Se usó la API de Cloud Translation para traducir esta página.

Política para Desarrolladores y datos del usuario de la API de Workspace

Como desarrollador que usa las APIs de Google Workspace, a menudo recopilas y administras datos sensibles de los usuarios. Ten en cuenta estos principios clave:

Protege la privacidad: No uses los datos del usuario de Workspace para usos prohibidos. Prohibimos que terceros vendan datos del usuario o que los usen con fines publicitarios.
Sé transparente: Representa y explica de forma precisa a los usuarios qué datos recopilarás, por qué los harás y cómo los usarás.
Sé respetuoso: Respeta las solicitudes de los usuarios para borrar sus datos.
Sé seguro: Maneja todos los datos del usuario de forma segura y demuestra que cumples con ciertas prácticas de seguridad.
Sé específico: No solicites acceso a los datos que no necesites. Todo acceso a los datos debe ser solo para proporcionar al usuario funciones que beneficien al usuario de tu aplicación o servicio.

Política de Datos del Usuario de los Servicios de la API de Workspace

La Política de Datos del Usuario de los Servicios de las APIs de Google rige el uso de todos los Servicios de las APIs de Google cuando tú, el desarrollador, solicitas acceder a los datos del usuario. Esta Política para Desarrolladores y Datos del Usuario de los Servicios de la API de Workspace contiene información adicional que rige el uso y el acceso a las APIs de Workspace, lo que incluye Gmail, Chat, Drive, Hojas de cálculo y otros productos de Google Workspace, cuando solicitas acceso a los datos del usuario.

Además de la siguiente política, las Condiciones del Servicio de las APIs de Google, la Política de Uso Aceptable de Google Chat, la Guía para desarrolladores de Google Chat, las Condiciones del Servicio de las APIs de Google Drive, las Políticas del Programa de Google Drive, las Guías para Desarrolladores de Google Drive, las Políticas del Programa de Gmail, la Guía para Desarrolladores de Google Chat, las Condiciones del Servicio de Apps de Google Workspace y las Condiciones del Servicio de Apps de Google Workspace asociadas,las Políticas de Acceso de las APIs de Google Drive y lasde acceso de las APIs asociadas de Google Drive. El uso también puede regirse por el Acuerdo para Desarrolladores de Google Workspace Marketplace. También le exigimos que cumpla todas las leyes y reglamentaciones aplicables.

Revísalas de forma periódica, ya que estas políticas se actualizan a veces. Es tu responsabilidad supervisar y garantizar el cumplimiento de estas políticas con regularidad. Si en algún momento no puedes cumplir con los requisitos de nuestras políticas (o si existe un riesgo significativo de que no puedas hacerlo), deja de usar nuestros servicios de inmediato y comunícate con nosotros. Nos reservamos el derecho de quitar o restringir el acceso a los datos del usuario de Google si no cumples con esta política.

Nota: Algunos permisos de la API de OAuth de Google (los “Permisos Restringidos”) están sujetos a requisitos adicionales que se describen en este lineamiento. También existen excepciones al proceso de verificación que te recomendamos revisar. Si solo los usuarios de tu organización usan una app, no se aplican estos requisitos adicionales. Además, los administradores de Google Workspace pueden controlar el acceso a las aplicaciones conectadas mediante listas de entidades permitidas. Obtén más información sobre las prácticas recomendadas para administrar un ecosistema empresarial de OAuth. Puedes encontrar más información sobre los requisitos de la evaluación para obtener (o conservar) acceso a los permisos restringidos en las Preguntas frecuentes sobre la verificación de aplicaciones de OAuth.

Acceso y uso adecuados de las APIs de Gmail de Google

Las solicitudes para acceder a los datos del usuario deben ser claras y comprensibles. Las APIs de Google Workspace solo se pueden usar de acuerdo con las políticas, los términos y condiciones aplicables, y para los casos de uso aprobados que se establecen en esta Política. Esto significa que solo puedes solicitar acceso a los permisos cuando tu aplicación o servicio cumple con uno de los casos de uso aprobados. Solo solicita acceso a las APIs de Workspace cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

Los casos de uso aprobados para acceder a los permisos de los permisos de la API de Gmail son los siguientes:

Clientes de correo electrónico web y integrados que permiten a los usuarios redactar, enviar, leer y procesar correos electrónicos a través de una interfaz de usuario.
Aplicaciones que crean copias de seguridad automáticas del correo electrónico
Aplicaciones que mejoran la experiencia del correo electrónico con fines de productividad (como aplicaciones para administrar relaciones con clientes, retrasar el envío de correos electrónicos o la combinación de correos electrónicos, o proporcionar resúmenes de IA generativa)
Aplicaciones que usan información de correos electrónicos para proporcionar servicios de informes o supervisión en beneficio de los usuarios que mejoran la experiencia de correo electrónico (como las aplicaciones que automatizan itinerarios de viaje o rastrean vuelos o estados de entrega de paquetes)

