Condiciones de Seguridad y Procesamiento de los Datos para los productos de Apigee (clientes)

Última modificación: 28 de enero de 2019

El cliente acepta estas condiciones (“Cliente”) y Google LLC (antes conocido como Google Inc.), Google Ireland Limited, Google Asia Pacific Pte. Ltd., Google LLC Australia Pty Ltd. o cualquier otra entidad que tiene control directo o indirecto de una parte, que es controlada por una parte o que está bajo control común con Google LLC (según corresponda, “Google”) celebró un contrato en virtud del cual Google acordó proporcionar los Servicios de Cloud al Cliente (con sus posteriores enmiendas periódicas, el “Acuerdo”).

Estas Condiciones de Seguridad y Procesamiento de Datos para los Productos de Apigee, incluidos sus anexos (las “Condiciones”), tendrán efecto y reemplazarán cualquier condición de seguridad y procesamiento de datos aplicable anterior a partir de la Fecha de Entrada en Vigencia de las Condiciones (como se define a continuación).

Estas Condiciones complementan al Acuerdo. En caso de celebración del Acuerdo sin conexión, estas Condiciones sustituyen a cualquier cláusula que controle el procesamiento, la seguridad o la privacidad de los Datos del Cliente en el Acuerdo.


1. Introducción

Estas Condiciones reflejan el acuerdo de las partes en relación con las condiciones que rigen el procesamiento y la seguridad de los Datos del Cliente en virtud del Acuerdo.


2. Definiciones

2.1 Las condiciones en mayúscula que se usan, pero que no están definidas en estas Condiciones, tienen el significado establecido en el Acuerdo. Estas son las Condiciones, a menos que se indique lo contrario:

  • Controles de seguridad adicionales hacen referencia a los recursos, las funciones o los controles de seguridad que el Cliente puede usar según sus preferencias, incluidas la Consola del administrador y otras funciones de los Servicios de Cloud como mapas de valores de clave encriptados, registro y supervisión, administración de identidades y accesos, enmascaramiento de datos y límite de frecuencia.
  • “Consola del administrador” se refiere a las herramientas o a las consolas en línea que Google brinda al Cliente para administrar los Servicios de Cloud.
  • El Límite de responsabilidad acordada implica el importe máximo monetario o basado en pagos en el cual la responsabilidad de una parte está limitada en virtud del Acuerdo, ya sea por período anual o por evento que de lugar a la responsabilidad, según corresponda.
  • Afiliado tiene el significado definido en el Acuerdo y, si no se define allí, significa que cualquier entidad que, controle ya sea directa o indirectamente, ejerza control sobre una de las partes, esté bajo el control de una de las partes o esté bajo el mismo control que una de las partes. "Control" significa más del cincuenta por ciento de los derechos de voto o de la participación accionaria de una parte.
  • Solución alternativa de transferencia significa una solución, excepto las Cláusulas de contrato modelo, que permiten la transferencia legal de datos personales a un tercer país según el artículo 45 o 46 del GDPR, por ejemplo, el EU-US Privacy Shield (Escudo de Privacidad UE-EE.UU.).
  • Servicios auditados hace referencia a los Servicios de Cloud, sin incluir los Servicios de Cloud que descontinuarán de acuerdo con la política de baja para productos de Apigee.
  • Servicios de Cloud hace referencia a las ofertas de servicios de Edge Cloud, como se describe en http://apigee.com/about/specification-sheets.
  • “Datos del Cliente” hace referencia a los datos que proporciona el Cliente, o en su nombre, o sus usuarios finales a través de los Servicios de Cloud en la Cuenta de Google del Cliente.
  • Datos personales del Cliente hace referencia a los datos personales incluidos en los Datos del cliente.
  • Incidente de datos hace referencia a un incumplimiento de la seguridad de Google que puede dar como resultado, de forma accidental o ilegal, la destrucción, pérdida, alteración o divulgación no autorizada de los Datos Personales del Cliente, o el acceso a ellos, en sistemas administrados o de otra manera controlados por Google. Los “Incidentes de datos” no incluirán actividades o intentos fallidos que no comprometan la seguridad de los Datos Personales del Cliente, incluidos los intentos de acceso sin éxito, pings, análisis de puertos, ataques de denegación del servicio y otros ataques de red en firewalls o sistemas en red.
  • La Política de baja para los productos de Apigee se refiere a la política de baja de los productos de Apigee que se identifican en https://docs.apigee.com/deprecation.
  • EEE significa el Espacio Económico Europeo.
  • Ley Europea de Responsabilidad de la Protección de Datos, según corresponda: (a) el GDPR o (b) la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza).
  • GDPR significa Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de Datos Personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.
  • El auditor de terceros de Google hace referencia a un auditor independiente, independiente y designado por Google, cuya identidad de Google, en su momento, se divulgará al Cliente.
  • El proveedor de infraestructura tiene el significado indicado en el Artículo 5.3 (Proveedores de infraestructura).
  • La certificación ISO 27001 hace referencia a una certificación ISO/IEC 27001:2013 o a una certificación comparable para los Servicios auditados.
  • La certificación ISO 27017 hace referencia a una certificación ISO/IEC 27017:2015 o una certificación comparable para los Servicios auditados.
  • La certificación ISO 27018 hace referencia a una certificación ISO/IEC 27018:2014 o una certificación comparable para los Servicios auditados.
  • Las Cláusulas de contrato modelo o MCC significan las cláusulas de protección de datos estándar para la transferencia de datos personales a procesadores establecidos en países externos que no garantizan un nivel adecuado de protección de datos, como se describe en el artículo 46 del GDPR.
  • La ley de protección de datos no europea se refiere a la protección de datos o las leyes de privacidad vigentes en el exterior del Espacio Económico Europeo y Suiza.
  • Dirección de correo electrónico de notificación hace referencia a las direcciones de correo electrónico designadas por el Cliente en la Consola del administrador, el portal de asistencia técnica o en el Formulario de pedido o documento de pedidos (según corresponda), para recibir determinadas notificaciones de Google.
  • La documentación de seguridad hace referencia a todos los documentos y la información que Google proporciona en el Artículo 7.5.1 (Reseñas de la documentación de seguridad).
  • Las medidas de seguridad tienen el significado que se indica en el Artículo 7.1.1 (Medidas de seguridad de Google).
  • Informe de SOC 2 hace referencia a un informe confidencial del control de organización de servicios (SOC) 2 (o un informe similar) en los sistemas de Google que examina los controles de seguridad lógica, los controles de seguridad física y la disponibilidad del sistema, como aquellos producidos por el auditor externo de Google en relación con los Servicios auditados.
  • El Informe de SOC 3 hace referencia a un informe de Control de organización de servicios (SOC) 3 (o a un informe similar), como los produce el Audito de terceros de Google en relación con los Servicios auditados.
  • Los subprocesadores hacen referencia a terceros autorizados en estas Condiciones para tener acceso lógico a los Datos del Cliente y procesarlos a fin de proporcionar partes de los Servicios y la Asistencia de Cloud.
  • Término significa el período de la Fecha de entrada en vigencia del término hasta el final de la prestación de los Servicios de Cloud por parte de Google, incluido, si corresponde, cualquier período durante el cual la suspensión de los Servicios de Cloud se puede suspender y cualquier período posterior a la finalización durante el cual Google puede continuar proporcionando los Servicios de Cloud con fines de transición.
  • Fecha de entrada en vigencia de los términos hace referencia a la fecha en la que el Cliente aceptó o a las partes que aceptaron estos Términos.

