Autenticación mediante servicios de VK, Mail.ru y OK

Discurso
,
1

Desde finales de 2025, VK pasó a utilizar el dominio .ru y cambió la aplicación para el acceso al sitio. En las configuraciones se añadió la posibilidad de conectar la autenticación también mediante Mail.ru y OK. En relación con esto, a continuación se analizan los cambios jurídicamente significativos.

:red_circle: 1. Obligación de proporcionar documentos dentro de 3 días hábiles

Artículos:

  • En PDF (Odnoklassniki): art. 3.3.1
  • En acuerdo textual (Mail.ru): art. 3.3.1

«En un plazo no superior a 3 (tres) días hábiles a partir de la recepción de la solicitud de la Compañía, proporcionar copias debidamente certificadas de los documentos que confirmen la información proporcionada por el socio durante el registro de la aplicación».

:magnifying_glass_tilted_left: ¿Qué significa en la práctica?

  • Al registrar la aplicación (por ejemplo, aquí), indicas datos:
    • Para persona física: nombre completo, datos del pasaporte, información de contacto.
    • Para entidad jurídica: nombre, OGRN/INN, dirección, etc.
  • Si VK/Mail.ru solicita confirmar estos datos (por ejemplo, por sospecha de fraude, registro masivo o incumplimiento de normas), debes enviar escaneos de documentos (pasaporte, extracto del EGRYUL, poder notarial, etc.) dentro de 3 días.
  • Riesgo: incumplimiento → suspensión o bloqueo del acceso al API y OAuth de forma unilateral (art. 3.2.2 de ambos acuerdos), sin previo aviso, solo con notificación después.

:white_check_mark: Recomendación:

  • Prepárate con anticipación con el conjunto de documentos.
  • Asegúrate de que al registrar la aplicación hayas indicado datos actuales y verificables — de lo contrario, la solicitud de confirmación es casi inevitable.

:red_circle: 2. Requisito de obtener el consentimiento explícito de los usuarios para el tratamiento de datos personales

Artículos:

  • OK PDF: art. 3.3.4
  • Mail.ru: art. 3.3.4

El socio debe obtener el consentimiento de los usuarios (incluyendo el cumplimiento de la Ley Federal N.º 152) para la transferencia de sus datos de los servicios de la Compañía → consentimiento explícito, indicando:

  • Volumen de datos solicitados (correo electrónico, nombre, foto, etc.)
  • Finalidades del tratamiento
  • Enlace a su política de privacidad

:warning: Crítico:

  • No puedes transferir automáticamente datos (por ejemplo, correo electrónico) sin consentimiento explícito e informado del usuario — incluso si ha pulsado «Iniciar sesión con OK/Mail».
  • El consentimiento debe estar en forma de casilla de verificación antes o junto con el botón de inicio de sesión, con una formulación clara, por ejemplo:

«Acepto la transferencia de mis datos (nombre, correo electrónico, foto de perfil) desde Odnoklassniki/Mail.ru para iniciar sesión en el sitio example.com y su tratamiento conforme a la Política de privacidad

  • No tienes derecho a solicitar datos innecesarios (art. 3.3.5): por ejemplo, solicitar fecha de nacimiento si no es necesario para la autenticación.

:red_circle: 3. Prohibición de modificar logotipos, botones y elementos de UI

Artículos:

  • OK: art. 3.3.3
  • Mail.ru: art. 3.3.3

Prohibido:

  • Ocultar o modificar logotipos («Iniciar sesión con OK» → no se puede renombrar como «Inicio rápido»),
  • Eliminar enlaces a OK/Mail,
  • Usar botones e imágenes no oficiales.

:white_check_mark: Solución:

:red_circle: 4. Limitaciones en el uso de datos de los usuarios

Artículos:

  • OK: art. 3.3.6
  • Mail.ru: art. 3.3.6

Prohibido:

  • Almacenar, procesar o transmitir a terceros datos de los usuarios (correo electrónico, nombre, etc.) obtenidos mediante OAuth, si no es necesario para la autenticación y no está especificado en el acuerdo.
  • Usar los datos para newsletters, análisis, perfiles publicitarios — sin consentimiento adicional.

:warning: Ejemplo de riesgo:

Si obtienes un correo electrónico mediante OAuth y lo agregas inmediatamente a una newsletter — es una violación.

:white_check_mark: Solución:

  • Separa claramente:
    • Datos para el inicio de sesión (solo para autenticación),
    • Datos para uso posterior (newsletters, perfil, etc.) → deben recogerse por separado, con consentimiento adicional.

:red_circle: 5. El acuerdo se rige “tal cual” — sin garantías ni responsabilidad

Artículo:

La Compañía no garantiza el funcionamiento continuo, no asume responsabilidad por fallos, fugas, bloqueos, etc.

:shield: Qué hacer:

  • No dependas del OAuth como único método de inicio de sesión. Siempre mantén un método alternativo (por ejemplo, correo electrónico + contraseña).
  • En la interfaz, informa: «El inicio de sesión mediante OK está temporalmente inhabilitado — inténtelo más tarde o use otro método».

:pushpin: Resumen: Puntos críticos que requieren tu atención inmediata
1 Preparar y enviar documentos certificados si es necesario 3 días desde la solicitud Bloqueo del API/OAuth
2 Obtener consentimiento explícito de los usuarios para el tratamiento de datos personales antes de la autenticación Sanciones por la Ley Federal N.º 152, bloqueo por reclamaciones
3 Usar solo botones y UI oficiales inmediatamente Rechazo de la acreditación de la aplicación
4 No usar datos obtenidos más allá de la autenticación permanentemente Bloqueo + reclamaciones de reguladores
5 Seguir las instrucciones y normas oficiales permanentemente Riesgo de suspensión sin previo aviso