Blog

Manifiestos de privacidad de iOS 17 anunciados en la WWDC 2023: así funcionan y cuándo serán necesarios

Por John Koetsier 7 de junio de 2023

Apple anunció nuevos manifiestos de privacidad para SDKs así como apps hoy en WWDC 2023. Es’s un movimiento que tendrá enormes implicaciones de privacidad así como enormes implicaciones en el desarrollo, publicación y marketing de apps.

Voy a profundizar en qué son, cómo funcionan y qué requerirán de los editores de aplicaciones y los desarrolladores de SDK.

En pocas palabras:

  • Todos tendrán que declarar qué hacen sus aplicaciones y SDK
  • Con ciertos SDK que afectan la privacidad particularmente sensibles, deberá indicar por qué los está utilizando
  • Tendrás que indicar si tu aplicación utiliza datos para seguimiento
  • Independientemente de si su aplicación realiza seguimiento o no, deberá seleccionar las categorías de datos que está recopilando
  • Apple bloqueará las solicitudes de red a dominios de seguimiento si los usuarios no han otorgado permiso a través de Transparencia de Seguimiento de Aplicaciones

Hay muchos matices y detalles en torno a todas estas cosas, así que sigue leyendo para obtener más detalles y explicaciones..

Nuevos requisitos de Apple: la privacidad se manifiesta

Todos, tanto los desarrolladores de aplicaciones como los creadores de SDK, tendrán que crear manifiestos de privacidad que Apple agregará en el momento de la publicación de la aplicación.

De Apple’s declaración sobre los manifiestos de privacidad:

Presentamos nuevos manifiestos de privacidad: archivos que describen las prácticas de privacidad del código de terceros en una aplicación, en un único formato estándar. Cuando los desarrolladores se preparan para distribuir su aplicación, Xcode combinará los manifiestos de privacidad de todos los SDK de terceros que utilizan en un único informe fácil de usar

Apple exige esto a los desarrolladores de SDK porque quienes incorporan SDK de terceros probablemente desconozcan todo el código y los usos de dichos SDK. Los manifiestos de privacidad ayudarán a los desarrolladores de aplicaciones a comprender las implicaciones de incluir cada SDK y les proporcionarán la información necesaria para crear la etiqueta de información nutricional de privacidad específica de su aplicación.

Todos deben declarar los motivos para el uso de la API

Si está utilizando API que recopilan información que podría usarse para tomar huellas digitales, tendrá que declarar por qué la necesita.

Si tu aplicación de linterna es pequeña y, por alguna razón, necesita espacio libre en disco, prepárate para ser muy creativo. (O sea: ¡mucha suerte! Perderás el acceso a esa API en algún momento durante el proceso de envío de la aplicación a la App Store, y con razón)

Vía Apple:

“Las aplicaciones que hacen referencia a API que podrían usarse para tomar huellas digitales (una práctica prohibida en la App Store) ahora deberán seleccionar un motivo permitido para el uso de la API y declarar dicho uso en el manifiesto de privacidad”

Hay muchas razones perfectamente inocuas para conocer el tipo de dispositivo, la versión del sistema operativo, el tamaño de la pantalla u otra información potencialmente peligrosa para la privacidad. Simplemente asegúrate de usar lo que dices usar, y de usarlo exactamente como dices.

Apple denunciará y denunciará a los SDK que consumen muchos datos

Para darle más fuerza a estos nuevos requisitos, Apple afirma que publicará una lista de SDK que afectan la privacidad en algún momento de 2023. Si bien la declaración pública indica que Apple nombrará nombres, tras bastidores no está 100% claro que la lista estará compuesta por SDK específicos o categorías de SDK.

Por ahora, cuente con lo primero.

Desde Apple:

Publicaremos información adicional más adelante este año, que incluye:

  • Una lista de SDK que afectan la privacidad (SDK de terceros que tienen un impacto particularmente alto en la privacidad del usuario)
  • Una lista de API de “razón obligatoria” para las que se debe declarar una razón permitida
  • Un formulario de comentarios para desarrolladores para sugerir nuevos motivos para llamar a las API cubiertas
  • Documentación adicional sobre los beneficios y detalles de las firmas, los manifiestos de privacidad y cuándo serán necesarios”

La lista de APIs con motivos obligatorios será muy informativa, ya que incluirá no solo las API que Apple considera sensibles a la privacidad en general, sino también las que cree que podrían usarse para el registro de huellas dactilares. Si usas una API con motivos obligatorios, pero para un propósito que no sea el seguimiento ni sugerido por Apple, tenemos buenas noticias: podrás enviar comentarios sobre nuevos motivos para agregar.

