Se usó la API de Cloud Translation para traducir esta página.

Política para Desarrolladores y datos del usuario de la API de Workspace

Como desarrollador que usa las APIs de Google Workspace, a menudo recopilas y administras datos sensibles del usuario. Ten en cuenta estos principios clave:

Protege la privacidad: No uses los datos de los usuarios de Workspace para usos prohibidos. Prohibimos que los terceros vendan datos del usuario o los utilicen con fines publicitarios.
Sé transparente: Representa y explica con precisión a los usuarios qué datos recopilarás, por qué lo harás y cómo los usarás.
Sé respetuoso: Cumple con las solicitudes de los usuarios para borrar sus datos.
Seguridad: Maneja todos los datos del usuario de forma segura y demuestra que cumples con ciertas prácticas de seguridad.
Sé específico: No solicites acceso a datos que no necesites. Todo acceso a los datos debe ser solo para proporcionar las funciones beneficiosas para el usuario de tu aplicación o servicio.

Política de Datos del Usuario de los Servicios de las APIs de Workspace

La Política de Datos del Usuario de los Servicios de la API de Google rige el uso de todos los Servicios de la API de Google cuando tú, como desarrollador, solicitas acceso a los datos del usuario. Esta Política para Desarrolladores y de Datos del Usuario de los Servicios de la API de Workspace contiene información adicional que rige el uso y el acceso a las APIs de Workspace, incluidos Gmail, Chat, Drive, Hojas de cálculo y otros productos de Google Workspace, cuando solicitas acceso a los datos del usuario.

Además de la política que se indica a continuación, las Condiciones del Servicio de las APIs de Google, la Política de Uso Aceptable de Google Chat, la Guía para Desarrolladores de Google Chat, las Condiciones del Servicio de la API de Google Drive, las Políticas del Programa de Google Drive, la Guía para Desarrolladores de Google Drive, las Políticas del Programa de Gmail, la Guía para Desarrolladores de Gmail, la Política de Uso Aceptable de Google Meet, las Condiciones del Servicio de Google Apps Script y las Políticas de OAuth 2.0 también rigen el uso y el acceso a las APIs de Workspace y los datos del usuario asociados. Tu uso también puede estar regido por el Acuerdo para Desarrolladores de Google Workspace Marketplace. También exigimos que satisfagas todas las leyes y reglamentaciones aplicables.

Revisa estas políticas de forma periódica, ya que se actualizan ocasionalmente. Es tu responsabilidad supervisar y garantizar el cumplimiento de estas políticas de forma periódica. Si, en algún momento, no cumples con los requisitos de nuestras políticas (o si existe un riesgo significativo de que no puedas cumplirlos), deja de usar nuestros servicios de inmediato y comunícate con nosotros. Nos reservamos el derecho de quitar o restringir el acceso a los datos de los usuarios de Google si no cumples con esta política.

Nota: Algunos permisos de la API de OAuth de Google (los "permisos restringidos") están sujetos a requisitos adicionales, como se describe en este instructivo. También hay excepciones al proceso de verificación que te recomendamos que revises. Si una app solo la usan los usuarios de tu organización, no se aplican estos requisitos adicionales. Además, los administradores de Google Workspace pueden controlar el acceso a las aplicaciones conectadas a través de la lista de entidades permitidas. Obtén más información sobre las prácticas recomendadas para administrar un ecosistema de OAuth empresarial. En las Preguntas frecuentes sobre la verificación de aplicaciones de OAuth, encontrarás más información sobre los requisitos de evaluación para obtener (o mantener) el acceso a los permisos restringidos.