2.2 Los términos "datos personales", "sujeto a datos", "procesamiento", "controlador", "procesador" y "autoridad de la supervisión" que se usan en estas Condiciones tienen los significados otorgados en el GDPR, y los términos "importador de datos" y "exportador de datos" tienen el significado indicado en las Cláusulas de contrato modelo, en cada caso, independientemente de si se aplica la legibilidad de la protección de datos europea o de la protección de datos no europea.


3. Duración y modificación de estas Condiciones

Estas Condiciones se aplicarán en la Fecha de Entrada en Vigor de las Condiciones y, a pesar de la expiración del plazo, seguirán vigentes y se vencerán automáticamente hasta que Google elimine todos los Datos del Cliente, como se describe en estas Condiciones. Google solo puede cambiar estas Condiciones cuando este cambio sea necesario para cumplir con la legislación aplicable, la normativa vigente, una orden judicial o las directrices emitidas por un regulador o una agencia gubernamental, cuando dicho cambio esté expresamente permitido por estas Condiciones o cuando:

  • El cambio sea comercialmente razonable.
  • y no genere una degradación de la seguridad general de los Servicios;
  • No se quiten restricciones o superen el alcance de las restricciones con respecto al procesamiento de Google de los Datos Personales del Cliente, según se describe en la Sección 5.2 (Alcance del Procesamiento) de estas Condiciones.
  • No tenga ningún otro tipo de impacto adverso sustancial sobre los derechos del Cliente en virtud de estas Condiciones.

Si Google realiza un cambio sustancial en estas Condiciones en función de este Artículo, Google publicará la modificación en la URL que contiene estas condiciones. No obstante, cualquier disposición contraria en el Acuerdo o un cambio en estas Condiciones en virtud de este Artículo no requerirá un documento escrito firmado por el Cliente y Google. Ocasionalmente, Google puede cambiar cualquier URL a la que se haga referencia en estas Condiciones y el contenido en cualquiera de estas URL.


4. Alcance de la Ley de protección de datos

4.1 Aplicación de Legislación sobre Europa. Las partes reconocen y aceptan que la Legislación de protección de datos europea se aplicará al procesamiento de los Datos Personales del Cliente si, por ejemplo:

  • El procesamiento se lleva a cabo en el contexto de las actividades de un establecimiento del Cliente en el territorio del EEE.
  • Los Datos personales del Cliente son datos personales relacionados con los sujetos que están en el EEE y el procesamiento se relaciona con la oferta de bienes o servicios en el EEE o la supervisión de su comportamiento en el EEE.

4.2 Aplicación de Legislación sobre el espacio europeo. Las partes reconocen y aceptan que es posible que la Legislación sobre la Protección de Datos fuera de Europa también se aplique al procesamiento de los Datos Personales del Cliente.

4.3 Aplicación de Condiciones. Excepto en la medida en que estas Condiciones indiquen lo contrario, estas Condiciones se aplicarán independientemente de si la Legislación sobre Protección de Datos europea o la Legislación sobre Protección de Datos fuera de Europa se aplica al procesamiento de los Datos Personales del Cliente.