Los nuevos procesos centrados en la privacidad se están convirtiendo en parte del proceso de envío de aplicaciones 

Con los manifiestos de privacidad, habrá algunos pasos nuevos en el proceso de envío a la App Store.

1. Primero, necesitarás hacer un manifiesto de privacidad

Deberás declarar si tu aplicación (o los SDK de terceros que utiliza) utiliza datos para el seguimiento, según lo definido por el marco de transparencia del seguimiento de aplicaciones. En ese caso, deberás establecer NSPrivacyTracking como "true".

Como recordatorio, Apple define el seguimiento como la vinculación de los datos que usted recopila con otros datos de usuarios o dispositivos recopilados por otras empresas.

Aquí está la definición:

El seguimiento se refiere al acto de vincular los datos del usuario o dispositivo recopilados desde su aplicación con los datos del usuario o dispositivo recopilados desde aplicaciones, sitios web o plataformas offline de otras empresas para fines de publicidad dirigida o medición de publicidad. El seguimiento también se refiere a compartir datos del usuario o dispositivo con intermediarios de datos

Apple proporciona los siguientes ejemplos de seguimiento:

  • Segmentación de anuncios según el comportamiento
  • Compartir ubicación o correo electrónico con un corredor de datos
  • Crear y compartir audiencias
  • Generación de gráficos de dispositivos

Y Apple ofrece algunos ejemplos de recopilación de datos que no se consideran seguimiento:

  • Los datos permanecen en el dispositivo
  • Datos utilizados únicamente para detección de fraude/seguridad
  • Datos utilizados para la puntuación crediticia

Es de suponer que existen muchos más tipos de recopilación de datos que no se definen como seguimiento, siempre y cuando no vincule los datos que su aplicación o SDK recopilan con datos de otras empresas, o venda sus datos a corredores de datos.

2. Si realizas seguimiento, tendrás que incluir los datos que recopilas en tu manifiesto de privacidad

Esto comienza enumerando los dominios a los que envías datos mediante la matriz NSPrivacyTrackingDomains. Esta es simplemente una lista de URL a las que se conectan tu aplicación o tus SDK y que facilitan el seguimiento.

Aquí hay un punto importante:

Si te conectas a un dominio de seguimiento, pero tus usuarios no han otorgado permiso para el seguimiento mediante la Transparencia de Seguimiento de Apps, Apple bloqueará cualquier llamada a esas URL. Según Apple: «Si el usuario no ha otorgado permiso de seguimiento mediante la Transparencia de Seguimiento de Apps, las solicitudes de red a estos dominios fallarán y tu app recibirá un error»

Otro punto importante:

Dado que podría recopilar datos de seguimiento y otros que no, asegúrese de que usted o su proveedor de medición tengan diferentes puntos finales para distintos fines. Es decir, skan.vendor.com y tracking.vendor.com. Apple bloqueará los dominios de seguimiento para las apps de la misma forma que bloquea el seguimiento en Safari con ITP (Prevención Inteligente de Seguimiento). Sin embargo, esta ITP para apps, por así decirlo, es lo suficientemente inteligente como para diferenciar entre dominios virtuales.

También tendrás que enumerar los tipos de datos que estás recopilando y tendrás que hacerlo de acuerdo con una taxonomía definida por Apple.

3. Independientemente de si realiza o no un seguimiento según lo definido en ATT, deberá incluir estos datos en el manifiesto de privacidad

Estás declarando qué datos recopilan tu aplicación y cualquier SDK de terceros. También deberás incluir detalles sobre esos datos en tu archivo de información de privacidad mediante la matriz NSPrivacyCollectedDataTypes.

