Se usó la API de Cloud Translation para traducir esta página.

Política para desarrolladores y datos del usuario de la API de Data Portability

Como desarrollador que usa la API de portabilidad de datos, a menudo recopilas y administras datos de usuarios muy sensibles. Ten en cuenta estos principios clave del manejo de datos:

Protege la privacidad: No utilices datos del usuario para usos prohibidos.
Sé transparente: Representa y explica de manera precisa a los usuarios qué datos recopilas, por qué los recopilas y cómo los usas.
Sé respetuoso: Sé un buen administrador de los datos del usuario. Cuando sea posible, permite que los usuarios transfieran sus datos fuera de un producto y respeta sus solicitudes para borrarlos.
Protégete: Administra todos los datos del usuario de forma segura y demuestra que cumples con ciertas prácticas de seguridad.
Sé específico: No solicites acceso a los datos que no necesites. A todos los datos de acceso se les debe proporcionar solo las funciones de tu aplicación o servicio que benefician a los usuarios.

Las Condiciones del Servicio de las APIs de Google, la Política de Datos del Usuario de los Servicios de las APIs de Google y las Políticas de OAuth 2.0 rigen el uso de todos los Servicios de las APIs de Google cuando tú, el desarrollador, solicitas acceso a los datos del usuario. Esta Política para Desarrolladores y de Datos del Usuario de la API de Portabilidad de datos contiene información adicional que rige tu uso y el acceso a la API de Data Portability. La API de Data Portability les brinda a los usuarios finales del Espacio Económico Europeo (EEE) más control sobre sus datos, ya que facilita la migración de datos fuera de Google.

Junto con Google Takeout, la API de portabilidad de datos garantiza que los usuarios tengan acceso y control de sus datos detallados y directos. Obtén más información sobre la Política de Privacidad y los controles de privacidad de Google que permiten que los usuarios tengan el control.

Consulta esta página periódicamente. Estas políticas se actualizan ocasionalmente. Es responsabilidad del desarrollador supervisar y garantizar el cumplimiento de estas políticas con regularidad. Si en algún momento no puedes cumplir con los requisitos de la política o si existe un riesgo significativo de que no puedas hacerlo, deja de usar nuestros servicios de inmediato y comunícate con nosotros. Google se reserva el derecho de quitar o restringir el acceso a los datos del usuario de Google si no cumples con esta política. En caso de conflicto entre esta política o cualquier otra condición relacionada con los servicios de API, prevalecerá esta política para desarrolladores y los datos del usuario de la API de portabilidad de datos.

Nota: Algunos permisos de la API de OAuth de Google están sujetos a requisitos adicionales que se describen en esta política. Estos permisos se denominan permisos restringidos. También existen excepciones al proceso de verificación que debes revisar. Si solo los usuarios de tu organización usan una app, estos requisitos no se aplican. Además, los administradores de Google Workspace pueden controlar el acceso a las aplicaciones conectadas con las listas de permisos. Si quieres obtener más información sobre las prácticas recomendadas para administrar un ecosistema empresarial de OAuth, consulta Toma el control de tu ecosistema de OAuth con estas prácticas recomendadas.

Puedes encontrar más información sobre los requisitos de la evaluación para obtener o mantener el acceso a los Permisos Restringidos en las Preguntas frecuentes sobre la verificación de aplicaciones de OAuth.

Acceso a los datos y uso adecuados de los datos del usuario

Las solicitudes para exportar datos del usuario deben ser claras y comprensibles. La API de portabilidad de datos solo puede usarse de acuerdo con las políticas, los términos y las condiciones aplicables, y para los casos de uso que benefician a los usuarios, como se establece en esta política. Esto significa que los desarrolladores solo pueden solicitar acceso a los permisos cuando una aplicación o un servicio cumple con uno de los casos de uso aprobados.