Acceso y uso adecuados de las APIs de Gmail de Google

Las solicitudes para acceder a los datos del usuario deben ser claras y comprensibles. Las APIs de Google Workspace solo se pueden usar de acuerdo con las políticas, los términos y las condiciones aplicables, y para los casos de uso aprobados según se establece en esta Política. Esto significa que solo puedes solicitar acceso a los permisos cuando tu aplicación o servicio cumpla con uno de los casos de uso aprobados. Solo solicita acceso a las APIs de Workspace cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

A continuación, se indican los casos de uso aprobados para acceder a los permisos de los alcances de la API de Gmail:

Clientes de correo electrónico integrados y web que permiten a los usuarios redactar, enviar, leer y procesar correos electrónicos a través de una interfaz de usuario.
Aplicaciones que realizan copias de seguridad automáticas de correos electrónicos
Aplicaciones que mejoran la experiencia de correo electrónico con fines de productividad (como aplicaciones para la administración de relaciones con clientes, el envío retrasado de correos electrónicos o la combinación de correspondencia, o que proporcionan resúmenes de IA generativa)
Aplicaciones que usan información de correos electrónicos para proporcionar servicios de informes o supervisión en beneficio de los usuarios que mejoran la experiencia de correo electrónico (como las aplicaciones que automatizan itinerarios de viaje o hacen un seguimiento de los vuelos o los estados de entrega de paquetes)

Los permisos de la API de Gmail no se permiten para ciertos casos de uso. Estos son algunos ejemplos:

Teclados para dispositivos móviles
Aplicaciones que exportan correos electrónicos de forma manual o única
Aplicaciones que almacenan datos o realizan copias de seguridad de datos que no son mensajes de correo electrónico en Gmail
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Gmail, evadir los filtros y el spam, o subvertir de alguna otra forma las restricciones de seguridad o abuso
Aplicaciones que distribuyen spam o correo electrónico comercial no solicitado Por ejemplo, las aplicaciones que envían correo comercial masivo, como las de administración de relaciones con los clientes, se aprueban siempre y cuando el usuario haya dado su consentimiento para recibir correos electrónicos.

Acceso y uso adecuados de las APIs de Google Drive

Solo solicita acceso a las APIs de Google Drive cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

A continuación, se indican los casos de uso aprobados para acceder a los permisos de los permisos de acceso de la API de Google Drive:

Apps integradas y web que proporcionan sincronización local o copia de seguridad automática de los archivos de Drive de los usuarios
Aplicaciones educativas y de productividad (por ejemplo, aplicaciones de administración de tareas, toma de notas, comunicaciones de grupos de trabajo y colaboración en el aula) que solo usan alcances restringidos para controlar archivos de Drive (o sus metadatos o permisos) a través de la interfaz de usuario de la aplicación.
Aplicaciones de informes y seguridad que proporcionan estadísticas sobre los usuarios o clientes en relación con la forma en que se comparten o se accede a los archivos

La API de Google Drive no se permite para ciertos casos de uso. Estos son algunos ejemplos:

Copia de seguridad del contenido del usuario o de la app desde la app o el proyecto de un desarrollador a Drive.
Minería de criptomonedas
Distribución amplia de videos o difusión de contenido protegido por derechos de autor sin autorización
Usar Drive como reemplazo de una red de distribución de contenido (CDN) a gran escala
Herramientas de clonación de archivos que permiten la fragmentación del almacenamiento del usuario o la elusión de los límites de almacenamiento de Drive
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Google Drive o subvertir de alguna otra forma las restricciones de seguridad o abuso
Aplicaciones que distribuyen spam o mensajes comerciales no solicitados Por ejemplo, las aplicaciones que envían mensajes comerciales masivos, como las de administración de relaciones con los clientes, se aprueban siempre y cuando el usuario haya dado su consentimiento para recibir mensajes.

Acceso y uso adecuados de las APIs de Google Chat

Solo solicita acceso a las APIs de Google Chat cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

A continuación, se indican los casos de uso aprobados para acceder a los permisos de los alcances de la API de Google Chat:

Apps integradas y web que permiten a los usuarios redactar, enviar, leer y procesar mensajes de chat o comunicaciones similares a través de una interfaz de usuario
Aplicaciones que mejoran la experiencia de Chat con fines de productividad (por ejemplo, una app de Google Chat para la administración de tareas que te permite asignar tareas a otros miembros del espacio).
Aplicaciones que usan información de los mensajes de Chat para proporcionar servicios de informes o supervisión en beneficio de los usuarios (por ejemplo, una app que notifica a los usuarios que un compañero está fuera de la oficina).
Aplicaciones que importan mensajes, membresías, grupos o alguna otra funcionalidad similar de Google Chat
Son aplicaciones que intercambian y utilizan datos obtenidos a través de las APIs de Google Chat para interoperar con otros productos, servicios o funciones de mensajería.

