Integra la privacidad en tu proceso de desarrollo

Hola, soy Joey Tyson, Privacy Engineer en Apple. Cuando creas apps que dependen de los datos de las personas, el poder de esos datos hace que la privacidad sea esencial. En Apple, creemos que la privacidad es mucho más que una palabra de moda. Todos merecen que sus datos sean tratados con cuidado y respeto. Estoy feliz de repasar las fases de creación de apps y compartir formas prácticas de infundir privacidad. Primero, veamos lo que quiero decir con “privacidad”. En 2010, Steve Jobs dijo que la privacidad es saber qué estás aceptando, con lenguaje claro y repetido. En resumen, las personas comprenden y confían en cómo manejas sus datos. Hay una alineación entre lo que se espera y lo que tú haces. Steve también creía que, si se entiende bien, la gente puede tomar decisiones sobre sus datos.

Señaló que algunas personas quieren compartir más datos que otras. Cada persona decide según su contexto y nadie debe asumir por otro. Una de las mejores formas de respetar la intención de las personas es preguntarles. Sin importar la definición, aparecen tres conceptos clave. Primero, la privacidad es sobre las personas, cómo interactúan con la tecnología y cómo les afecta. Específicamente, se trata del impacto del procesamiento de datos de personas: Qué haces con lo que sabes sobre las personas que usan tu app. Por último, al decidir qué hacer, debes considerar el contexto, las expectativas y preferencias de las personas. La privacidad es mostrar respeto cuando te confían los datos de alguien. Conocer información sobre las personas permite crear experiencias personalizadas y atractivas. Pero si se usa esa información de forma inesperada o en otros contextos, puede afectar sus vidas significativamente.

Tu app debe funcionar como las personas esperan, incluso en cómo usa sus datos para cumplir sus objetivos. Tim Cook dijo que la privacidad en Apple se basa en recolectar la menor cantidad de datos y tratarlos con respeto y responsabilidad. Destacó que no solo nos preguntamos qué hacer, sino qué deberíamos hacer en beneficio de nuestros usuarios. Esto sustenta los pilares de privacidad de Apple: limitación de datos, procesamiento en dispositivo, transparencia, control y seguridad. Voy a hacerlo más práctico aplicando un enfoque de privacidad en la creación de apps. Todas las plataformas de Apple incluyen tecnologías para brindar privacidad en tu app. Estas son solo algunas de las herramientas que compartiré sobre la integración de la privacidad.

Sin importar el modelo que sigas en tu ciclo de desarrollo, probablemente incluya estas cinco fases. Planificación, diseño, desarrollo, pruebas e implementación. Repasaré estas etapas y te mostraré cómo incorporar buenas prácticas de privacidad. También compartiré las herramientas de las plataformas de Apple para la privacidad y requisitos.

Primero, hablaré sobre la planificación. Aquí es donde comienzas a escribir la privacidad de tu app. Para garantizar la privacidad y respetar la intención de los usuarios, la privacidad debe estar desde el inicio. Al igual que con la seguridad o la localización, la privacidad es más difícil de adaptar más adelante. En Apple, comenzamos definiendo garantías de privacidad, declaraciones sobre lo que queremos que esperen de nuestros productos.

Estas descripciones no solo guían los requisitos técnicos, pero también te permiten comunicar los objetivos a los usuarios.

En Apple, usamos los pilares de privacidad para guiar las garantías de privacidad. Digamos que hago una app, Pal About, para encontrar lugares y compartir fotos.

La limitación de datos significa usar sólo los datos necesarios para alinearse con las expectativas. Esto genera eficiencia y confianza. Al recopilar datos para análisis, piensa en los problemas por resolver o las preguntas por responder, y asegúrate de que la recopilación sea proporcional. Para mi app, garantizo conservar solo datos de uso agregados. La limitación de datos parte de configuraciones que respetan la privacidad. En mi app, puedo asegurar que “Al buscar lugares, tu ubicación no se guarda”. Como dije antes, la privacidad depende del contexto de la información. El procesamiento en el dispositivo es una forma de respetar el contexto. Cada vez que los datos cambian de contexto, como de un dispositivo a un servidor, o entre apps, analiza si ese flujo es necesario y cómo afecta la privacidad. Volviendo a mi app, podría escribir: “Las sugerencias se generan con los datos en el dispositivo”, luego de definir valores y mantener el contexto, aclara el uso de datos y ofrece personalización. Al ofrecer opciones para compartir datos, asegúrate de que aporten un beneficio claro. En especial al usar IA, informa a las personas y dales control sobre el uso de sus datos, como si se usarán para entrenar modelos. Una garantía puede ser: “Tus fotos se usan para entrenar modelos solo si estás de acuerdo”.

