Condiciones del Servicio

Política de datos de usuario de los servicios API de Google

Última actualización 3 de septiembre de 2020

Los servicios API de Google, incluido el inicio de sesión de Google, forman parte de un marco de autenticación y autorización que le brinda a usted, el desarrollador, la capacidad de conectarse directamente con los usuarios de Google cuando desee solicitar acceso a los datos de usuario de Google. La siguiente política, así como los Términos de servicio de las API de Google, rigen el uso de los Servicios de la API de Google cuando solicita acceso a los datos de usuario de Google. Vuelva a consultar de vez en cuando, ya que estas políticas se actualizan ocasionalmente.

Representar con precisión su identidad e intención

Si desea acceder a los datos de usuario de Google, debe proporcionar a los usuarios de Google y a Google información clara y precisa sobre su uso de los servicios API de Google. Esto incluye, sin limitación, los requisitos para representar con precisión:

¿Quién solicita los datos de usuario de Google? Todas las solicitudes de permiso deben representar con precisión la identidad de la aplicación que busca acceder a los datos del usuario. Si ha obtenido credenciales de cliente autorizadas para acceder a los Servicios API de Google, mantenga estas credenciales confidenciales.

¿Qué datos estás solicitando? Debe proporcionar información clara y precisa que explique los tipos de datos que se solicitan. Además, si planea acceder o utilizar un tipo de datos de usuario que no se divulgó originalmente en su política de privacidad cuando un usuario de Google autorizó inicialmente el acceso, debe actualizar su política de privacidad y pedirle al usuario que acepte cualquier cambio antes de poder hacerlo. acceder a esos datos.

¿Por qué solicita datos de usuario de Google? Sea honesto y transparente con los usuarios cuando explique el propósito por el cual su aplicación solicita datos de usuario. Si su aplicación solicita datos por un motivo, pero los datos también se utilizarán para un propósito secundario, debe notificar a los usuarios de Google sobre ambos casos de uso. En general, los usuarios deben poder comprender fácilmente el valor de proporcionar los datos que solicita su aplicación, así como las consecuencias de compartir esos datos con su aplicación.

Sea transparente sobre los datos a los que accede con divulgaciones de privacidad claras y destacadas

Debe publicar una política de privacidad que documente completamente cómo su aplicación interactúa con los datos del usuario. Debe incluir la URL de la política de privacidad en la configuración de su cliente OAuth cuando su aplicación esté disponible para el público.

Su Política de privacidad y todas las notificaciones de privacidad del producto deben ser precisas, completas y fácilmente accesibles. Su política de privacidad y las notificaciones de privacidad del producto deben revelar detalladamente la forma en que su aplicación accede, utiliza, almacena o comparte los datos de usuario de Google. Su uso de los datos de usuario de Google debe limitarse a las prácticas explícitamente divulgadas en su política de privacidad publicada, pero debe considerar el uso de notificaciones adicionales en el producto para asegurarse de que los usuarios entiendan cómo su aplicación manejará los datos de usuario. Si cambia la forma en que su aplicación usa los datos de los usuarios de Google, debe notificar a los usuarios y pedirles que acepten una política de privacidad actualizada antes de usar los datos de los usuarios de Google de una manera nueva o para un propósito diferente al revelado originalmente.

Las divulgaciones sobre el uso de datos deben ser destacadas y oportunas. Su política de privacidad y cualquier notificación en el producto con respecto al uso de datos deben mostrarse de manera destacada en la interfaz de su aplicación para que los usuarios puedan encontrar esta información fácilmente. Siempre que sea posible, las divulgaciones sobre el uso de datos deben ser oportunas y mostrarse en contexto.

Solicitar permisos relevantes

Las solicitudes de permisos deben tener sentido para los usuarios y deben limitarse a la información crítica necesaria para implementar su aplicación.

No solicite acceso a información que no necesita. Solo solicite acceso al alcance de acceso mínimo y técnicamente factible que sea necesario para implementar funciones o servicios existentes en su aplicación, y limite el acceso a la cantidad mínima de datos necesarios. No intente "a prueba de futuro" su acceso a los datos del usuario solicitando acceso a información que podría beneficiar servicios o funciones que aún no se han implementado.

Solicite permisos en contexto cuando sea posible. Solicite acceso a los datos del usuario en contexto (a través de la autenticación incremental) siempre que pueda, para que los usuarios entiendan por qué necesita los datos.

Se prohíbe el uso engañoso o no autorizado de los servicios API de Google.

Tiene estrictamente prohibido participar en cualquier actividad que pueda engañar a los usuarios o a Google acerca de su uso de los Servicios API de Google. Esto incluye, sin limitación, los siguientes requisitos:

No tergiverse qué datos se recopilan o qué hace con los datos de usuario de Google. Sea sincero con los usuarios para que puedan tomar una decisión informada para otorgar la autorización. Debe divulgar todos los datos de usuario a los que acceda, use, almacene, elimine o comparta, así como cualquier acción que realice en nombre de un usuario.