La API de Google Chat no se permite para ciertos casos de uso. Estos son algunos ejemplos:

Usar Chat como reemplazo de una red de distribución de contenido (CDN) a gran escala
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Google Chat o subvertir de alguna otra manera las restricciones de seguridad o abuso
Aplicaciones que distribuyen spam o mensajes comerciales no solicitados Por ejemplo, las aplicaciones que envían mensajes comerciales masivos, como las de administración de relaciones con los clientes, se aprueban siempre y cuando el usuario haya dado su consentimiento para recibir mensajes.

Acceso y uso adecuados de las APIs de Google Meet

Solo solicita acceso a las APIs de Google Meet cuando tu aplicación o servicio cumpla con uno de nuestros casos de uso aprobados.

A continuación, se indican los casos de uso aprobados para acceder a los permisos de los alcances de la API de Google Meet:

Apps web y sitios web integrados que permiten el procesamiento, la transmisión o el almacenamiento en tiempo real de audio y video de los participantes en la reunión a través de una interfaz de usuario para el beneficio de los usuarios.
Aplicaciones que mejoran la experiencia de Meet con fines de productividad (por ejemplo, una app de grabación de pantalla que te permite compartir imágenes en el espacio).
Aplicaciones que usan información de Google Meet para proporcionar servicios de informes o supervisión en beneficio de los usuarios (por ejemplo, una app que proporciona estadísticas de reuniones o de oradores)
Aplicaciones que intercambian y utilizan datos obtenidos a través de las APIs de Google Meet para interoperar con otros productos, servicios o funciones de video.

Las APIs de Google Meet no se permiten para ciertos casos de uso. Estos son algunos ejemplos:

Aplicaciones que supervisan o distribuyen datos, contenido o metadatos de usuarios de Google Meet sin autorización legal o sin consentimiento
Distribución masiva de videos o difusión de material ilegal o contenido protegido por derechos de autor sin autorización
Aplicaciones que usan varias cuentas para abusar de las políticas de Google, eludir las limitaciones de las cuentas de Meet, evadir los filtros y el spam, o subvertir de alguna otra forma las restricciones de abuso o seguridad (por ejemplo, almacenar o distribuir alteraciones digitales de personas con fines maliciosos, o usar la API para tergiversar o desinformar a los usuarios).

Solicita los permisos pertinentes mínimos

Solo puedes solicitar acceso a permisos que sean fundamentales para implementar la funcionalidad de tu aplicación o servicio. Esto significa lo siguiente:

No solicites acceso a información que no necesites. Solicita acceso únicamente a los permisos que se necesitan para implementar los servicios o funciones de tu aplicación. Si tu aplicación no requiere acceso a permisos específicos, no debes solicitar acceso a ellos. No intentes "preparar para el futuro" tu acceso a los datos del usuario solicitando acceso a información que podría beneficiar servicios o funciones que aún no se implementaron.

Solicita permisos en contexto siempre que sea posible. Siempre que puedas, solicita acceso a los datos del usuario solo en contexto (a través de la autenticación incremental), de modo que los usuarios comprendan por qué necesitas los datos.

Control y aviso precisos y transparentes

Debes tener una política de privacidad que divulgue cómo tu aplicación o servicio web recopila, usa y comparte los datos del usuario.