Los siguientes tipos de aplicación son ejemplos de apps que no están aprobadas para acceder a los permisos de la API de Gmail. A continuación, se incluyen algunos ejemplos de estos casos:

Teclados móviles:
Aplicaciones que exportan correos electrónicos por única vez o de forma manual.
Aplicaciones que almacenan o crean copias de seguridad de datos que no son de mensajes de correo electrónico en Gmail.
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Gmail, eludir los filtros y el spam, o alterar restricciones de alguna otra manera
Aplicaciones que distribuyen spam o correos comerciales no solicitados. Por ejemplo, las aplicaciones que envían correos comerciales masivos, como la administración de relaciones con clientes, se aprueban siempre que el usuario dé su consentimiento para recibir correos electrónicos.

Acceso y uso adecuados de las APIs de Google Drive

Solo solicita acceso a las APIs de Google Drive cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

Estos son los casos de uso aprobados para acceder a los permisos de los permisos de la API de Google Drive:

Apps web y integradas que proporcionan sincronización local o copia de seguridad automática de los archivos de Drive de los usuarios
Aplicaciones educativas y de productividad (por ejemplo, administración de tareas, toma de notas, comunicaciones de grupos de trabajo y aplicaciones de colaboración en el aula) que solo usan permisos restringidos para manejar archivos de Drive (o sus metadatos o permisos) mediante la interfaz de usuario de la aplicación.
Aplicaciones de seguridad y informes que proporcionan estadísticas de los usuarios o clientes sobre cómo se comparten los archivos o cómo se accede a ellos.

La API de Google Drive no está permitida para ciertos casos de uso, entre los que se incluyen los siguientes:

Copia de seguridad del contenido de usuarios o apps desde una app o proyecto de un desarrollador en Drive
Minería de criptomonedas
Distribución amplia de videos o difusión de contenido protegido por derechos de autor sin autorización
Usar Drive como reemplazo de una red de distribución de contenidos (CDN) a gran escala
Herramientas de clonación de archivos que permiten la fragmentación del almacenamiento del usuario o la elusión de los límites de almacenamiento de Drive.
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Google Drive o subvertir de alguna otra manera las restricciones
Aplicaciones que distribuyen spam o mensajes comerciales no solicitados Por ejemplo, las aplicaciones que envían mensajes comerciales masivos, como la administración de relaciones con clientes, se aprueban siempre que el usuario dé su consentimiento para recibir mensajes.

Acceso y uso adecuados de las APIs de Google Chat

Solo solicita acceso a las APIs de Google Chat cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

Estos son los casos de uso aprobados para acceder a los permisos de los permisos de la API de Google Chat:

Apps web y integradas que permiten a los usuarios redactar, enviar, leer y procesar mensajes de Chat o comunicaciones similares a través de una interfaz de usuario.
Aplicaciones que mejoran la experiencia de Chat con fines de productividad (por ejemplo, una app de Google Chat para administrar tareas que te permite asignar tareas a otros miembros del espacio)
Aplicaciones que usan información de los mensajes de Chat para proporcionar servicios de informes o supervisión en beneficio de los usuarios (por ejemplo, una app que les notifica a los usuarios que un colega está fuera de la oficina)
Aplicaciones que importan mensajes, membresías, grupos o cualquier otra funcionalidad similar de Google Chat
Aplicaciones que intercambian y usan los datos obtenidos a través de las APIs de Google Chat para interoperar con otros productos, servicios o funciones de mensajería

La API de Google Chat no está permitida para ciertos casos de uso, entre los que se incluyen los siguientes:

Usar Chat como reemplazo de una red de distribución de contenidos (CDN) a gran escala
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Google Chat o alterar de alguna otra forma las restricciones
Aplicaciones que distribuyen spam o mensajes comerciales no solicitados Por ejemplo, las aplicaciones que envían mensajes comerciales masivos, como la administración de relaciones con clientes, se aprueban siempre que el usuario dé su consentimiento para recibir mensajes.

Cómo solicitar los permisos relevantes mínimos

Solo puedes solicitar acceso a permisos que sean fundamentales para implementar la funcionalidad de tu aplicación o servicio. Esto significa lo siguiente:

No solicites acceso a información que no necesites. Solo solicita acceso a los permisos necesarios para implementar las funciones o los servicios de tu aplicación. Si tu aplicación no requiere acceso a permisos específicos, no debes solicitar acceso a estos permisos. No solicites acceso "futuro" a datos del usuario mediante la solicitud de acceso a información que pueda beneficiar servicios o funciones que aún no se implementaron.

