Cómo pasar la verificación OAuth de Google con una política de privacidad conforme

Si has añadido “Iniciar sesión con Google” a tu aplicación, probablemente te hayas topado con un muro: el proceso de verificación OAuth de Google. Antes de que tus usuarios puedan iniciar sesión sin ver una advertencia intimidante de “app no verificada”, Google necesita revisar y aprobar tu aplicación. ¿Y el motivo número uno de rechazo o retraso? La política de privacidad.

Esta guía explica exactamente qué exige Google, por qué la mayoría de las políticas de privacidad no pasan la revisión, y cómo GDPR.Direct hace que aprobar la verificación sea sencillo.

Qué comprueba Google realmente

Cuando envías tu aplicación para la verificación OAuth a través de la Google Cloud Console, el equipo de Third Party Data Safety de Google revisa varios aspectos. Para aplicaciones que solicitan scopes estándar (openid, profile, email) — que es lo que usa la mayoría de implementaciones de “Iniciar sesión con Google” — los dos requisitos críticos son:

1. Una política de privacidad alojada en tu dominio. La URL que proporcionas en la pantalla de consentimiento OAuth debe estar en el mismo dominio que tu aplicación. Un Google Doc o un PDF no sirven.
2. Divulgación específica de las prácticas con datos de Google. Tu política de privacidad debe contener secciones claras que expliquen qué datos de Google accedes, cómo los usas y cómo los almacenas.

Si falta cualquiera de estos dos, recibirás un correo como este de Google:

“Nuestra revisión ha encontrado que la política de privacidad de tu aplicación carece de información requerida. Concretamente, no contiene secciones claras que describan las prácticas de recopilación, almacenamiento y uso de datos de tu app.”

En ese momento necesitas corregir los problemas y responder al correo para continuar la revisión. Este intercambio puede añadir días o semanas a tu calendario de lanzamiento.

Por qué la mayoría de las políticas de privacidad no pasan

El enfoque típico del desarrollador respecto a las políticas de privacidad cae en una de dos trampas:

Trampa 1: Plantillas genéricas. Los generadores gratuitos producen texto vago y estándar que no menciona a Google por nombre. Los revisores de Google buscan expresamente una divulgación específica sobre su plataforma — un lenguaje genérico sobre “servicios de terceros” no es suficiente.

Trampa 2: Ausencia de política. Muchas apps en fase temprana simplemente no tienen una página de política de privacidad en su dominio. Pueden enlazar a un Google Doc o tener un placeholder. Google exige que la política esté accesible en una URL del mismo dominio que tu aplicación (por ejemplo, tuapp.com/privacy-policy).

Lo que Google quiere es específico y concreto:

• Datos accedidos: “Cuando un usuario inicia sesión con Google, recibimos su dirección de correo electrónico, nombre y foto de perfil.”
• Uso de datos: “Estos datos se utilizan exclusivamente para la creación de cuenta y autenticación. No accedemos a ningún otro dato de la cuenta de Google del usuario.”
• Base legal: Una referencia al fundamento legal del tratamiento (para usuarios de la UE, esto significa el RGPD).
• Período de retención: Cuánto tiempo conservas los datos y qué pasa cuando el usuario elimina su cuenta.
• Enlace a la Política de Privacidad de Google: Una referencia directa para que los usuarios puedan consultar las prácticas de datos de Google.

Cómo GDPR.Direct resuelve ambos requisitos

GDPR.Direct resuelve los dos requisitos de Google en un solo paso: genera una política de privacidad legalmente conforme que incluye las divulgaciones específicas sobre Google, y te permite incrustarla directamente en tu dominio.

Requisito 1: Política de privacidad en tu dominio

El Legal Hub de GDPR.Direct proporciona un widget embebible — una sola línea de HTML que añades a una página de tu web:

<iframe
  src="https://app.gdpr.direct/embed/privacy-policy?id=TU_ID_DE_EMPRESA&lang=es"
  style="width: 100%; border: none;"
  title="Política de Privacidad"
></iframe>

Esto muestra tu política de privacidad completa directamente en tuapp.com/privacy-policy. Para los revisores de Google, es una página web estándar en tu dominio. El contenido se carga desde los servidores de GDPR.Direct y se redimensiona automáticamente, de modo que se integra de forma nativa con tu sitio.

Sin archivos estáticos que mantener. Sin copiar y pegar texto legal. Cuando actualizas tu política en GDPR.Direct, el embed se actualiza en todas partes automáticamente.

Requisito 2: Divulgación de datos de usuario de Google

La plantilla de política de privacidad de GDPR.Direct incluye una sección dedicada de “Autenticación mediante terceros”. Cuando habilitas Google como proveedor de autenticación en tu perfil de empresa de GDPR.Direct, tu política de privacidad generada incluye automáticamente:

• Una declaración clara de que recibes información básica de perfil cuando los usuarios inician sesión a través de proveedores externos
• Una tabla estructurada que lista cada proveedor (Google, GitHub, Microsoft) con los datos exactos accedidos, la finalidad y un enlace a la política de privacidad de cada proveedor
• La base legal del tratamiento (Artículo 6.1(b) RGPD — necesidad contractual)
• El período de retención de datos (duración de la cuenta del usuario, eliminados tras la eliminación de la cuenta)

Así se ve la sección generada:

Autenticación mediante terceros

En los casos en los que habilitemos la posibilidad de autenticarse en nuestros servicios a través de un proveedor externo, podemos recibir información básica de perfil de estos proveedores cuando elijas iniciar sesión a través de ellos. Estos datos se utilizan exclusivamente para crear y gestionar tu cuenta.

