Privacy Manifest de Apple

¿Qué es el Privacy Manifest de Apple?

Apple exige que todas las apps de su App Store cuenten con un Privacy Manifest. Se trata de un archivo que debe añadirse al código de la app y que establece el tipo de datos que recopila y los motivos de esa recopilación. Xcode resume estos archivos en un reporte y, a continuación, la información se analiza y se carga en la sección de información de privacidad de la app en el App Store. 

Puedes consultar aquí la documentación oficial de Apple.

Presentado en la Worldwide Developers’ Conference 2023 de Apple (WWDC23), el Privacy Manifest forma parte de las iniciativas continuas de privacidad de Apple para mejorar la transparencia para el usuario y proteger los datos personales. Garantiza que los desarrolladores informen claramente sobre sus prácticas de recopilación de datos, especialmente en relación con los SDK de terceros integrados en una app. 

Antes de este requisito, los desarrolladores de apps a menudo no sabían qué datos recopilaban sus SDK de terceros ni dónde se utilizaban. 

¿Por qué Apple introdujo el Privacy Manifest?

En 2022, Apple anunció las Privacy Nutrition Labels, que obligaban a las apps a proporcionar información sobre sus prácticas de privacidad de una forma comprensible para el usuario medio.

Los Privacy Manifests son la siguiente evolución de las Nutrition Labels, y ofrecen a los usuarios aún más información sobre cómo se recopilan y utilizan sus datos. Dado que todas las apps, incluidas las apps de terceros y los plugins conectados a tu app, tienen sus propios Privacy Manifests, Apple simplifica el proceso permitiéndote consolidarlos en un único Manifest para tu app.

Los Privacy Manifests obligan a los desarrolladores a declarar el uso de datos y el acceso a APIs, reforzando la transparencia y evitando el uso indebido de las APIs del dispositivo para fines no autorizados, como el fingerprinting. Exigir a los desarrolladores que declaren el uso de sus datos evita el uso indebido de APIs y, en última instancia, impulsa SKAdNetwork como la principal herramienta de atribución para los anunciantes.

¿Cuáles son las principales características de un Privacy Manifest de Apple? 

A partir de iOS 17, toda app nueva o actualizada debe incluir la siguiente información:

Uso de datos: NSPrivacyTracking

Es una clave que indica si la app solicita permiso para rastrear a los usuarios en apps y sitios web de otras empresas. Se basa en el framework App Tracking Transparency (ATT) de Apple, que exige que las apps obtengan el consentimiento del usuario antes de realizar cualquier tipo de rastreo.

Dominios externos: NSPrivacyTrackingDomains

Todos los dominios externos utilizados por la app o por un SDK de terceros deben incluirse en el Privacy Manifest para garantizar la transparencia sobre posibles actividades de rastreo. Los dominios que no cumplan con las últimas normas de privacidad de Apple y los requisitos de ATT pueden ser bloqueados por Apple, a menos que el usuario dé su consentimiento.

Nutrition Labels: NSPrivacyCollectedDataTypes

Estas etiquetas enumeran los tipos de datos que tu app o un SDK de terceros recopila sobre los usuarios y por qué se recopilan. Los desarrolladores pueden usar Xcode fácilmente para generar un reporte de privacidad que resume los datos recopilados por la app y cualquier SDK de terceros vinculado.

Cada NSPrivacyCollectedDataTypes incluirá:

• El tipo de datos recopilados
• Indicación de si los datos están vinculados al usuario
• Indicación de si los datos rastrean al usuario
• Motivos para recopilar los datos

Aquí tienes un ejemplo de recopilación de información de contacto según la documentación oficial de Apple:

API de motivos obligatorios: NSPrivacyAccessedAPITypes

El fingerprinting está prohibido, incluso si el usuario da su consentimiento para el rastreo. Esto elimina el fingerprinting tanto en tu propio código como a través de un SDK de terceros. En esta sección, debes explicar claramente por qué tu app o un SDK de terceros en iOS, iPadOS, tvOS, visionOS o watchOS utiliza estas APIs, y asegurarte de que solo se usen para los fines previstos.

Cómo crear e implementar un Privacy Manifest de Apple

Ahora que entiendes todos los elementos que forman parte del Privacy Manifest de Apple, aquí tienes una guía paso a paso para crear el tuyo.

Paso 1: Abre Xcode

Paso 2: Selecciona archivo > Nuevo archivo.

Paso 3: Desplázate hasta “Recursos” y selecciona el tipo de archivo App Privacy File.

Paso 4: Haz clic en Siguiente.

Paso 5: Selecciona el target de tu app o del SDK de terceros en la lista Targets.

Paso 6: Haz clic en Crear.

Ten en cuenta que el archivo se nombra automáticamente como PrivacyInfo.xcprivacy, y este es el nombre obligatorio para los Privacy Manifests incluidos en el paquete. También tendrás que añadir el archivo Privacy Manifest a los recursos de tu target en Xcode cuando generes un reporte de privacidad.

Una vez creado el archivo, añade las siguientes claves al diccionario en el nivel superior de este archivo de lista de propiedades:

• NSPrivacyTracking
• NSPrivacyTrackingDomains
• NSPrivacyCollectedDataTypes
• NSPrivacyAccessedAPITypes

Hallazgos clave 

• El Privacy Manifest de Apple es un documento obligatorio para todas las apps de la App Store, que describe los datos recopilados y el uso previsto de esos datos.
• Introducido para mejorar la transparencia y ampliar las Privacy Nutrition Labels, ayuda a prevenir el fingerprinting y refuerza el uso de SKAdNetwork para la atribución.
• Incluye componentes clave como los permisos de rastreo (NSPrivacyTracking) y las declaraciones de dominios externos (NSPrivacyTrackingDomains).
• Los desarrolladores deben enumerar los tipos de datos recopilados (NSPrivacyCollectedDataTypes) y las APIs utilizadas (NSPrivacyAccessedAPITypes), garantizando el cumplimiento de las normas de Apple.
• Los desarrolladores pueden crear fácilmente un Privacy Manifest en Xcode siguiendo un proceso sencillo para cumplir con los estándares de privacidad de Apple.