Estos son los casos de uso aprobados para acceder a los permisos:

Aplicaciones o servicios con una o más funciones que tienen el propósito principal de beneficiar al usuario, ya que le permiten mover, copiar o transferir datos del usuario de un servicio de Google a otra plataforma o servicio para el beneficio del usuario

Cómo solicitar los permisos relevantes mínimos

Los desarrolladores solo pueden solicitar acceso a permisos que sean fundamentales para la implementación de funciones de una aplicación o servicio. Esto significa lo siguiente:

No solicites acceso a información que no necesites. Si un producto no requiere acceso a permisos específicos, no debes solicitar acceso a estos. No solicites acceso "preparado para el futuro" a los datos del usuario mediante información que pueda beneficiar servicios o funciones que no se implementaron.
Solicita permisos en contexto cuando sea posible. Solo solicita acceso a los datos del usuario en contexto (siempre que puedas) mediante la autorización incremental. Esto permite que los usuarios entiendan por qué necesitas los datos.

Aviso y control precisos y transparentes

La API de Data Portability maneja información personal y sensible. Todas las aplicaciones y los servicios deben contener una política de privacidad, la cual debe divulgar de manera exhaustiva cómo una aplicación o un servicio web recopila, usa y comparte datos del usuario. Esto incluye los tipos de partes con las que se comparten los datos del usuario, cómo los usas, cómo los almacenas y los proteges, y qué sucede con los datos cuando se desactiva o se borra una cuenta.

Las aplicaciones y los servicios también deben solicitar acceso a los datos del usuario en contexto mediante la autorización incremental para que los usuarios entiendan mejor qué datos se proporcionan, por qué los necesitas y cómo se usan. Además de los requisitos según la ley aplicable, también debes cumplir con los siguientes requisitos, que reflejan nuestras políticas de OAuth 2.0 y las políticas de Datos del Usuario de los Servicios de la API de Google:

Los desarrolladores deben proporcionar una divulgación sobre la exportación, el acceso, la recopilación y el uso de los datos, así como con quién se comparten. La divulgación debe cumplir con lo siguiente:

Debe representar con precisión la identidad de la aplicación o el servicio que busca acceder a los datos del usuario.
Debe estar dentro de la aplicación si está basada en ella o en una ventana de diálogo separada si está basada en la Web.
Se debe mostrar durante el uso normal de la app si esta se basa en ella o en un sitio web si se basa en la Web, y no debería requerir que el usuario navegue por un menú o una configuración.
Debe proporcionar información clara y precisa que explique los tipos de datos a los que se accede, se solicitan, se exportan o se recopilan.
Se debe explicar cómo se usan y comparten los datos. Si solicitas exportar datos por un motivo, pero los datos también se usan con un propósito secundario, debes notificar a los usuarios sobre ambos casos de uso.
No se puede colocar únicamente en la política de privacidad o en las condiciones del servicio.
No se puede incluir con otras divulgaciones que no estén relacionadas con la recopilación de datos personales y sensibles.

La divulgación de un desarrollador debe acompañar y preceder inmediatamente a una solicitud de consentimiento del usuario. No debe comenzar la recopilación antes de obtener el consentimiento afirmativo. La solicitud de consentimiento:

Debe presentar el cuadro de diálogo de consentimiento de manera clara y sin ambigüedades.
Debe exigir una acción afirmativa del usuario para aceptar, como seleccionar para aceptar, marcar una casilla de verificación o un comando verbal para aceptar.
No se debe interpretar como consentimiento la acción de salir de la divulgación. Esto incluye hacer clic para salir o presionar los botones de inicio o atrás.
No debe usar mensajes que caduquen ni se descarten automáticamente.

Debes proporcionar documentación de ayuda para los usuarios en la que se explique cómo pueden administrar y borrar sus datos de la app.

Uso limitado de los datos del usuario

Cuando accedes a la API de portabilidad de datos para un uso adecuado, el uso que hace el desarrollador de los datos obtenidos debe cumplir con los siguientes requisitos. Estos requisitos se aplican a los permisos sensibles y restringidos, los datos sin procesar obtenidos de la API de Data Portability y los datos agregados, anonimizados, desidentificados o derivados de los datos sin procesar.