No se le permite acceder, agregar ni analizar los datos de los usuarios de Google si los datos se mostrarán, venderán o distribuirán de otro modo a un tercero que realice vigilancia.

En general, no debería haber sorpresas para los usuarios de Google: las funciones, los servicios o las acciones ocultos que no concuerdan con el propósito comercial de su aplicación pueden hacer que Google suspenda su capacidad para acceder a los Servicios API de Google.

No engañe a Google sobre el entorno operativo de una aplicación. Debe representar con precisión el entorno en el que aparece la página de autenticación. Por ejemplo, no afirme ser una aplicación de Android en el encabezado del agente de usuario si su aplicación se ejecuta en iOS, ni represente que la página de autenticación de su aplicación se muestra en un navegador de escritorio si, en cambio, la página de autenticación se muestra en una vista web incrustada. .

No use API no documentadas sin permiso expreso. No aplique ingeniería inversa a los Servicios API de Google no documentados ni intente obtener o utilizar el código fuente subyacente de los Servicios API de Google no documentados. Solo puede acceder a los datos de los Servicios API de Google de acuerdo con los medios estipulados en la documentación oficial de ese Servicio API, tal como se proporciona en el sitio para desarrolladores de Google.

No haga declaraciones falsas o engañosas sobre ninguna entidad que supuestamente haya autorizado o gestionado su solicitud. Debe representar con precisión a la empresa, organización u otra autoridad que gestiona su solicitud. Hacer representaciones falsas sobre las credenciales del cliente a Google o a los usuarios de Google es motivo de suspensión.

Aplicaciones dirigidas a niños

La Ley de protección de la privacidad en línea para niños, o COPPA, se aplica a sitios web, aplicaciones y servicios dirigidos a niños menores de 13 años y aplicaciones, sitios web o servicios para el público en general con usuarios que se sabe que son menores de 13 años. las aplicaciones pueden usar algunos servicios de Google, los desarrolladores son responsables de usar estos servicios de acuerdo con sus obligaciones según la ley. Revise la guía de la FTC sobre COPPA (incluida la información sobre las diferencias entre las aplicaciones para audiencias mixtas y las aplicaciones dirigidas principalmente a niños del sitio web de la FTC) y consulte con su propio asesor legal.

Aplicaciones dirigidas a niños: si su aplicación está dirigida principalmente a niños, no debe utilizar el inicio de sesión de Google ni ningún otro servicio API de Google que acceda a los datos asociados con una cuenta de Google. Esta restricción incluye los Servicios de juegos de Google Play y cualquier otro Servicio API de Google que utilice la tecnología OAuth para autenticación y autorización.

Aplicaciones de audiencia mixta: las aplicaciones que son de audiencia mixta no deberían requerir que los usuarios inicien sesión en una cuenta de Google, pero pueden ofrecer, por ejemplo, el inicio de sesión de Google o los servicios de juegos de Google Play como una función opcional. En estos casos, los usuarios deben poder acceder a la aplicación en su totalidad sin iniciar sesión en una cuenta de Google.

Mantener un entorno operativo seguro

Debe tomar medidas razonables y apropiadas para proteger todas las aplicaciones o sistemas que hacen uso de los Servicios API de Google contra el acceso, uso, destrucción, pérdida, alteración o divulgación no autorizados o ilegales.

Requisitos adicionales para ámbitos de API específicos

Más información sobre los requisitos de evaluación para obtener (o mantener) el acceso a los ámbitos restringidos está disponible en las Preguntas frecuentes sobre la verificación de aplicaciones de OAuth.

Para ámbitos restringidos de Gmail:

La aplicación de los requisitos de Gmail en esta sección comenzó el 15 de enero de 2019. Las aplicaciones que tuvieron acceso a los ámbitos restringidos de Gmail antes del 15 de enero de 2019 deben obtener su primera carta de evaluación a más tardar el 31 de diciembre de 2019 para mantener el acceso a los ámbitos restringidos de Gmail. . Todas las demás aplicaciones primero deben verificarse y obtener la carta antes de que se les otorgue acceso a los ámbitos restringidos de Gmail.

Para ámbitos restringidos por unidad:

Para obtener más información sobre los nuevos requisitos de Drive, lea nuestra publicación de blog, Mejora de los controles de seguridad para las aplicaciones de terceros de Google Drive.

Ciertos ámbitos de la API de OAuth de Google (los "Ámbitos restringidos") están sujetos a requisitos adicionales en esta sección.

Nota: Si su aplicación solo la usan usuarios dentro de su propio dominio, estos requisitos no se aplican. Además, los administradores de G Suite pueden controlar el acceso a las aplicaciones conectadas a través de listas blancas. Obtenga más información sobre las mejores prácticas para administrar su ecosistema OAuth empresarial.