5. Procesamiento de datos

5.1 Funciones y cumplimiento de las normativas, Autorización.

5.1.1 Responsabilidades del Procesador y Controlador. Si la Legislación sobre Protección de Datos europea se aplica al procesamiento de los Datos Personales del Cliente, las partes reconocen y aceptan lo siguiente:

  • El asunto y los detalles del procesamiento se describen en el Apéndice 1.
  • Google es un procesador de esos Datos Personales del Cliente según la Legislación europea sobre la Protección de Datos.
  • El Cliente es un controlador o procesador, según corresponda, de los Datos personales del Cliente conforme a la rigurosidad de la protección de datos europea.
  • Cada una de las partes satisfará las obligaciones aplicables en virtud de la Legislación sobre Protección de Datos europeas con respecto al procesamiento de esos Datos Personales del Cliente.

5.1.2 Autorización por un Controlador de Terceros Si la Legislación Europea de Protección de Datos se aplica al tratamiento de los Datos Personales del Cliente y el Cliente es un procesador, el Cliente garantiza a Google que las instrucciones y acciones del Cliente con respecto a esos Datos Personales, incluida su designación de Google como otro procesador, fueron autorizadas por el controlador correspondiente.

5.1.3 Responsabilidades ante la legislación fuera de Europa. Si la legislación fuera de Europa para la Protección de Datos se aplica al tratamiento de los datos personales del Cliente por parte de cualquiera de las partes, las partes reconocen y aceptan que la parte correspondiente cumplirá con las obligaciones que le sean aplicables en virtud de dicha legislación con respecto al tratamiento de estos Datos Personales del Cliente.

5.2 Permiso del procesamiento.

5.2.1 Instrucciones del cliente. Al aceptar estas Condiciones, el Cliente le indica a Google que procese los Datos Personales del Cliente solo de conformidad con la legislación aplicable: (a) para proporcionar los Servicios y la asistencia de Cloud; (b) como se especifica más adelante según el uso que el Cliente haga de los Servicios de Cloud (incluida la Consola del administrador y otras funciones de los Servicios de Cloud) y de la Asistencia; (c) como se documenta en el formulario del Acuerdo, incluidas estas Condiciones y (d) tal como se documente en cualquier otra instrucción escrita proporcionada por el Cliente y que Google reconozca como instrucciones subsiguientes para los propósitos de estas Condiciones.

5.2.2 Cumplimiento de las instrucciones por parte de Google. Google cumplirá con las instrucciones descritas en el Artículo 5.2.1 (Instrucciones del cliente) (incluidas las que guardan relación con las transferencias de datos), a menos que la ley de la UE o de un Estado miembro de la UE a la que esté sujeta Google requiera otro tipo de procesamiento de los Datos Personales por parte de Google, en cuyo caso Google informará al Cliente (a menos que la ley prohíba que Google lo haga por motivos importantes de interés público) a través de la Dirección de Correo Electrónico de Notificación.

5.3 Proveedores de infraestructura. El Cliente autoriza Amazon Web Services, Inc., Acquia Inc. y Pande Systems, Inc. (cada uno, un “Proveedor de infraestructura”), a través de Apigee Corporation, un subprocesador de Google Affiliate, para proporcionar servicios de infraestructura subyacentes en el aprovisionamiento de los Servicios de Cloud.


6. Eliminación de datos

6.1 Eliminación por parte del Cliente. Google permitirá que el Cliente borre los Datos del Cliente durante el Período de Vigencia en concordancia con la funcionalidad de los Servicios de Cloud. Si el Cliente utiliza los Servicios de Cloud para borrar cualquier Dato del Cliente durante el Período de Vigencia y, luego, no puede recuperar dicho Dato, este uso constituirá una instrucción para que Google elimine los Datos del cliente pertinentes de los sistemas de Google según la legislación aplicable. Google cumplirá con esta instrucción en cuanto sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la legislación estatal de la UE o un miembro de la UE requiera su almacenamiento. Solo la eliminación de la cuenta del cliente generaría la eliminación de todos los datos asociados.

6.2 Eliminación ante la rescisión. En caso de vencimiento del Período de Vigencia, el Cliente le indica a Google que borre todos los Datos del Cliente (incluidas las copias existentes) de los sistemas de Google de conformidad con la legislación aplicable. Google cumplirá con esta instrucción en cuanto sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la legislación estatal de la UE o un miembro de la UE requiera su almacenamiento. Sin perjuicio del Artículo 9.1 (Acceso; Rectificación; Procesamiento Restringido; Portabilidad), el Cliente reconoce y acepta que será responsable de exportar, antes de que finalice el Período de Vigencia, los Datos del Cliente que desee conservar después.


7. Seguridad de los datos

7.1 Medidas de seguridad, controles y asistencia de Google.

7.1.1 Medidas de seguridad de Google. Google implementará y mantendrá medidas técnicas y de organización para proteger los Datos del Cliente contra la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación o el acceso no autorizados, tal como se describe en el Apéndice 2 (las “Medidas de seguridad”). Según este apéndice, las medidas de seguridad incluyen disposiciones para facilitar la encriptación de los datos personales, garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y servicios de Google a fin de ayudar a restablecer el acceso oportuno a los datos personales después de un incidente y para hacer pruebas habituales de eficacia. Google puede actualizar o modificar las medidas de seguridad ocasionalmente, siempre que esas actualizaciones y modificaciones no generen la degradación de la seguridad general de los Servicios de Cloud.