Proveedor	Datos obtenidos	Finalidad	Política de privacidad
Google	Dirección de correo electrónico, nombre y foto de perfil	Creación de cuenta y autenticación	Política de privacidad de Google
GitHub	Dirección de correo electrónico, nombre, nombre de usuario y foto de perfil	Creación de cuenta y autenticación	Declaración de privacidad de GitHub
Microsoft	Dirección de correo electrónico, nombre y foto de perfil	Creación de cuenta y autenticación	Declaración de privacidad de Microsoft

La base legal para el tratamiento de dichos datos es la ejecución del contrato entre tú y nosotros, de acuerdo con el Artículo 6.1.(b) RGPD.

Los datos obtenidos de estos proveedores se conservan durante la vigencia de tu cuenta. Tras la eliminación de la cuenta, estos datos serán eliminados salvo que su conservación sea necesaria por obligaciones legales.

Esta es exactamente la especificidad que buscan los revisores de Google. Sin ambigüedad, sin lenguaje genérico — solo una divulgación clara y estructurada de qué datos accedes, por qué y durante cuánto tiempo.

Paso a paso: de cero a verificado

Aquí tienes el proceso completo para pasar de no tener política de privacidad a una app OAuth aprobada por Google:

1. Configura tu cuenta de GDPR.Direct

Regístrate en app.gdpr.direct y completa el asistente de onboarding. Introducirás los datos de tu empresa (nombre comercial, número de identificación, dirección, email de contacto) que se inyectan automáticamente en tus documentos legales.

2. Genera tu política de privacidad

GDPR.Direct utiliza la información de tu empresa y una breve descripción de tu producto para generar una política de privacidad completa y legalmente conforme. La IA expande la descripción de tu producto en lenguaje legal apropiado cubriendo todas las secciones requeridas por el RGPD, incluyendo la tabla de autenticación de terceros.

3. Añade el embed a tu web

Crea una página /privacy-policy en tu web y pega el código de embed. El método exacto depende de tu stack tecnológico:

Next.js / React:

export default function PrivacyPolicy() {
  return (
    <iframe
      src="https://app.gdpr.direct/embed/privacy-policy?id=TU_ID_DE_EMPRESA&lang=es"
      style={{ width: "100%", border: "none" }}
      title="Política de Privacidad"
    />
  );
}

Astro:

<iframe
  src="https://app.gdpr.direct/embed/privacy-policy?id=TU_ID_DE_EMPRESA&lang=es"
  style="width: 100%; border: none;"
  title="Política de Privacidad"
></iframe>

WordPress / HTML:

<iframe
  src="https://app.gdpr.direct/embed/privacy-policy?id=TU_ID_DE_EMPRESA&lang=es"
  style="width: 100%; border: none;"
  title="Política de Privacidad"
></iframe>

Para instrucciones completas de integración incluyendo auto-redimensionamiento y consejos por plataforma, consulta nuestra Guía de implementación del Legal Hub.

4. Configura tu pantalla de consentimiento OAuth

En la Google Cloud Console:

1. Ve a APIs y servicios → Pantalla de consentimiento de OAuth
2. Establece la Página principal de la aplicación como la URL de tu web
3. Establece el Enlace a la política de privacidad de la aplicación como https://tuapp.com/privacy-policy
4. Añade tus Dominios autorizados
5. Haz clic en Guardar y continuar, luego en Enviar para verificación

5. Espera la revisión y responde

La revisión de Google suele tardar entre 1 y 5 días laborables. Si solicitan cambios, recibirás un correo. Dado que la plantilla de GDPR.Direct ya cubre los requisitos estándar, la mayoría de las apps pasan en el primer envío. Si Google solicita información adicional, puedes actualizar tu política en el panel de GDPR.Direct y el embed reflejará los cambios inmediatamente — luego simplemente responde al correo de Google confirmando la actualización.

Probado a escala

Esto no es teórico. Muchas empresas, en múltiples productos y dominios, utilizan la política de privacidad embebida de GDPR.Direct con la sección de autenticación de terceros. Todas han pasado la verificación OAuth de Google con éxito, con la misma plantilla y el mismo enfoque descrito en esta guía.

El patrón funciona porque aborda directamente lo que el equipo de Third Party Data Safety de Google verifica: una política de privacidad real, en tu dominio, con una divulgación específica y estructurada de cómo se gestionan los datos de usuario de Google.

Más allá de Google: qué más obtienes

Aunque pasar la verificación OAuth de Google sea tu objetivo inmediato, la política de privacidad generada por GDPR.Direct cubre mucho más que solo la sección de autenticación. Tu política completa también incluye:

• Identificación del responsable del tratamiento: los datos de tu empresa, según requiere el artículo 13 del RGPD
• Todas las finalidades del tratamiento: prestación de servicio, analítica, cookies, publicidad, con bases legales para cada una
• Derechos del usuario: acceso, rectificación, supresión, portabilidad, oposición y limitación
• Períodos de retención de datos: plazos específicos para cada finalidad del tratamiento
• Encargados del tratamiento: divulgación de servicios como CRMs, analítica y procesadores de pago
• Política de cookies: una divulgación de cookies detallada y separada (también embebible)

Esto significa que una suscripción a GDPR.Direct cubre tu verificación OAuth de Google, tus obligaciones de cumplimiento del RGPD y tus necesidades de páginas legales — todo sincronizado desde un único panel de control.

Empieza ahora

Deja de luchar con textos legales genéricos y rechazos de verificación. Configura tu política de privacidad en minutos y vuelve a construir tu producto.

Crea tu cuenta de GDPR.Direct y obtén una política de privacidad lista para Google hoy.