Por último, la seguridad permite controlar los flujos de datos y evitar riesgos. Esto significa que la privacidad debe respaldarse por controles técnicos. Es decir, sistemas que protegen la privacidad, incluso si otras partes no funcionan como se espera. Podría decir: “No podemos leer tus mensajes entre dispositivos” y respaldar esto con encriptación. Me centraré en el diseño, en construir cómo interactuarán con tu producto. Un buen diseño te permite comunicarte con los usuarios y educarlos sin que sea una carga. Si confían en cómo una app usa sus datos, será más probable que interactúen y compartan esos datos. Estos son algunos principios de diseño para lograr confianza. Primero, establece expectativas de forma proactiva. Las personas no deben sorprenderse por los datos que la app recopila ni por su uso. En Apple, mostramos un resumen de privacidad la primera vez, con un enlace a más información. También puedes usar una introducción para explicar cómo tu app usa los datos.

Además de educar a la gente, hay que dejar claros los cambios. Asegúrate de que las personas entiendan cualquier cambio en el uso de datos que pueda afectar su privacidad. En iOS mostramos una animación al invocar Siri y un indicador en pantalla cuando el micrófono está activo.

Por último, las elecciones sobre datos deben ser significativas y contextuales. Cada opción debe cambiar el comportamiento de la app o explicar su impacto. Muestra las opciones cuando sea relevante y analiza qué nivel de detalle es adecuado. Pal About en macOS no haría conexiones de red local hasta que se use la función de streaming. Esto aclara por qué las conexiones son necesarias y por qué el sistema pide permiso para activarlas.

Para más sobre cómo diseñar con privacidad, consulta las “Guías de Interfaz Humana”. Después de planificar y diseñar la privacidad, es hora de escribir el código. Puedes usar muchas herramientas y tecnologías para implementar privacidad. Destacaré algunos ejemplos de cómo puedes usar las herramientas al crear tu app.

Comenzaré con formas de simplificar las opciones de privacidad en la interfaz. Acceder a recursos como el calendario o ubicación implica compartir datos confidenciales. Las plataformas de Apple se hicieron para compartir datos cuando quieren los usuarios. El acceso amplio impacta más en la privacidad, por eso requiere permiso explícito, como este aviso. Si alguien solo quiere compartir unas fotos, dar acceso a toda la biblioteca podría dar más información. Es por eso que “Limitar acceso” permite que alguien elija sólo ciertas fotos. Pero puedes crear una mejor experiencia con herramientas para solicitar los datos necesarios. Como eligen qué compartir a través de estos flujos, sus interacciones señalan intenciones y no reciben otras indicaciones. En mi app quiero permitir que suban fotos, pero no necesito acceso a toda su biblioteca. En cambio, puedo usar PhotosPicker para evitar el mensaje de la biblioteca. Como el sistema deja fuera de proceso el selector, la app recibe las fotos seleccionadas y no hay ningún permiso. Puedes incluir el selector en la IU, personalizarlo, y permitir que los usuarios elijan entre sus fotos ocultas. También hay versiones del selector en otras plataformas, como macOS y visionOS. Para más información, ve “Incorpora el selector de fotos en tu app” de WWDC23. Apple ofrece otros elementos de interfaz que agilizan el acceso a los datos. Volviendo a mi app, digamos que quiero permitir que busquen lugares cercanos. Agregar un botón de ubicación permite compartir la ubicación con un toque. El sistema verifica que el botón fue activado por el usuario, lo que garantiza que el uso de la ubicación refleje su intención. Puedes personalizar este botón para que coincida mejor con la interfaz.

La primera vez que toquen un botón de ubicación, recibirán un mensaje de confirmación y una explicación. El indicador de ubicación se mostrará arriba como cuando la ubicación se comparte con otras API. Después de seleccionar “Aceptar”, no se volverá a ver un aviso y la ubicación se compartirá de inmediato. Ve “Conoce el botón de ubicación” de la WWDC21 para obtener más detalles.

Estas son dos herramientas para reducir la carga cognitiva de la interfaz de privacidad. Otros son: un selector de contactos fuera del proceso, el botón UIPasteControl y flujos simplificados para configurar accesorios. Busca opciones para acceder a los datos necesarios antes de usar una API más amplia. En algunos casos, aún puede ser necesario solicitar permisos. Para que sean significativos y contextuales, realiza acciones que los activen en momentos esperados. Evita presentar las opciones la primera vez que abren la app y escribe cadenas de propósito que expliquen el porqué de la solicitud. Ahora repasaré tecnologías de privacidad que actúan en segundo plano en interacciones cliente-servidor. Mostraré cómo usar el servidor sin exponer datos y reducir datos de identificación al recopilar información.