Limita el uso de datos para proporcionar o mejorar el caso de uso apropiado o las funciones visibles y destacadas en la interfaz de usuario de la aplicación solicitante.
No se permiten las transferencias de datos, excepto las siguientes:

Proporcionar o mejorar el caso de uso adecuado o las funciones para el usuario que sean claras desde la interfaz de usuario de la aplicación solicitante y solo con el consentimiento del usuario
Para fines de seguridad, como investigar casos de abuso
Para cumplir con las leyes o reglamentaciones aplicables
Como parte de una fusión, adquisición o venta de los activos del desarrollador después de obtener el consentimiento previo explícito del usuario

No permita que personas lean los datos del usuario, a menos que ocurra lo siguiente:

Obtuviste y documentaste el consentimiento explícito del usuario para leer datos específicos. Un ejemplo sería ayudar a un usuario a recuperar el acceso al producto o servicio después de perder la contraseña.
Los datos, incluidas las derivaciones, se agregan y usan para operaciones internas de acuerdo con los requisitos de privacidad aplicables y otros requisitos legales jurisdiccionales.
Es necesaria para fines de seguridad, como investigar casos de abuso.
Es necesario para cumplir con las leyes o reglamentaciones aplicables.

Se debe divulgar en la aplicación o en un sitio web que pertenezca al servicio o la aplicación una declaración afirmativa o similar de que el uso de los datos por parte de la aplicación o el servicio cumple con las restricciones de uso limitado. Por ejemplo, un vínculo en una página principal a una página dedicada o una política de privacidad que indique lo siguiente:

“El uso de la información recibida de la API de portabilidad de datos cumple con la Política de Datos del Usuario de Google, incluidos los Requisitos de Uso Limitado”.

Se pueden usar oraciones similares que estén alineadas con las restricciones de uso compartido de datos de la sección Uso limitado.

Mantén un entorno operativo seguro

Debes administrar todos los datos del usuario de forma segura. Toma medidas razonables y adecuadas para proteger todas las aplicaciones o sistemas que hacen uso de la API de Data Portability contra el acceso, el uso, la destrucción, la pérdida, la alteración o la divulgación no autorizados o ilegales.

Las aplicaciones que acceden a permisos restringidos deben cumplir con ciertas prácticas de seguridad. Las prácticas de seguridad recomendadas incluyen implementar y mantener un sistema de administración de la seguridad de la información según se describe en el estándar ISO/IEC 27001 y garantizar que la aplicación o el servicio web sean sólidos y no tengan problemas de seguridad comunes, como se establece en los 10 mejores de OWASP.

Entre las medidas de seguridad obligatorias, se incluyen las siguientes:

Usar un estándar de encriptación aceptado en la industria para encriptar datos del usuario que cumple con las siguientes condiciones:

Almacenados en dispositivos portátiles o medios electrónicos portátiles
Se mantienen fuera de los sistemas de Google o del desarrollador.
Se transfieren a través de cualquier red externa que no administres exclusivamente tú.
En reposo en los sistemas del desarrollador

Transmisión de datos mediante protocolos modernos y seguros, como HTTPS
Mantener los datos y las credenciales del usuario, en especial los tokens, como el acceso de OAuth y los tokens de actualización, encriptados en reposo.
Garantizar que las claves y el material de las claves se administren de forma adecuada, por ejemplo, se almacenen en un módulo de seguridad de hardware o en un sistema de administración de claves de seguridad equivalente.

Las medidas de seguridad requeridas para los permisos restringidos incluyen seguir la Evaluación de seguridad para aplicaciones de Cloud (CASA). Además, es posible que también debas permitir que la aplicación o el servicio se someta a una evaluación de seguridad periódica y que obtenga una carta de evaluación de un tercero designado por Google.

Aceptas notificar de inmediato a Google a la dirección security@google.com sobre cualquier acceso no autorizado conocido o presunto a los sistemas, las redes, las cuentas o cualquier otra ubicación donde se almacenen los datos de Google. Esto se conoce como incidente de seguridad. Usted acepta cooperar plenamente con Google para corregir cualquier Incidente de Seguridad conocido o sospechoso y, en cualquier caso, notificar a Google a security@google.com antes de realizar declaraciones públicas sobre cualquier Incidente de Seguridad conocido o sospechoso.

Alcances de OAuth 2.0

Si deseas obtener una lista de todos los permisos y los grupos de recursos de la API de portabilidad de datos, consulta los permisos de OAuth 2.0 para las API de Google.

Para obtener más información sobre los permisos restringidos, consulta la lista de permisos restringidos.