7.1.2 Cumplimiento de la seguridad por parte del personal de Google. Google tomará las medidas adecuadas para garantizar que sus empleados, contratistas y subprocesadores cumplan con las medidas que se apliquen a su permiso de rendimiento, lo que incluye garantizar que todas las personas autorizadas para procesar los Datos Personales del Cliente se comprometan a conservar la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.

7.1.3 Controles de seguridad adicionales. Además de las medidas de seguridad, Google pondrá a disposición Controles adicionales de seguridad para (a) permitir que el Cliente tome medidas para proteger sus Datos y (b) proporcionará al Cliente información sobre la protección, el acceso y el uso de los Datos del Cliente.

7.1.4 Asistencia de seguridad de Google. El Cliente acepta que Google (considerando la naturaleza del procesamiento de los Datos Personales del Cliente y la información disponible para Google) ayudará al Cliente a garantizar el cumplimiento de cualquiera de las obligaciones del Cliente en relación con la seguridad de los datos personales y la violación de la seguridad de los datos personales, incluidas las obligaciones aplicables del Cliente de conformidad con los Artículos 32 al 34 (inclusive), si corresponde, del GDPR, para:

  • Implementar y mantener las medidas de seguridad de conformidad con la Sección 7.1.1 (Medidas de seguridad de Google).
  • La disponibilidad de los Controles de seguridad adicionales para el Cliente de conformidad con la Sección 7.1.3 (Controles de seguridad adicionales).
  • Cumplir con las condiciones de la Sección 7.2 (Incidentes de datos).
  • Proporcionar al Cliente la Documentación de seguridad de acuerdo con la Sección 7.5.1 (Opiniones de la Documentación de seguridad) y la información contenida en el Acuerdo, incluidas estas Condiciones.

7.2 Incidentes de datos

7.2.1 Notificación de incidentes Si Google toma conocimiento de un Incidente de datos, hará lo siguiente: (a) notificará al Cliente de forma inmediata sobre el Incidente de datos y sin demora retrasada luego de que se determine el incidente de datos y (b) tomará las medidas razonables a fin de minimizar los daños y proteger los Datos Personales del Cliente.

7.2.2 Detalles de incidentes de datos. Las notificaciones realizadas en virtud de este artículo describirán, en la medida de lo posible, los detalles de los Incidentes de Datos incluidas las medidas adoptadas para mitigar los posibles riesgos y las medidas que Google recomienda al Cliente que adopte para solucionar el Incidente de Datos.

7.2.3 Entrega de la notificación. Las notificaciones de los incidentes de datos se enviarán a la Dirección de correo electrónico de notificación o, a discreción de Google, mediante comunicación directa (por ejemplo, llamadas telefónicas o reuniones en persona). El Cliente es el único responsable de garantizar que la Dirección de correo electrónico de notificación sea actual y válida.

7.2.4 No habrá evaluación de Datos Personales del Cliente por parte de Google. Google no evaluará el contenido de los Datos Personales del Cliente para identificar la información que esté sujeta a cualquier requisito legal específico. Sin perjuicio de las obligaciones de Google en virtud del Artículo 7.2 (Incidentes de Datos), el Cliente es el único responsable de cumplir con las leyes de notificación de incidentes aplicables al Cliente y con cualquier obligación de notificación a terceros de conformidad con cualquier Incidente de Datos.

7.2.5 Ausencia de Reconocimiento de Errores por parte de Google. La notificación o la respuesta de Google ante un Incidente de Datos en virtud de este Artículo 7.2 (Incidentes de Datos) no se interpretará como un reconocimiento por parte de Google, de cualquier culpa o responsabilidad con respecto al Incidente de Datos.

7,3Responsabilidades y evaluación de la seguridad del cliente

7.3.1 Responsabilidades de la seguridad del cliente. El Cliente acepta que, sin perjuicio de las obligaciones de Google en virtud del Artículo 7.1 (Medidas de seguridad, controles y asistencia de Google) y el Artículo 7.2 (Incidentes de datos):

  • El Cliente es el único responsable de su uso de los Servicios de Cloud, que incluye lo siguiente:
    • hacer uso adecuado de los Servicios de Cloud y los Controles de seguridad adicionales para garantizar un nivel de seguridad apropiado ante riesgos relacionados con los datos del cliente;
    • proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que usa el cliente para acceder a los servicios de Cloud;
    • crear copias de seguridad de sus Datos de clientes según corresponda; ya que
  • Google no tiene ninguna obligación de proteger las copias de los Datos del Cliente que este elija almacenar o transferir fuera de los sistemas de Google y de sus Subprocesadores (por ejemplo, el almacenamiento local o sin conexión), ni de proteger los Datos del Cliente implementando o manteniendo Controles de Seguridad Adicionales, salvo en la medida en que el Cliente haya decidido usarlos.

7.3.2 Evaluación de seguridad del cliente.

  • El Cliente es el único responsable de revisar la Documentación de seguridad y de evaluar por sí mismo si los Servicios de Cloud, las medidas de seguridad, los Controles de seguridad adicionales y los compromisos de Google que figuran en este Artículo 7 (Seguridad de los datos) satisfacen las necesidades del Cliente, entre otros, con respecto a las obligaciones de seguridad del Cliente conforme a la ley de Protección de Datos Europea o la Responsabilidad de la protección de datos no europea, según corresponda.
  • El Cliente reconoce y acepta que (teniendo en cuenta la vanguardia, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento de los Datos personales del Cliente, así como los riesgos para las personas) Google, como se establece en la Sección 7.1.1 (medidas de seguridad de Google), proporciona un nivel de seguridad apropiado para el riesgo con respecto a los datos del cliente.