Solicita permisos en contexto cuando sea posible. Solo solicita acceso a los datos del usuario en contexto (mediante la autenticación incremental) siempre que puedas, para que los usuarios comprendan por qué necesitas los datos.

Aviso y control precisos y transparentes

Debes tener una política de privacidad que indique cómo tu aplicación o servicio web recopila, usa y comparte los datos del usuario.

Las aplicaciones y los servicios también deben solicitar acceso a los datos del usuario en contexto (a través de la autenticación incremental), en la que necesitas los datos y cómo se usarán. Además de los requisitos según la ley aplicable, también debes cumplir con los siguientes, que reflejan nuestras políticas de OAuth 2.0 y de los Datos del Usuario de los Servicios de la API de Google:

Debes proporcionar una divulgación sobre el acceso, la recopilación y el uso de los datos, así como con quién se comparten. La divulgación debe cumplir con lo siguiente:
1. Debe representar con precisión la identidad de la aplicación o el servicio que busca acceso a los datos del usuario.
2. Debe estar dentro de la aplicación si está basada en la aplicación o en una ventana de diálogo separada si está basada en la Web.
3. Se debe mostrar durante el uso normal de la aplicación si se basa en la aplicación o en un sitio web y no debe requerir que el usuario navegue a un menú o una configuración.
4. Debe proporcionar información clara y precisa que explique los tipos de datos a los que se accede, que se solicitan o que se recopilan.
5. Se debe explicar cómo se usarán o compartirán los datos: si solicitas datos por un motivo, pero los datos también se usarán para un propósito secundario, debes notificar a los usuarios sobre ambos casos de uso.
6. No se puede colocar únicamente en la política de privacidad o en las condiciones del servicio.
7. No se puede incluir con otras divulgaciones que no estén relacionadas con la recopilación de datos personales y sensibles.
La divulgación debe acompañar y preceder inmediatamente a una solicitud de consentimiento del usuario. No debe comenzar la recopilación antes de obtener un consentimiento afirmativo. La solicitud de consentimiento:
1. Debe presentar el cuadro de diálogo de consentimiento de manera clara y sin ambigüedades.
2. Debe exigir acciones afirmativas del usuario (por ejemplo, presionar para aceptar, marcar una casilla de verificación, un comando verbal, etc.) para poder aceptar.
3. No debe interpretarse como consentimiento la acción de salir de la divulgación (lo que incluye presionar los botones de inicio, salir o atrás).
4. No debe usar mensajes que caduquen ni se descarten automáticamente.
Debes proporcionar documentación de ayuda para los usuarios que explique cómo pueden administrar y borrar sus datos de tu app o servicio.

Uso limitado de los datos del usuario

Cuando accedas a las APIs de Workspace para hacer un uso adecuado, el uso que hagas de los datos obtenidos debe cumplir con los siguientes requisitos. Estos requisitos se aplican a los datos derivados de alcances Sensibles y Restringidos.

Limita el uso de datos para proporcionar o mejorar el caso de uso apropiado o las funciones visibles y destacadas en la interfaz de usuario de la aplicación solicitante.
No se permiten las transferencias de datos, excepto las siguientes:
1. Proporcionar o mejorar el caso de uso apropiado o las funciones para el usuario que estén visibles y destacadas en la interfaz de usuario de la aplicación solicitante y solo con su consentimiento
2. Por motivos de seguridad (por ejemplo, investigar casos de abuso)
3. Para cumplir con las leyes o reglamentaciones aplicables
4. Como parte de una fusión, adquisición o venta de activos del desarrollador después de obtener el consentimiento previo explícito del usuario
No permita que seres humanos lean los datos del usuario, a menos que ocurra lo siguiente:
1. Obtuviste y documentaste el consentimiento explícito del usuario para leer datos específicos (por ejemplo, para ayudar a un usuario a volver a acceder al producto o servicio después de perder su contraseña).
2. Los datos (incluidas las derivaciones) se agregan y anonimizan, y se usan para operaciones internas de acuerdo con los requisitos de privacidad aplicables y otros requisitos legales jurisdiccionales.
3. Es necesaria con fines de seguridad (por ejemplo, investigar casos de abuso).
4. Para cumplir con las leyes o reglamentaciones aplicables

Están completamente prohibidas todas las transferencias, los usos o la venta de datos del usuario, incluidos los siguientes:

