Se usó la API de Cloud Translation para traducir esta página.

Política para Desarrolladores y datos del usuario de la API de Workspace

Como desarrollador que usa las APIs de Google Workspace, a menudo recopilas y administras datos sensibles del usuario. Ten en cuenta estos principios clave:

Protege la privacidad: No uses los datos de los usuarios de Workspace para usos prohibidos. Prohibimos que terceros vendan datos del usuario o los usen con fines publicitarios.
Sé transparente: Representa y explica con precisión a los usuarios qué datos recopilarás, por qué lo harás y cómo los usarás.
Respeta a los usuarios: Cumple con las solicitudes de los usuarios para borrar sus datos.
Seguridad: Controla todos los datos del usuario de forma segura y demuestra que cumples con ciertas prácticas de seguridad.
Sé específico: No solicites acceso a datos que no necesites. Todo acceso a los datos solo debe ser para proporcionarle al usuario las funciones beneficiosas de tu aplicación o servicio.

Política de Datos del Usuario de los Servicios de las APIs de Workspace

La Política de Datos del Usuario de los Servicios de la API de Google rige el uso de todos los Servicios de la API de Google cuando tú, el desarrollador, solicitas acceso a los datos del usuario. Esta Política de Datos del Usuario y Desarrollador de los Servicios de la API de Workspace contiene información adicional que rige el uso y el acceso a las APIs de Workspace, incluidos Gmail, Chat, Drive, Hojas de cálculo y otros productos de Google Workspace, cuando solicitas acceso a los datos del usuario.

Además de la política que se indica a continuación, el uso y el acceso a las APIs de Workspace y los datos del usuario asociados también se rigen por las Condiciones del Servicio de las APIs de Google, la Política de Uso Aceptable de Google Chat, la Guía para Desarrolladores de Google Chat, las Condiciones del Servicio de la API de Google Drive, las Políticas del Programa de Google Drive, la Guía para Desarrolladores de Google Drive, las Políticas del Programa de Gmail, la Guía para Desarrolladores de Gmail, las Condiciones del Servicio de Apps Script de Google y las Políticas de OAuth 2.0. Es posible que el uso que hagas de Google Workspace Marketplace también esté regido por el Acuerdo para Desarrolladores de Google Workspace Marketplace. También exigimos que cumplas con todas las leyes y reglamentaciones aplicables.

Revisa estas políticas de forma periódica, ya que se actualizan ocasionalmente. Es tu responsabilidad supervisar y garantizar que cumples con estas políticas con frecuencia. Si, en algún momento, no puedes cumplir con los requisitos de nuestras políticas (o si existe un riesgo significativo de que no puedas cumplirlos), deja de usar nuestros servicios de inmediato y comunícate con nosotros. Nos reservamos el derecho de quitar o restringir el acceso a los datos del usuario de Google si no cumples con esta política.

Nota: Algunos permisos de la API de Google OAuth (los "permisos restringidos") están sujetos a requisitos adicionales, como se describe en este lineamiento. También hay excepciones al proceso de verificación que te recomendamos revisar. Si solo los usuarios de tu organización usan una app, no se aplican estos requisitos adicionales. Además, los administradores de Google Workspace pueden controlar el acceso a las aplicaciones conectadas a través de listas de entidades permitidas. Obtén más información sobre las prácticas recomendadas para administrar un ecosistema de OAuth empresarial. Puedes encontrar más información sobre los requisitos de evaluación para obtener (o conservar) el acceso a los permisos restringidos en las Preguntas frecuentes sobre la verificación de aplicaciones de OAuth.

Acceso y uso adecuados de las APIs de Gmail de Google

Las solicitudes para acceder a los datos del usuario deben ser claras y comprensibles. Las APIs de Google Workspace solo se pueden usar de acuerdo con las políticas, los términos y las condiciones aplicables, y para los casos de uso aprobados según se describe en esta Política. Esto significa que solo puedes solicitar acceso a los permisos cuando tu aplicación o servicio cumpla con uno de los casos de uso aprobados. Solo solicita acceso a las APIs de Workspace cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

A continuación, se indican los casos de uso aprobados para acceder a los permisos de los alcances de la API de Gmail:

Clientes de correo electrónico integrados y web que permiten a los usuarios redactar, enviar, leer y procesar correos electrónicos a través de una interfaz de usuario.
Aplicaciones que crean copias de seguridad de los correos electrónicos automáticamente
Aplicaciones que mejoran la experiencia de correo electrónico con fines de productividad (como aplicaciones para la administración de relaciones con los clientes, el envío retrasado de correos electrónicos o la combinación de correspondencia, o la prestación de resúmenes de IA generativa)
Aplicaciones que usan información de los correos electrónicos para proporcionar informes o servicios de supervisión en beneficio de los usuarios que mejoran la experiencia de correo electrónico (como aplicaciones que automatizan itinerarios de viaje o hacen un seguimiento de vuelos o estados de entrega de paquetes)