7.4 Informes y certificaciones de seguridad. Google realizará las siguientes acciones para evaluar y asegurar la efectividad continua de las medidas de seguridad:

  • mantener la certificación ISO 27001, la certificación ISO 27017, y la certificación ISO 27018; y
  • actualizar el informe de SOC 2 y el informe SOC 3 al menos una vez cada 18 meses.

7.5 Opiniones y auditorías de cumplimiento

7.5.1 Opiniones sobre la Documentación de Seguridad. Además de la información contenida en el Acuerdo (incluidas estas Condiciones), Google pone a disposición del Cliente los siguientes documentos y la siguiente información para demostrar el cumplimiento de Google con sus obligaciones en virtud de estas Condiciones.

  • Los certificados emitidos en relación con la certificación ISO 27001, la certificación ISO 27017 y la Certificación ISO 27018;
  • el informe SOC 3 actual en ese momento; y
  • el informe de SOC 2 vigente en ese momento y luego de una solicitud del Cliente de acuerdo con el Artículo 7.5.3(a).

7.5.2 Derechos de auditoría del Cliente.

  • Si la Legislación sobre Protección de Datos europea se aplica al procesamiento de los Datos Personales del Cliente, Google le permitirá al Cliente, o a un auditor independiente designado por el Cliente, realizar auditorías (incluidas las inspecciones) para verificar que Google cumple con sus obligaciones en virtud de estas Condiciones y de conformidad con el Artículo 7.5.3 (Condiciones Empresariales Adicionales para Revisiones y Auditorías). Google colaborará con esas auditorías tal como se describe en el Artículo 7.4 (Informes y Certificaciones de Seguridad) y el Artículo 7.5 (Opiniones y Auditorías de Cumplimiento).
  • Si el Cliente aceptó las Cláusulas de contrato modelo, como se describe en la Sección 10.2 (Transferencias de datos fuera del EEE), Google, sin perjuicio de los derechos de auditoría de una autoridad supervisora de dichas Cláusulas contractuales modelo, permitirá al Cliente o un auditor independiente designado por el Cliente a realizar auditorías como se describe en las Cláusulas de contrato del modelo de acuerdo con la Sección 7.5.3 (Términos empresariales adicionales para revisiones y auditorías).
  • El Cliente también puede realizar una auditoría para verificar que Google cumpla con sus obligaciones en virtud de estas Condiciones mediante la revisión de la Documentación de Seguridad (que refleja el resultado de las auditorías realizadas por el auditor de terceros de Google).

7.5.3 Términos Empresariales Adicionales para las Revisiones y Auditorías.

  • El Cliente debe enviar cualquier solicitud de revisión del Informe de SOC 2 en virtud del Artículo 7.5.1(b) o para la realización de auditorías de los Artículos 7.5.2(a) o 7.5.2(b) al Equipo de Protección de Datos de Google como se describe en el Artículo 12 (Equipo de Protección de Datos de Cloud; Registros de Procesamiento).
  • Luego de que Google reciba una solicitud en virtud del Artículo 7.5.3 (a), Google y el Cliente analizarán y acordarán por adelantado: (i) las fechas y los controles de confidencialidad y seguridad aplicables a cualquier revisión del informe SOC 2 según el Artículo 7.5.1 (b); y (ii) la fecha de inicio, el alcance y la duración razonables de los controles de confidencialidad y seguridad aplicables a cualquier Artículo 7.5.2 (a) o 7.5.2 (b).
  • Google podrá cobrar una tarifa (según los costos razonables de Google) por cualquier revisión del Informe de SOC 2 bajo el Artículo 7.5.1(b) o auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b) para crear el adjunto de VLAN de supervisión. Google le proporcionará al Cliente más detalles sobre cualquier tarifa aplicable y la base de su cálculo, antes de dicha revisión o auditoría. El Cliente será responsable de las tarifas que cobre cualquier auditor que haya designado para ejecutar dicha auditoría.
  • Google puede objetar por escrito a un auditor designado por el Cliente para realizar cualquier auditoría conforme al Artículo 7.5.2(a) o 7.5.2(b) si, según la opinión razonable de Google, el auditor no está cualificado, forma parte de la competencia de Google o es claramente inadecuado. Cualquier objeción de Google requerirá que el Cliente designe a otro auditor o realice la auditoría por sí mismo.

7.5.4 No hay Modificación de las MCC. Ninguna de las disposiciones del Artículo 7.5 (Opiniones y auditorías de cumplimiento) varía o modifica los derechos o las obligaciones del Cliente o de Google LLC en virtud de las Cláusulas de Contrato Modelo que se describen en el Artículo 10.2 (Transferencias de Datos fuera del EEE).