Transferir o vender datos del usuario a terceros, como plataformas publicitarias, agentes de datos o cualquier revendedor de información
Transferir, vender o usar datos del usuario para publicar anuncios, lo que incluye la resegmentación y la publicidad personalizada o basada en intereses
Transferir, vender o usar datos del usuario para determinar el valor crediticio o con fines de préstamos
Transferir, vender o usar datos del usuario para crear, entrenar o mejorar un modelo de aprendizaje automático o inteligencia artificial más allá del modelo personalizado de ese usuario específico para el caso de uso o la función para el usuario apropiados

Se debe divulgar una declaración afirmativa o similar de que tu uso de los datos cumple con las restricciones de Uso Limitado debe divulgarse en tu aplicación o en un sitio web que pertenezca a tu servicio web o aplicación; por ejemplo, un vínculo en una página principal a una página dedicada o política de privacidad que indique lo siguiente: “El uso de la información recibida de las APIs de Workspace cumplirá con los requisitos de la Política de Datos del Usuario Limitado de Google, incluida la Política de Uso Limitado de los Datos del Usuario de Google, incluida la con respecto al uso compartido de datos limitado.

Mantén un entorno operativo seguro

Trata todos los datos del usuario de forma segura en tránsito y en reposo. Toma medidas razonables y adecuadas para proteger todas las aplicaciones o sistemas que hacen uso de las APIs de Workspace y cualquier dato derivado de ellas contra el acceso, el uso, la destrucción, la pérdida, la alteración o la divulgación no autorizadas o ilegales.

Las aplicaciones con acceso a permisos restringidos deben demostrar que cumplen con ciertas prácticas de seguridad.

Las prácticas de seguridad recomendadas incluyen implementar y mantener un sistema de administración de la seguridad de la información como se describe en el estándar ISO/IEC 27001 y garantizar que tu aplicación o servicio web sea sólido y no tenga problemas de seguridad comunes, como se indica en las OWASP Top 10.

Entre las medidas de seguridad obligatorias, se incluyen las siguientes:

Usar un estándar de encriptación aceptado en la industria para encriptar datos del usuario que cumple con las siguientes condiciones:
1. Almacenados en dispositivos portátiles o medios electrónicos portátiles
2. Se mantienen fuera de Google o sus sistemas.
3. Se transfieran a través de cualquier red externa que no administres exclusivamente tú.
4. En reposo en tus sistemas
Transmitir datos mediante protocolos modernos y seguros (por ejemplo, a través de HTTPS)
Mantener los datos y las credenciales del usuario, en especial los tokens, como el acceso de OAuth y los tokens de actualización, encriptados en reposo.
Garantizar que las claves y el material de las claves se administren de forma adecuada, por ejemplo, se almacenen en un módulo de seguridad de hardware o en un sistema de administración de claves de seguridad equivalente

Las medidas de seguridad requeridas para los permisos restringidos también incluyen seguir la Evaluación de seguridad para aplicaciones de Cloud (CASA). Además, según la API a la que se acceda y la cantidad de usuarios o otorgamientos de usuarios, es posible que también le solicitemos que su aplicación o servicio se someta a una evaluación de seguridad periódica y que obtenga una Carta de Evaluación de un tercero designado por Google.

Acepta notificar sin demora a Google a la dirección security@google.com sobre cualquier acceso no autorizado conocido o presunto a los sistemas, las redes, las cuentas o cualquier otra ubicación donde se almacenen los Datos de Google ("Incidente de Seguridad"). Aceptas cooperar completamente con Google para corregir cualquier Incidente de Seguridad conocido o sospechado, y en cualquier caso, notificar a Google a security@google.com antes de hacer cualquier declaración pública sobre cualquier Incidente de Seguridad conocido o sospechoso.

Permisos restringidos

Los permisos restringidos de Workspace incluyen los siguientes:

Cualquier alcance de la API de Gmail que permita que una aplicación realice lo siguiente:
1. Leer, crear o modificar los cuerpos del mensaje (incluidos los archivos adjuntos), los metadatos o los encabezados
2. Controla el acceso al buzón de correo, el reenvío de correo electrónico o la configuración del administrador.
Cualquier alcance de la API de Google Drive que permita a una aplicación hacer lo siguiente:
1. Leer, modificar o administrar el contenido o los metadatos de los archivos de Drive de un usuario, sin que el usuario otorgue acceso archivo por archivo
Cualquier alcance de la API de Google Chat que permita que una aplicación realice lo siguiente:
1. Leer, modificar o administrar el contenido o los metadatos de los mensajes de Chat de un usuario

Para obtener más información, consulta la lista de permisos restringidos.