Las aplicaciones y los servicios también deben solicitar acceso a los datos del usuario en contexto (a través de la autenticación incremental) cuando necesiten los datos y explicar cómo se usarán. Además de los requisitos de la ley aplicable, también debes cumplir con los siguientes requisitos, que reflejan nuestras políticas de OAuth 2.0 y de Datos del Usuario de los Servicios de las APIs de Google:

Debes proporcionar una divulgación sobre el acceso, la recopilación y el uso de los datos, así como con quién se comparten. La divulgación debe cumplir con lo siguiente:
1. Debe representar con precisión la identidad de la aplicación o el servicio que busca acceder a los datos del usuario.
2. Debe estar dentro de la aplicación si se basa en una aplicación o en una ventana de diálogo separada si se basa en la Web.
3. Se debe mostrar durante el uso normal de la aplicación (si es basada en aplicaciones) o del sitio web (si es basado en la Web) sin que el usuario tenga que ir al menú o la configuración.
4. Debe proporcionar información clara y precisa que explique los tipos de datos a los que se accede y que se solicitan o recopilan.
5. Debe explicar cómo se usarán o compartirán los datos: Si solicita datos por un motivo, pero estos también se usarán para un propósito secundario, debe notificar a los usuarios sobre ambos casos de uso.
6. No se puede colocar únicamente en la política de privacidad o en las condiciones del servicio.
7. No se puede incluir con otras divulgaciones que no estén relacionadas con la recopilación de datos personales y sensibles.
La divulgación debe acompañar y preceder inmediatamente a una solicitud de consentimiento del usuario. No debes comenzar la recopilación antes de obtener el consentimiento afirmativo. La solicitud de consentimiento debe cumplir con lo siguiente:
1. Debe presentar el cuadro de diálogo de consentimiento de manera clara y sin ambigüedades.
2. Debe exigir acciones afirmativas del usuario (por ejemplo, presionar para aceptar, marcar una casilla de verificación, un comando verbal, etc.) para aceptar.
3. No debe interpretar como consentimiento la acción de salir de la divulgación (que incluye presionar los botones de inicio, salir o atrás).
4. No debe usar mensajes que caduquen o se descarten automáticamente.
Debes proporcionar documentación de ayuda para los usuarios que explique cómo pueden administrar y borrar sus datos de tu app o servicio.

Uso limitado de los datos del usuario

Cuando accedas a las APIs de Workspace para un uso adecuado, tu uso de los datos obtenidos debe cumplir con los requisitos que se indican a continuación. Estos requisitos se aplican a los datos derivados de los permisos Sensitive y Restricted.

Limita tu uso de datos a proporcionar o mejorar tu caso de uso adecuado o las funciones que están visibles y destacadas en la interfaz de usuario de la aplicación que realiza la solicitud.
No se permiten las transferencias de datos, excepto en los siguientes casos:
1. Para proporcionar o mejorar el caso de uso adecuado o las funciones orientadas al usuario que están visibles y destacadas en la interfaz de usuario de la aplicación que realiza la solicitud, solo con el consentimiento del usuario
2. Con fines de seguridad (por ejemplo, investigar casos de abuso)
3. Para satisfacer las leyes o reglamentaciones aplicables
4. Como parte de una fusión, adquisición o venta de activos del desarrollador después de obtener el consentimiento explícito previo del usuario
No permita que seres humanos lean los datos del usuario, a excepción de los siguientes casos:
1. Obtuviste y documentaste el consentimiento explícito del usuario para leer datos específicos (por ejemplo, ayudar a un usuario a volver a acceder al producto o a un servicio después de haber perdido su contraseña).
2. Los datos (incluidas las derivaciones) se agregan y anonimizan, y se usan para operaciones internas de acuerdo con los requisitos de privacidad aplicables y otros requisitos legales jurisdiccionales.
3. Es necesario con fines de seguridad (por ejemplo, investigar casos de abuso). O
4. Para satisfacer las leyes o reglamentaciones aplicables

Está completamente prohibido cualquier otro uso, transferencia o venta de datos del usuario, lo que incluye:

Transferir o vender datos del usuario a terceros, como plataformas publicitarias, agentes de datos o cualquier revendedor de información
Transferir, vender o usar datos de los usuarios para publicar anuncios, lo que incluye la publicidad de retargeting, personalizada o basada en intereses
Transferir, vender o usar datos de los usuarios para determinar la solvencia crediticia o con fines de préstamos
Transferir, vender o usar datos del usuario para crear, entrenar o mejorar un modelo de aprendizaje automático o inteligencia artificial más allá del modelo personalizado de ese usuario específico para el caso de uso adecuado o la función orientada al usuario

En tu aplicación o en un sitio web que pertenezca a tu servicio web o aplicación, debes divulgar una declaración afirmativa o similar que indique que tu uso de los datos cumple con las restricciones de Uso Limitado. Por ejemplo, puedes incluir un vínculo en la página principal a una página dedicada o a una política de privacidad que indique lo siguiente: "El uso de la información recibida de las APIs de Workspace se realizará de conformidad con la Política de Datos del Usuario de Google, incluidos los requisitos de Uso Limitado".