8. Evaluaciones y Asesoramiento de Impacto.

El Cliente acepta que Google tendrá en cuenta la naturaleza del procesamiento y la información disponible para el Cliente a fin de garantizar el cumplimiento de todas las obligaciones del Cliente con respecto a las evaluaciones de impactos sobre la protección de datos y la consulta previa, entre los que se incluyen las obligaciones aplicables del Cliente de acuerdo con los Artículo 35 y 36 del GDPR. Para ello, hará lo siguiente:

  • Proporcionar controles de seguridad adicionales de acuerdo con la Sección 7.1.3 (Controles de seguridad adicionales) y la Documentación de seguridad de acuerdo con la Sección 7.5.1 (Opiniones de Documentación de seguridad); y
  • proporcionar la información contenida en el Acuerdo, incluidas estas Condiciones.


9. Derechos de los sujetos y datos exportación de datos

9.1 Acceso; Rectificaciones; Procesamiento Restringido; Portabilidad. Durante el Período de Vigencia, Google, de forma coherente con la funcionalidad de los Servicios de Cloud, permitirá que el Cliente acceda, rectifique y restrinja el procesamiento de los Datos del Cliente, incluida la función de eliminación que indica Google en el Artículo 6.1 (Eliminación por el Cliente) y para exportar Datos del Cliente.

9.2 Solicitudes del Sujeto

9.2.1 Responsabilidad del Cliente por las Solicitudes. Durante el Período de Vigencia, si Google recibe cualquier solicitud de un sujeto relacionada con los Datos Personales del Cliente, Google le pedirá al sujeto enviar su solicitud al Cliente y el Cliente será el responsable de responder ante cualquier solicitud incluida, si es necesario, mediante la funcionalidad de los Servicios de Cloud.

9.2.2 Asistencia para Solicitudes de Sujetos de Google. El Cliente acepta que Google (que tiene en cuenta la naturaleza del procesamiento de los Datos Personales del Cliente) ayudará al Cliente a cumplir con cualquier obligación de responder a las solicitudes realizadas por los sujetos, incluso si la obligación del Cliente se aplica para responder solicitudes a fin de ejercer los derechos del sujeto establecidos en el Capítulo III del GDPR, por lo siguiente:

  • proporcionar controles de seguridad adicionales de acuerdo con el Artículo 7.1.3 (Controles de seguridad adicionales); y
  • cumplir con los compromisos establecidos en la Sección 9.1 (Acceso, reproducción, procesamiento restringido, portabilidad) y la Sección 9.2.1 (Responsabilidad del Cliente para las Solicitudes).


10. Transferencias de datos

10.1 Instalaciones para el Almacenamiento de Datos y el Procesamiento. Google puede, sujeto al Artículo 10.2 (Transferencias de Datos fuera del EEE), almacenar y procesar los Datos del Cliente en cualquier lugar que Google o sus Subprocesadores tengan instalaciones.

10.2 Transferencias de datos fuera del EEE.

10.2.1 Obligaciones de transferencia de Google. Si el almacenamiento o el procesamiento de los Datos Personales del Cliente implica transferencias de Datos Personales del Cliente fuera del EEE, y la Legislación sobre Protección de Datos europea se aplica a las transferencias de dichos datos ("Datos personales transferidos"), Google hará lo siguiente:

  • Si el Cliente lo solicita, se asegura de que Google LLC sea el importador de datos de los Datos personales transferidos a través del Cliente como el exportador de datos de esos datos y la transferencia se realice de acuerdo con las con esas Cláusulas de contrato modelo.
  • Ofrece una Solución de transferencia alternativa, asegura que las transferencias se realicen de acuerdo con dicha Solución de transferencia alternativa y pone a disposición del Cliente información sobre dicha Solución de transferencia alternativa.

10.2.2 Obligaciones de transferencia del Cliente. En relación con los datos personales transferidos, el Cliente acepta lo siguiente:

  • En virtud de la Legislación sobre Protección de Datos europea, Google exige que el Cliente inicie Cláusulas de contrato modelo para las transferencias, y el Cliente lo hará.
  • Si la ley de protección de datos europea de Google requiere que el Cliente use de manera razonable una solución de transferencia alternativa que ofrece Google, y solicita que el Cliente realice cualquier acción (que puede incluir la ejecución de documentos) estrictamente necesaria para dar efecto completo a la solución, el cliente lo hará.

10.3 Información del Centro de Datos de Google. La información sobre las ubicaciones de los centros de datos de Google está disponible en https://www.google.com/about/datacenters/inside/locations/index.html (Google puede actualizar esta información ocasionalmente).

10.4 Divulgación de Información Confidencial que incluya Datos personales. Si el Cliente suscribió las Cláusulas de Contrato Modelo, como se describe en el Artículo 10.2 (Transferencias de datos fuera del EEE), Google, a pesar de cualquier condición contraria en el Acuerdo, garantiza que cualquier divulgación de la Información Confidencial del Cliente que contenga datos personales y cualquier notificación relacionada con esas divulgaciones se realizará en función de dichas Cláusulas de Contrato Modelo.


11. Subprocesadores

11.1 Consentimiento para la participación de Subprocesadores. El Cliente autoriza específicamente la participación como Subprocesadores de: (a) las entidades que se enumeren a partir de la Fecha de Entrada en Vigencia de las Condiciones, en la URL especificada en el Artículo 11.2 (Información acerca de los subprocesadores) y (b) todos los demás Afiliados ocasionales de Google. Además, por lo general, el Cliente autoriza la participación de otros terceros como Subprocesadores (“Nuevos Subprocesadores de terceros”). Si el Cliente suscribió las Cláusulas de Contrato Modelo como se describe en el Artículo 10.2 (Transferencias de datos fuera del EEE), las autorizaciones anteriores se constituirán como el consentimiento previo y por escrito del Cliente para la subcontratación por parte de Google LLC del procesamiento de los Datos del Cliente, si este consentimiento es obligatorio en virtud de las Cláusulas de Contrato Modelo.