En Apple, Protección avanzada de datos es una funcionalidad de encriptación de extremo a extremo para iCloud. Con CloudKit, también puedes tener encriptación de datos al habilitar Protección avanzada de datos. Esto es posible sin realizar cambios de infraestructura ni gestionar claves de encriptación. Primero, usa tipos de datos encriptados en todos los campos en tu esquema de CloudKit. Esto incluye los campos CKAsset y para los datos en CloudKit, hay una variante cifrada como EncryptedString.

Puedes usar encryptedValues para recuperar o almacenar datos en tus registros de CloudKit. Esta API abstrae las operaciones de encriptación y desencriptación. CloudKit no admite índices en campos encriptados, así que no los uses en predicados ni ordenamientos con CKQuery y CKQueryOperation. Para obtener más información, ve “Novedades en CloudKit” de la WWDC21. Otra técnica que usamos en Apple es la encriptación homomórfica. En vez de usar datos sin procesar, calcula sobre datos encriptados y obtiene lo mismo al desencriptarlos. En ningún momento se desencriptan los datos. Al combinar operaciones simples, la encriptación homomórfica permite tecnologías avanzadas, como la recuperación de información privada. Con esta recuperación, puedes consultar datos sin que la búsqueda ni el resultado estén desencriptados. El dispositivo envía una consulta encriptada y el servidor usa encriptación homomórfica para generar un resultado. Recuerda que el cálculo está encriptado, así que el servidor nunca ve qué resultado coincide. Por último, el servidor envía el resultado encriptado al dispositivo para que lo procese localmente. En mi app, puedo usarla para obtener datos de lugares de encuentro sin que el servidor rastree el historial. Para algunos usuarios, conocer los lugares que exploran puede afectar su seguridad, así que usar la recuperación es clave. Ya se usa en funciones de Apple y de apps populares de desarrolladores como tú. Para más detalles de esta implementación, consulta la biblioteca de encriptación homomórfica Swift y apps en GitHub. Reducir el fraude y atribuir anuncios son dos casos que parecen requerir datos identificables. Estas son funcionalidades de Apple pensadas para lograr estos objetivos sin recolectar datos vinculados a un ID de usuario o dirección IP. Para prevenir fraudes, los identificadores de acceso privado verifican que los dispositivos son legítimos sin identificar a las personas. Los dispositivos reciben identificadores anónimos y puedes verificarlos sin información adicional de identidad. Para más detalles, ve “Reemplaza CAPTCHA por identificadores de acceso privado” de la WWDC22. También puedes necesitar evitar fraudes, como canjear una promoción varias veces. DeviceCheck permite asociar hasta dos bits de información con un dispositivo sin necesitar identificadores. Apple conserva estos estados incluso tras reinstalar la app o cambiar de dispositivo. Ve “Mitigar el fraude con App Attest y DeviceCheck” de WWDC21 para más detalles sobre configuración y recuperación. AdAttributionKit es una herramienta potente para medir campañas publicitarias cuidando la privacidad. Permite atribuir instalaciones y nuevas interacciones a una campaña con una señal firmada desde el dispositivo. AdAttributionKit también puede reducir aún más las solicitudes. Usar las APIs de AdAttributionKit no requiere el aviso de transparencia de seguimiento de apps. Para apps editoras, debes agregar identificadores al Info.plist de redes publicitarias registradas y mostrar anuncios firmados por ellas. Para más detalles del funcionamiento de AdAttributionKit y su postback, ve “Conoce AdAttributionKit” de la WWDC24.

En apps anunciadas, debes registrar eventos de conversión y nuevas interacciones en la app. Además, puedes definir un endpoint para recibir una copia de las señales de postback. Las API relevantes están en la sesión AdAttributionKit de la documentación de Apple Developer, y el video “Novedades en AdAttributionKit” explica las nuevas funcionalidades de iOS 26. Por último, consejos para cuidar la privacidad al manejar recursos locales como IA, estructuras y procesos.

Primero, destacaré el poder de Core ML para ejecutar y entrenar modelos de aprendizaje automático en el dispositivo. Funciona en modelos de código abierto y personalizados creados con Create ML. Con optimización y compresión, puedes ejecutar grandes modelos de lenguaje sin invocar un servidor. Ve “Implementa modelos de aprendizaje e IA en el dispositivo con Core ML” y “Lleva tus modelos de aprendizaje e IA al Apple Chip” de la WWDC24 para empezar. Los contenedores de grupos de apps no solo permiten compartir datos entre tus apps, sino que también los protegen. En macOS, otras apps no pueden acceder a los datos del contenedor de grupo sin permiso. Para usarlos, primero registra un identificador de grupo en el portal de Developer, en Certificates, Identifiers & Profiles. Luego, debes agregar el permiso en tu app y solicitar el directorio del contenedor cuando guardes datos.