Apple requerirá que incluyas los siguientes detalles:

  • El tipo de datos que estás recopilando
  • Ya sea que esté vinculado a las identidades de sus usuarios 
  • Ya sea que se utilice para realizar el seguimiento por aplicación o por SDK 
  • Y el motivo por el que se recopilan los datos

4. Independientemente de si realiza o no el seguimiento según lo definido en ATT, también deberá informar las categorías de datos que su aplicación y cualquier SDK de terceros están recopilando

Esos datos entrarán en cualquiera de estas categorías definidas por Apple:

  • Información de contacto
  • Datos de salud y fitness
  • Información financiera (tarjeta de crédito)
    • Nota: no cuando lo hace un tercero: “Si su aplicación utiliza un servicio de pago, la información de pago se ingresa fuera de su aplicación y usted, como desarrollador, nunca tiene acceso a la información de pago, no se recopila y no es necesario divulgarla”
  • Datos de ubicación
    • Bien
    • Grueso
  • Información sensible (etnia, discapacidad, etc.)
  • Contactos
    • Libreta de direcciones
  • Contenido del usuario
    • Correos electrónicos
    • Mensajes
    • Fotos
    • Contenido del juego
    • Datos de audio
  • Historial de navegación
  • Historial de búsqueda
  • Identificadores
    • ID de usuario (nombre de pantalla, ID de cuenta, número de cliente)
    • ID de dispositivo
  • Compras
  • Datos de uso
    • Interacción con la aplicación
    • Datos publicitarios (qué anuncios ha visto el usuario)
  • Diagnóstico
  • Otros datos… “cualquier otro tipo de datos no mencionados”
    • Sospecho que esta podría ser una categoría general bastante grande

5. Independientemente de si realiza o no un seguimiento según lo definido en ATT, deberá informar los motivos por los cuales su aplicación y cualquier SDK de terceros recopilan datos

Esas razones podrían incluir:

  • Publicidad de terceros
  • Publicidad de primera mano
  • Personalización de productos
  • Funcionalidad de la aplicación
  • Cualquier otro propósito

6. Finalmente, crearás tu informe de privacidad

O, para ser más precisos, Xcode agregará todos los datos anteriores de las declaraciones de su aplicación y cualquier manifiesto de privacidad en cualquier SDK de terceros al que su aplicación haga referencia y los usará para crear su informe de privacidad completo.

Preguntas frecuentes sobre los manifiestos de privacidad

Los nuevos manifiestos de privacidad de Apple plantean muchas preguntas. A continuación, presentamos lo que creemos saber hasta ahora sobre algunas de las principales, aunque esto, por supuesto, está sujeto a cambios a medida que Apple nos informe oficialmente.

  1. ¿Recibir IDFV cuenta como rastreo?
  2. Si no estás’ rastreando, pero estás usando una API de Razón Requerida, ¿todavía debes declararla en tu manifiesto de privacidad?
  3. ¿Cuáles son las API de razón obligatoria que afectan la privacidad?
    Apple publicará una lista a finales de este año.
  4. ¿Los SDK tendrán su propio proceso de envío, como el de la aplicación?
    No.
  5. ¿Existen API o métodos específicos que Apple considere que siempre afectan la privacidad?
    Apple proporcionará más información más adelante este año.
  6. ¿Debe completar un manifiesto de privacidad para un framework que no accede a ningún dato?
    Se recomienda encarecidamente, sí.
  7. ¿Acaso ATT está cambiando en iOS 17?
    No.
  8. ¿Cambia la gestión de deeplinks y medición de los marketers para sus propios enlaces web a su propia app bajo iOS 17 y los manifiestos de privacidad?
    No
  9. ¿Pueden las aplicaciones gestionar ahora el nivel de interacción de sus SDK?
    En esencia, sí, ya que cualquier tráfico a dominios de seguimiento definidos fallará a menos que los usuarios hayan activado el seguimiento mediante ATT.
  10. ¿Cuándo se implementará todo esto?
    Apple empezará a enviar correos electrónicos informativos este otoño y la aplicación de la normativa comenzará en la primavera de 2024.

Es casi seguro que hay más que aprender y compartir, por lo que mantendremos esto actualizado con cualquier información nueva que escuchemos o ideas que encontremos.

Manténgase al día de los últimos acontecimientos en marketing digital

Simplemente envíanos su correo electrónico y ya está dentro! Prometemos no enviarle spam.