11.2 Información sobre los Subprocesadores. La información sobre los subprocesadores de Google, incluidas sus funciones y ubicaciones, está disponible en https://cloud.google.com/terms/third-party-suppliers (Google puede actualizar esta información ocasionalmente en función de estas Condiciones).

11.3 Requisitos para la participación de Subprocesadores. Cuando se contrate un Subprocesador, Google hará lo siguiente:

  • Garantizar un contrato escrito que especifique lo siguiente:
    • El Subprocesador solo accede a los Datos del Cliente y los usa en la medida en la que se realicen las obligaciones contraídas; y lo hace de conformidad con el Acuerdo (incluidas las Condiciones) y cualquier Cláusula de contrato modelo que ingrese o Solución alternativa de transferencia que adopta Google según se describe en la Sección 10.2 (Transferencias de datos fuera del EEE).
    • Si el GDPR se aplica al procesamiento de los Datos Personales del Cliente, las obligaciones de protección de datos establecidas en el Artículo 28(3) del GDPR, descritas en estas Condiciones, se aplicarán en el Subprocesador.
  • Es completamente responsable de todas las obligaciones contraídas, y de todos los actos y omisiones del Subprocesador.

11.4 Oportunidad para Oponerse a los Cambios del Subprocesador.

  • Cuando un Subprocesador externo nuevo participa durante el Período de vigencia, Google, al menos 30 días antes de que el Subprocesador externo procese los Datos del cliente, le informa al cliente sobre el compromiso, (que incluye el nombre y la ubicación del subprocesador relevante y las actividades que realizará) mediante el envío de un correo electrónico a la dirección de correo electrónico de notificación.
  • El Cliente puede oponerse a cualquier Subprocesador de terceros nuevo finalizando inmediatamente el Acuerdo tras enviar una notificación por escrito a Google, con la condición de que el Cliente envíe dicha notificación en un plazo de 90 días desde que se le informe la participación del subprocesador, como se describe en el Artículo 11.4(a). Este derecho de rescisión es la solución única y exclusiva del Cliente si se opone a cualquier Subprocesador de terceros nuevo.


12. Equipo de Protección de Datos de Cloud; Procesamiento de registros.

12.1 Equipo de Protección de Datos de Cloud de Google. Si tiene un paquete de asistencia de Edge Cloud, cree un ticket de asistencia a través del portal de asistencia de Edge para comunicarse con el Equipo de Protección de Datos en la Nube de Google. Si no es así, el equipo de Protección de datos de Google puede comunicarse con nosotros si completa el formulario que se encuentra enhttps://support.google.com/cloud/contact/dpo (o a través de otros medios que Google pueda proporcionar ocasionalmente).

12.2 Registros de procesamiento de Google. El Cliente reconoce que Google tiene la obligación de hacer lo siguienteen función del GDPR: (a) recopilar y mantener registros de cierta información, incluidos el nombre y los detalles de contacto de cada procesador o controlador que actúe en nombre de Google y, cuando corresponda, del representante local y el oficial de protección de datos de ese procesador o controlador y (b) tener la información disponible para las autoridades supervisoras. Por lo tanto, si el GDPR se aplica al procesamiento de los Datos Personales del Cliente, cuando se le solicite, deberá proporcionar dicha información a Google mediante la Consola del administrador o cualquier otro medio que proporcione Google, y usará la Consola del administrador o algún otro medio para garantizar que toda la información proporcionada sea precisa y esté actualizada.


13. Responsabilidad

13.1 Limitación de responsabilidad. Si las Cláusulas de contrato modelo se ingresaron como se describe en la sección 10.2 (Transferencias de datos fuera del EEE), la responsabilidad total de las partes y sus afiliados hacia la otra parte y sus afiliados en virtud del acuerdo y de las cláusulas de contrato de modelo combinadas se limitan a la limitación de responsabilidad para la parte relevante, sujeta a la sección 13.2 (Exclusiones de la limitación de responsabilidad).

13.2 Exclusiones del límite de responsabilidad. Ninguna disposición del Artículo 13.1 (Límite de responsabilidad) afectará las condiciones restantes del Acuerdo relacionadas con la responsabilidad (incluidas las exclusiones específicas de cualquier limitación de responsabilidades).


14. Beneficiarios terceros

Sin perjuicio de ninguna disposición en contrario en el Acuerdo, en el que Google LLC no es una de las partes del Acuerdo, Google LLC será un beneficiario tercero del Artículo 7.5 (Revisiones y auditorías de cumplimiento), Artículo 11.1 (Consentimiento para Participación de Subprocesadores) y del Artículo 13 (Responsabilidad) de estas Condiciones.


15. Efecto de estas Condiciones

Sin perjuicio de ninguna disposición en contrario en el Acuerdo, en la medida de cualquier conflicto o inconsistencia entre estas Condiciones y las Condiciones restantes del Acuerdo, estas Condiciones prevalecerán.


Apéndice 1: Cuestiones y detalles del Procesamiento de Datos

Asunto
La prestación de los servicios de Cloud y la asistencia al cliente de Google.

