin de evitar riesgos y fraudes.

Una app permite que los usuarios suban sus datos directamente a Google Drive o Dropbox para almacenarlos o crear copias de seguridad. La app no accede a ninguno de estos datos. ¿Debería divulgar la actividad como "recopilación"?

Depende de la implementación en particular. Si el usuario elige subir sus datos directamente a su propia unidad externa o cuenta de almacenamiento en la nube (como Google Drive, Dropbox o servicios similares) y esta carga se rige por las condiciones del servicio y la política de privacidad del proveedor de la unidad externa o el almacenamiento en la nube, y la app nunca recopila ni accede a los datos en cuestión, la app no necesita declarar la recopilación de estos datos.

¿Cómo debe encriptar el desarrollador los datos en tránsito?

El desarrollador debe seguir los mejores estándares de la industria para encriptar de forma segura los datos en tránsito de la app. Entre los protocolos de encriptación comunes, se incluyen la seguridad de la capa de transporte (TLS) y el protocolo de transferencia de hipertexto seguro (HTTPS).

Una app permite que el usuario cree una cuenta o agregue información (como su fecha de nacimiento o género) a una cuenta existente. ¿Cómo debe declarar el desarrollador los datos que el usuario agrega a su cuenta?

El desarrollador debe declarar la recopilación de estos datos para la administración de la cuenta, además de indicar (en caso de que corresponda) si esa actividad es opcional para el usuario.

Además, al igual que con cualquier tipo de datos que recopila la app, el desarrollador debe divulgar estos datos y los fines para los que la app los utiliza. Por ejemplo, si la app permite que un usuario agregue una fecha de nacimiento a su cuenta y también usa esos datos para enviar notificaciones push oportunas, también debe declarar este propósito además del de administración de la cuenta.

La administración de cuentas se puede usar para abarcar los usos generales de los datos de la cuenta que no son específicos de la app en particular. Por ejemplo, si el desarrollador usa la información de la cuenta para prevenir fraudes, publicidad, marketing o comunicaciones con el desarrollador en los servicios y este uso no es específico de la app ni de sus actividades en ella, declarar la "administración de cuentas" como el propósito de recopilar datos de este paquete de cuentas es suficiente para cubrir esos usos generales en la sección de Seguridad de los datos de la app. Sin embargo, la app siempre debe declarar todos los propósitos para los que usa los datos. Como práctica recomendada, Google recomienda divulgar la forma en que la app maneja los datos del usuario para los servicios de cuenta como parte de la documentación a nivel de la cuenta y el proceso de registro de la cuenta.

¿Qué son los servicios del sistema?

Los servicios del sistema son software preinstalado que admite las funciones principales del sistema. Los servicios del sistema deben incluir paquetes transparency_info y system_app_safety_label (este último se proporciona en lugar de un paquete safety_labels). Los servicios del sistema que se distribuyen a través de Google Play pueden solicitar una exención para no completar el formulario de Seguridad de los datos de Google Play.

¿Cómo puede un desarrollador declarar la recopilación de datos que se usan de manera transitoria para cargar páginas y atender otras solicitudes del cliente en tiempo real antes de que esos datos se registren en los servidores del desarrollador y se usen para otros fines?

Si este uso es efímero, el desarrollador no necesita incluirlo en la sección de seguridad de los datos del paquete de metadatos de la app. Sin embargo, el desarrollador debe declarar cualquier uso de esos datos del usuario más allá del procesamiento efímero, incluidos los propósitos para los que el desarrollador usa los datos del usuario que se registran.