Ámbitos restringidos:

Gmail: cualquier alcance de la API de Gmail que permita que una aplicación

Leer, crear o modificar cuerpos de mensajes (incluidos archivos adjuntos), metadatos o encabezados; o

Controle el acceso al buzón, el reenvío de correo electrónico o la configuración de administración.

Drive: cualquier alcance de la API de Drive que permita que una aplicación lea, modifique o administre el contenido o los metadatos de los archivos de Drive de un usuario, sin que el usuario otorgue acceso individualmente a cada archivo.

Aquí hay una lista de los ámbitos restringidos.

Tipo de aplicación: solo determinados tipos de aplicaciones pueden acceder a los ámbitos restringidos de cada producto.

Producto Tipos de aplicación permitidos

Gmail

Clientes de correo electrónico nativos y web que permiten a los usuarios redactar, enviar, leer y procesar correo electrónico a través de una interfaz de usuario

Aplicaciones que hacen copias de seguridad automáticas del correo electrónico

Aplicaciones que mejoran la experiencia del correo electrónico con fines de productividad (como aplicaciones para la gestión de relaciones con los clientes, envío retrasado de correo electrónico o combinación de correspondencia)

Aplicaciones que usan información de correos electrónicos para proporcionar informes o servicios de monitoreo en beneficio de los usuarios (como aplicaciones que automatizan itinerarios de viaje o rastrean vuelos o estados de entrega de paquetes)

Manejar

Aplicaciones nativas y web que proporcionan sincronización local o copia de seguridad automática de los archivos de Drive de los usuarios

Aplicaciones educativas y de productividad (incluidas aplicaciones de administración de tareas, toma de notas, comunicaciones de grupos de trabajo y colaboración en el aula) que solo usan ámbitos restringidos para manejar archivos de Drive (o sus metadatos o permisos) a través de la interfaz de usuario de la aplicación

Uso limitado: su uso de los datos obtenidos a través de los alcances restringidos debe cumplir con estos requisitos:

Limite su uso de datos para proporcionar o mejorar las características de cara al usuario que son prominentes en la interfaz de usuario de la aplicación solicitante. Todos los demás usos de los datos están prohibidos;

Solo transfiera los datos a otros si es necesario para proporcionar o mejorar las funciones de cara al usuario que son prominentes en la interfaz de usuario de la aplicación solicitante. También puede transferir datos según sea necesario para cumplir con la ley aplicable o como parte de una fusión, adquisición o venta de activos con notificación a los usuarios. Todas las demás transferencias o ventas de los datos del usuario están prohibidas;

No use ni transfiera los datos para publicar anuncios, incluida la publicidad de retargeting, personalizada o basada en intereses; y

No permita que los humanos lean los datos, a menos que

Primero obtuvo el acuerdo afirmativo del usuario para ver mensajes, archivos u otros datos específicos, con la excepción limitada de los casos de uso aprobados por Google según los términos adicionales aplicables al programa de acceso a dispositivos Nest;

Es necesario por motivos de seguridad (como investigar un error o abuso);

Es necesario para cumplir con la ley aplicable; o

Su uso está limitado a operaciones internas y los datos (incluidas las derivaciones) se han agregado y anonimizado.

Estas prohibiciones se aplican a los datos sin procesar obtenidos de ámbitos restringidos y los datos agregados, anonimizados o derivados de ellos. Debe asegurarse de que sus empleados, agentes, contratistas y sucesores cumplan con estos Servicios API de Google: Política de datos de usuario.

Manejo seguro de datos: las aplicaciones que acceden a ámbitos restringidos deben demostrar que se adhieren a ciertas prácticas de seguridad. Estas aplicaciones deben pasar una evaluación de seguridad anual y obtener una carta de evaluación de un tercero designado por Google. Las aplicaciones de clientes locales que solo permiten transmisiones configuradas por el usuario de datos de alcance restringido desde el dispositivo pueden estar exentas de este requisito.

Nota: Hay más información disponible sobre los requisitos de evaluación en las Preguntas frecuentes sobre la verificación de aplicaciones de OAuth. Las solicitudes con acceso a ámbitos restringidos antes del 15 de enero de 2019 deben obtener su primera carta de evaluación a más tardar el 31 de diciembre de 2019 para mantener el acceso a los ámbitos restringidos. Todas las demás aplicaciones deben obtener la carta antes de que se les conceda acceso a Ámbitos restringidos.

Aplicación

Debe acceder a los Servicios API de Google de acuerdo con los Términos de servicio de las API de Google. Si se determina que no cumple con los Términos de servicio de las API de Google, estos Servicios de la API de Google: Política de datos del usuario o cualquier política de productos de Google que sea aplicable al Servicio de la API de Google que está utilizando, Google puede revocar o suspender su acceso. a los servicios API de Google y otros productos y servicios de Google. Su acceso a los Servicios API de Google también puede revocarse si su aplicación permite a los usuarios finales u otras partes violar los Términos de servicio de las API de Google y/o las políticas de Google.