Para más información, ve “Novedades en privacidad” de la WWDC24 o consulta “Configurar grupos de apps” en la documentación de Apple Developer. También en macOS, todas las apps deben cerrar sus procesos cuando el usuario sale. Si cargas procesos con fork, exec o POSIX spawn, limpia esos procesos al salir. macOS Tahoe detectará si los procesos siguen activos y preguntará a los usuarios si eso es lo que quieren. Los usuarios tendrán la opción de finalizar los procesos por su cuenta. Eres responsable de todo el código en tus apps, incluidos los SDK de terceros. Antes de enviar al App Store, los SDK pueden pedir un archivo de privacidad con los datos que recopilan y las API que usan. Consulta “Archivos de manifiesto de privacidad” en la documentación de Apple Developer para más información. También puedes obtener más información en “Comienza a trabajar con los manifiestos de privacidad” de la WWDC23. Estas tecnologías son solo algunos ejemplos de cómo la privacidad es parte del desarrollo. Ahora pasaré al siguiente paso, que es probar. Sí, la privacidad también es parte de este paso. Así como creas pruebas para evitar errores o detectar caídas de rendimiento, probar si cumples con la privacidad es una buena práctica. En Apple, pensamos en las pruebas como una pirámide: pruebas pequeñas que forman la base para otras más amplias y cercanas a los objetivos reales de los usuarios. Las pruebas unitarias verifican partes individuales de código, generalmente funciones. Para la privacidad, pueden validar la lógica que admite controles de privacidad. Las pruebas de integración verifican que subsistemas o grupos de clases funcionen juntos. En un contexto de privacidad, garantizan que los flujos de datos entre sistemas funcionen. Las pruebas de IU observan los comportamientos de tu app, asegurándose de que hagan lo que esperas. Esto incluye escenarios comunes para la introducción o el cambio de configuraciones de privacidad. En mi app, garantizaba entrenar solo con fotos si los usuarios aceptaban mejorar funcionalidades inteligentes. Escribiría una prueba de UI para asegurar que al cambiar esa opción se actualicen los flujos de datos. Apple ofrece muchas herramientas para pruebas eficientes de las funcionalidades de privacidad. Desde iOS 15.2 puedes activar el Informe de Privacidad en Configuración para revisar el acceso a datos, sensores y actividad de red, y verificar que sea lo esperado.

Ahora veremos la implementación, el proceso de sacar tu app al mundo. En este punto, trabajaste mucho para brindar privacidad en las funcionalidades y es hora de compartir tu historia de privacidad. Al crear contenido para promocionar tu app, la privacidad puede generar interés y diferenciarte.

Publicar en el App Store también incluye pasos obligatorios que permiten a las personas saber qué esperar. Las etiquetas de privacidad son una forma clave en que el App Store informa sobre la privacidad de las apps. La etiqueta brinda información sobre qué tipos de datos transmite tu app fuera del dispositivo y cómo se usan. Configura tu etiqueta en la sección de Privacidad de App Store Connect. Consulta “Detalles de privacidad en el App Store” en la documentación de Apple Developer, para conocer definiciones y términos específicos. Al archivar en Xcode, usa “Generar informe de privacidad” del menú contextual de “Archivar” para ver un resumen del uso de datos. Ten en cuenta que la etiqueta de privacidad debe incluir todos los usos de datos, incluso si las personas pueden optar si se recopilan sus datos.

Consulta la documentación de Apple Developer para ver excepciones. Puedes actualizar tu etiqueta incluso sin tener que actualizar la app. Ve “Crea tu etiqueta de privacidad” de la WWDC22 para más información.

Asegúrate de que se cumplan otros requisitos de privacidad. Tu app debe tener una política de privacidad clara. Los manifiestos de privacidad de tu app y todos los SDK deben incluirse en Xcode. Las cadenas de propósito son obligatorias en solicitudes de permiso que accedan al dispositivo. También puedes incluir Preferencias de privacidad en tu ficha para que las personas sepan cómo administrar sus datos, como acceder a ellos, eliminarlos o actualizarlos.

Planificación, diseño, desarrollo, pruebas e implementación. En cada paso del proceso, la integración de la privacidad puede brindar la mejor experiencia. Ahora aplica estas ideas a tu proceso. Empieza definiendo garantías de privacidad claras. Luego usa principios de diseño para educar sobre usos y elecciones de datos. Implementa tus objetivos de privacidad con bases técnicas sólidas. Asegúrate de cumplir con las garantías de privacidad en las pruebas. Por último, prepara etiquetas nutricionales cuando compartas tu historia de privacidad. Mencioné la limitación de datos, pero mi agradecimiento por tu compromiso no tiene límites. Gracias.