Mantén un entorno operativo seguro

Trata todos los datos del usuario de forma segura en tránsito y en reposo. Tome medidas razonables y adecuadas para proteger todas las aplicaciones o sistemas que usen las APIs de Workspace y los datos derivados de ellas contra el acceso, el uso, la destrucción, la pérdida, la alteración o la divulgación que no estén autorizados o no sean legales.

Las aplicaciones que acceden a alcances restringidos deben demostrar que cumplen con ciertas prácticas de seguridad.

Las prácticas de seguridad recomendadas incluyen implementar y mantener un Sistema de Administración de la Seguridad de la Información según se describe en el estándar ISO/IEC 27001 y garantizar que la aplicación o el servicio web sea robusto y no tenga problemas de seguridad comunes según se describe en el documento de OWASP Top 10.

Las medidas de seguridad obligatorias incluyen lo siguiente:

Usar un estándar de encriptación aceptado por la industria para encriptar los datos del usuario que se encuentran en las siguientes situaciones:
1. Almacenados en dispositivos portátiles o medios electrónicos portátiles
2. Se mantiene fuera de los sistemas de Google o de los tuyos.
3. Se transfieren a través de cualquier red externa que no administres exclusivamente.
4. En reposo en tus sistemas
Transmitir datos con protocolos modernos seguros (por ejemplo, a través de HTTPS)
Mantener encriptados en reposo los datos y las credenciales del usuario, específicamente los tokens como los tokens de acceso y actualización de OAuth
Garantizar que las claves y el material de las claves se administren de forma adecuada, por ejemplo, que se almacenen en un módulo de seguridad de hardware o en un sistema de administración de claves de potencia equivalente

Las medidas de seguridad obligatorias para los permisos restringidos también incluyen la Evaluación de seguridad para aplicaciones en la nube (CASA). Además, según la API a la que se acceda y la cantidad de usuarios o permisos que se deban otorgar, es posible que también exijamos que tu aplicación o servicio se someta a una evaluación periódica de seguridad y obtenga una Carta de Evaluación de un tercero designado por Google.

Aceptas notificar a Google de inmediato a security@google.com sobre cualquier acceso no autorizado conocido o sospechado a los sistemas, las redes, las cuentas o cualquier otra ubicación en la que se almacenen los Datos de Google ("Incidente de Seguridad"). Usted acepta cooperar plenamente con Google para corregir cualquier Incidente de Seguridad conocido o sospechado y, en tal caso, notificar a Google a security@google.com antes de hacer cualquier declaración pública sobre cualquier Incidente de Seguridad conocido o sospechado.

Permisos restringidos

Los permisos restringidos de Workspace incluyen lo siguiente:

Cualquier permiso de la API de Gmail que permita a una aplicación hacer lo siguiente:
1. Leer, crear o modificar cuerpos de mensajes (incluidos los archivos adjuntos), metadatos o encabezados
2. Controlar el acceso al buzón, el reenvío de correos electrónicos o la configuración del administrador
Cualquier alcance de la API de Google Drive que permita a una aplicación hacer lo siguiente:
1. Leer, modificar o administrar el contenido o los metadatos de los archivos de Drive de un usuario sin que este otorgue acceso archivo por archivo de forma individual
Cualquier alcance de la API de Google Chat que permita a una aplicación hacer lo siguiente:
1. Leer, modificar o administrar el contenido o los metadatos de los mensajes de Chat de un usuario
Cualquier alcance de la API de Google Meet que permita a una aplicación hacer lo siguiente:
1. Leer, modificar o administrar el procesamiento en tiempo real de audio y video de los participantes de la reunión

Para obtener más detalles, consulta la lista de permisos restringidos.