Los siguientes tipos de aplicaciones son ejemplos de apps que no están aprobadas para acceder a los permisos de la API de Gmail. A continuación, se incluyen algunos ejemplos de estos casos:

Teclados para dispositivos móviles
Aplicaciones que exportan correos electrónicos de forma manual o única.
Aplicaciones que almacenan o crean copias de seguridad de datos distintos de los mensajes de correo electrónico en Gmail
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Gmail, evadir los filtros y el spam, o bien subvertir de alguna otra forma las restricciones
Aplicaciones que distribuyen spam o correos electrónicos comerciales no solicitados Por ejemplo, las aplicaciones que envían correo comercial masivo, como la administración de relaciones con los clientes, se aprueban siempre que el usuario haya dado su consentimiento para recibir correos electrónicos.

Acceso y uso adecuados de las APIs de Google Drive

Solo solicita acceso a las APIs de Google Drive cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

A continuación, se indican los casos de uso aprobados para acceder a los permisos de los alcances de la API de Google Drive:

Apps web y integradas que proporcionan sincronización local o copia de seguridad automática de los archivos de Drive de los usuarios
Aplicaciones educativas y de productividad (por ejemplo, aplicaciones de administración de tareas, toma de notas, comunicaciones de grupos de trabajo y colaboración en el aula) que solo usan permisos de acceso restringido para controlar archivos de Drive (o sus metadatos o permisos) a través de la interfaz de usuario de la aplicación.
Aplicaciones de informes y seguridad que proporcionan estadísticas a los usuarios o clientes sobre cómo se comparten o acceden a los archivos

La API de Google Drive no se permite para ciertos casos de uso, incluidos los siguientes:

Copia de seguridad del contenido del usuario o de la app desde la app o el proyecto de un desarrollador a Drive.
Minería de criptomonedas
Distribución o divulgación amplia de videos o contenido protegido por derechos de autor sin autorización
Usar Drive como reemplazo de una red de distribución de contenidos (CDN) a gran escala
Herramientas de clonación de archivos que permiten el fragmentamiento del almacenamiento del usuario o eludir los límites de almacenamiento de Drive
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Google Drive o subvertir de alguna otra forma las restricciones
Aplicaciones que distribuyen spam o mensajes comerciales no solicitados Por ejemplo, las aplicaciones que envían mensajes comerciales masivos, como la administración de relaciones con los clientes, se aprueban siempre que el usuario haya dado su consentimiento para recibir mensajes.

Acceso y uso adecuados de las APIs de Google Chat

Solo solicita acceso a las APIs de Google Chat cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

A continuación, se indican los casos de uso aprobados para acceder a los permisos de los alcances de la API de Google Chat:

Apps web y integradas que permiten a los usuarios redactar, enviar, leer y procesar mensajes de chat o comunicaciones similares a través de una interfaz de usuario
Aplicaciones que mejoran la experiencia de Chat con fines de productividad (por ejemplo, una app de administración de tareas de Google Chat que te permite asignar tareas a otros miembros del espacio)
Aplicaciones que usan información de los mensajes de Chat para proporcionar informes o servicios de supervisión en beneficio de los usuarios (por ejemplo, una app que notifica a los usuarios que un colega no está disponible).
Aplicaciones que importan mensajes, membresías, grupos o alguna otra funcionalidad similar de Google Chat
Aplicaciones que intercambian y usan datos obtenidos a través de las APIs de Google Chat para interoperar con otros productos, servicios o funciones de mensajería

La API de Google Chat no se permite para ciertos casos de uso, incluidos los siguientes:

Usar Chat como reemplazo de una red de distribución de contenidos (CDN) a gran escala
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Google Chat o subvertir de alguna otra forma las restricciones
Aplicaciones que distribuyen spam o mensajes comerciales no solicitados Por ejemplo, las aplicaciones que envían mensajes comerciales masivos, como la administración de relaciones con los clientes, se aprueban siempre que el usuario haya dado su consentimiento para recibir mensajes.

Solicita los permisos mínimos relevantes

Solo puedes solicitar acceso a permisos que sean fundamentales para implementar las funciones de tu aplicación o servicio. Esto significa lo siguiente:

No solicites acceso a información que no necesites. Solo solicita acceso a los permisos necesarios para implementar las funciones o los servicios de tu aplicación. Si tu aplicación no requiere acceso a permisos específicos, no debes solicitar acceso a ellos. No solicites acceso a información que podría beneficiar servicios o funciones que aún no se implementaron con la intención de "preparar tu acceso a los datos del usuario para el futuro".

Solicita permisos en contexto siempre que sea posible. Solicita acceso solo a los datos del usuario en contexto (mediante la autenticación incremental) siempre que puedas, de modo que los usuarios comprendan por qué los necesitas.

Control y aviso precisos y transparentes

Debes tener una política de privacidad que divulgue cómo tu aplicación o servicio web recopila, usa y comparte datos del usuario.

Las aplicaciones y los servicios también deben solicitar acceso a los datos del usuario en contexto (mediante la autenticación incremental) y explicar por qué los necesitan y cómo se usarán. Además de las disposiciones correspondientes a la ley aplicable, también debe cumplir con los siguientes requisitos, que reflejan nuestras políticas de OAuth 2.0 y de Datos del Usuario de los Servicios de las APIs de Google:

Debes proporcionar una divulgación sobre el acceso, la recopilación y el uso de los datos, así como con quién se comparten. La divulgación debe cumplir con lo siguiente:
1. Debe representar con precisión la identidad de la aplicación o el servicio que busca acceder a los datos del usuario.
2. Debe estar dentro de la aplicación si se basa en la aplicación o en una ventana de diálogo separada si se basa en la Web.
3. Se debe mostrar durante el uso normal de la aplicación si se basa en la aplicación o en el sitio web si se basa en la Web, y no debe requerir que el usuario navegue a un menú o a la configuración.
4. Debe proporcionar información clara y precisa que explique los tipos de datos a los que se accede y que se solicitan o recopilan.
5. Debe explicar cómo se usarán o compartirán los datos: si solicita datos por un motivo, pero estos también se usarán para un propósito secundario, debe notificar a los usuarios sobre ambos casos de uso.
6. No se puede colocar únicamente en la política de privacidad o en las condiciones del servicio.
7. No se puede incluir con otras divulgaciones que no estén relacionadas con la recopilación de datos personales y sensibles.
La divulgación debe acompañar a una solicitud de consentimiento del usuario y precederla inmediatamente. No debes comenzar la recopilación antes de obtener el consentimiento positivo. La solicitud de consentimiento debe cumplir con los siguientes requisitos:
1. Debe presentar el cuadro de diálogo de consentimiento de manera clara y sin ambigüedades.
2. Debe exigir acciones afirmativas del usuario (por ejemplo, presionar para aceptar, marcar una casilla de verificación, un comando verbal, etcétera) para aceptar.
3. No debe interpretar como consentimiento la acción de salir de la divulgación (que incluye presionar los botones de inicio, salir o atrás).
4. No debe usar mensajes que caduquen o se descarten automáticamente.
Debes proporcionar documentación de ayuda para los usuarios que explique cómo pueden administrar y borrar sus datos de tu app o servicio.

Uso limitado de los datos del usuario

Cuando accedas a las APIs de Workspace para un uso adecuado, el uso de los datos obtenidos debe cumplir con los requisitos que se indican a continuación. Estos requisitos se aplican a los datos derivados de los permisos Delicados y Restringidos.

Limita el uso de los datos para proporcionar o mejorar el caso de uso adecuado o las funciones que están visibles y destacadas en la interfaz de usuario de la aplicación que realiza la solicitud.
No se permiten las transferencias de datos, excepto en los siguientes casos:
1. Para proporcionar o mejorar el caso de uso adecuado o las funciones para el usuario que están visibles y destacadas en la interfaz de usuario de la aplicación solicitante, solo con el consentimiento del usuario
2. Con fines de seguridad (por ejemplo, investigar casos de abuso)
3. Para satisfacer las leyes o reglamentaciones aplicables
4. Como parte de una combinación, adquisición o venta de activos del desarrollador después de obtener el consentimiento explícito del usuario
No permitas que seres humanos lean los datos del usuario, a excepción de los siguientes casos:
1. Obtuviste y documentaste el consentimiento explícito del usuario para leer datos específicos (por ejemplo, ayudar a un usuario a volver a acceder al producto o al servicio después de perder su contraseña).
2. Los datos (incluidas las derivaciones) se agregan, anonimizan y usan para operaciones internas de acuerdo con requisitos de privacidad aplicables y otros requisitos legales jurisdiccionales.
3. Es necesario con fines de seguridad (por ejemplo, investigar casos de abuso).
4. Para satisfacer las leyes o reglamentaciones aplicables.

Está completamente prohibido cualquier otro uso, transferencia o venta de datos del usuario, lo que incluye lo siguiente:

Transferir o vender datos de los usuarios a terceros, como plataformas publicitarias, agentes de datos o cualquier revendedor de información
Transferir, vender o usar datos de los usuarios para publicar anuncios, lo que incluye la publicidad de retargeting, personalizada o basada en intereses
Transferir, vender o usar datos de los usuarios para determinar la solvencia crediticia o con fines de préstamos
Transferir, vender o usar datos de los usuarios para crear, entrenar o mejorar un modelo de aprendizaje automático o de inteligencia artificial más allá del modelo personalizado de ese usuario específico para el caso de uso o la función para el usuario adecuados

Se debe divulgar en tu solicitud o en un sitio web que pertenezca a tu servicio web o aplicación una declaración afirmativa o alguna otra similar que indique que el uso de los datos cumple con las restricciones de Uso Limitado. Por ejemplo, un vínculo en la página principal a una página dedicada o a una política de privacidad que indique lo siguiente: "El uso de la información recibida de las APIs de Workspace cumplirá con la Política de Datos del Usuario de Google, incluidos los requisitos de Uso Limitado".

Mantén un entorno de operaciones seguro

Trata todos los datos del usuario de forma segura en tránsito y en reposo. Tome medidas razonables y adecuadas para proteger todas las aplicaciones o sistemas que usen las APIs de Workspace y cualquier dato derivado de ellas contra el acceso, el uso, la destrucción, la pérdida, la alteración o la divulgación no autorizados o ilegales.

Las aplicaciones que acceden a alcances restringidos deben demostrar que cumplen con ciertas prácticas de seguridad.

Las prácticas de seguridad recomendadas incluyen implementar y mantener un sistema de administración de la seguridad de la información, como se describe en la norma ISO/IEC 27001, y garantizar que la aplicación o el servicio web sean robustos y no tengan problemas de seguridad comunes, como se describe en el documento Top 10 de OWASP.

Entre las medidas de seguridad obligatorias, se incluyen las siguientes:

Usar un estándar de encriptación aceptado por la industria para encriptar los datos del usuario que cumplan con los siguientes requisitos:
1. Almacenados en dispositivos portátiles o medios electrónicos portátiles
2. Se mantienen fuera de los sistemas de Google o de los tuyos.
3. Se transfieren a través de cualquier red externa que no administres solo tú.
4. En reposo en tus sistemas
Transmitir datos con protocolos modernos y seguros (por ejemplo, a través de HTTPS)
Mantener en reposo los datos y las credenciales del usuario, en especial los tokens, como los de acceso y actualización de OAuth, encriptados
Garantizar que las claves y el material de clave se administren de manera adecuada, por ejemplo, que se almacenen en un módulo de seguridad de hardware o en un sistema de administración de claves de nivel de seguridad equivalente

Las medidas de seguridad obligatorias para los alcances restringidos también incluyen seguir la Evaluación de seguridad para aplicaciones en la nube (CASA). Además, según la API a la que se acceda y la cantidad de usuarios o permisos que se deban otorgar, es posible que también exijamos que tu aplicación o servicio se someta a una evaluación de seguridad periódica y obtenga una Carta de Evaluación de un tercero designado por Google.

Usted acepta notificar de inmediato a Google a security@google.com sobre cualquier acceso no autorizado conocido o sospechado a los sistemas, las redes, las cuentas o cualquier otra ubicación donde se almacenen los Datos de Google ("Incidente de Seguridad"). Usted acepta cooperar plenamente con Google para corregir cualquier Incidente de Seguridad conocido o presunto y, en caso de que ocurra uno, notificar a Google a security@google.com antes de hacer declaraciones públicas sobre cualquier Incidente de Seguridad conocido o presunto.

Permisos restringidos

Estos son algunos de los permisos restringidos de Workspace:

Cualquier permiso de la API de Gmail que permita que una aplicación haga lo siguiente:
1. Leen, crean o modifican cuerpos de mensajes (incluidos los archivos adjuntos), metadatos o encabezados, o bien
2. Controlar el acceso a los buzones de correo, el reenvío de correo electrónico o la configuración de administrador
Cualquier permiso de la API de Google Drive que permita que una aplicación haga lo siguiente:
1. Leer, modificar o administrar el contenido o los metadatos de los archivos de Drive de un usuario sin que este otorgue acceso de archivo por archivo de forma individual
Cualquier permiso de la API de Google Chat que permita que una aplicación haga lo siguiente:
1. Leer, modificar o administrar el contenido o los metadatos de los mensajes de Chat de un usuario

Para obtener más detalles, consulta la lista de alcances restringidos.