Duración del procesamiento
La condición más el período desde el vencimiento de la condición de vigencia hasta que se borren todos los datos del cliente de Google en conformidad con estas Condiciones.

Naturaleza y propósito del procesamiento
Google procesará los datos personales del cliente para los fines de proporcionar los servicios de Cloud y la asistencia al cliente de acuerdo con estas Condiciones.

Categorías de datos
Datos relacionados con personas proporcionadas a Google a través de los Servicios de Cloud por parte (o por la dirección del cliente) o por los usuarios finales del cliente.

Sujetos
Los sujetos incluyen a las personas sobre las que el cliente o los usuarios finales proporcionan los Datos de Google a través de los Servicios de Cloud.


Apéndice 2: Medidas de seguridad

A partir de la Fecha de entrada en vigencia de las Condiciones, Google implementará y mantendrá las medidas de seguridad establecidas en este Apéndice 2. Google puede actualizar o modificar estas Medidas de Seguridad ocasionalmente, siempre que esas actualizaciones y modificaciones no provoquen la degradación de la seguridad general de los Servicios de Cloud.


1. Centros de Datos y Seguridad de la Red

En este Artículo 1, solo se describen la seguridad de la red y el centro de datos administrado y propiedad de Google y no los de subprocesadores o proveedores de infraestructura de terceros.

(a) Centros de datos de Google.

Infraestructura. Google mantiene centros de datos distribuidos geográficamente. Google almacena todos los datos de producción en centros de datos físicos seguros.

Redundancia. Los sistemas de infraestructura se diseñaron para eliminar los puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Los circuitos dobles, los interruptores, las redes y otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios de Cloud están diseñados para permitir que Google realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupciones. Todas las instalaciones y los equipos ambientales han documentado procedimientos de mantenimiento preventivo en los que se detallan el proceso y la frecuencia de rendimiento según las especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo del equipo de centros de datos se programa a través de un proceso de cambio estándar de acuerdo con los procedimientos documentados.

Energía. Los sistemas de energía eléctrica del centro de datos están diseñados para ser redundantes y para que se puedan mantener sin afectar las operaciones continuas, las 24 horas, todos los días. En la mayoría de los casos, se proporciona una fuente principal y una fuente de energía alternativa, cada una con capacidad equitativa, para los componentes de infraestructura fundamentales en el centro de datos. La fuente de energía alternativa se proporciona a través de varios mecanismos, como fuentes de alimentación sin interrupciones (UPS), que proporcionan una protección de energía siempre confiable durante las caídas de tensión, los apagones, las sobretensiones, las subtensiones y las condiciones de frecuencia atípicas. Si se interrumpe la energía eléctrica, la alimentación de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a su capacidad máxima, durante un máximo de 10 minutos hasta que los sistemas generadores de diésel tomen el control. Los generadores de diésel pueden iniciar automáticamente en cuestión de segundos para proporcionar suficiente energía eléctrica de emergencia como para que el centro de datos funcione a plena capacidad, por lo general, durante un período de días.

Sistemas operativos de servidores. Los servidores de Google usan una implementación basada en Linux y personalizada para el entorno de aplicaciones. Los datos se almacenan mediante algoritmos privados para aumentar la redundancia y la seguridad de los datos. Google emplea un proceso de revisión de código para aumentar la seguridad del código que se usa con el fin de proporcionar los Servicios de Cloud y mejorar los productos de seguridad en entornos de producción.

Continuidad de las empresas. Google replica los datos en varios sistemas para ayudar a protegerlos contra la destrucción o pérdida accidental. Google diseñó y planifica y prueba de forma periódica sus programas de continuidad empresarial y de recuperación ante desastres.

(b) Redes y transmisiones de Google.

Transmisión de datos. Los centros de datos suelen estar conectados a través de vínculos privados de alta velocidad para proporcionar una transferencia de datos rápida y segura entre los centros de datos. Este es un diseño para evitar que los datos se lean, copien, alteren o se quiten sin autorización durante la transferencia o el transporte electrónico, o mientras se registran en medios de almacenamiento de datos. Google transfiere datos a través de protocolos estándar de Internet.

Superficie de ataque externa. Google utiliza varias capas de dispositivos de red y detección de intrusiones para proteger la superficie de ataque externa. Google considera los posibles vectores de ataque y también incorpora tecnologías compiladas con propósitos específicos en sistemas externos.

Detección de intrusiones. El objetivo de la detección de intrusiones es proporcionar estadísticas sobre las actividades de ataques en curso y proporcionar información adecuada para responder ante los incidentes. La detección de intrusiones de Google implica lo siguiente:

  • Controlar de cerca el tamaño y la composición de la superficie de ataque de Google a través de la aplicación de medidas preventivas
  • Emplear controles de detección inteligentes en los puntos de entrada de datos
  • Emplear tecnologías que resuelvan automáticamente situaciones peligrosas

Respuesta ante incidentes. Google supervisa varios canales de comunicación para detectar incidentes de seguridad, además, el personal de seguridad de Google reaccionará con rapidez ante los incidentes conocidos.

Tecnologías de encriptación. Google hace que la encriptación HTTPS (también conocida como conexión SSL o TLS) esté disponible. Los servidores de Google admiten el intercambio de claves criptográficas de la curva elíptica efímera Diffie-Hellman firmadas con RSA y ECDSA. Estos métodos de confidencialidad directa perfecta (PFS) ayudan a proteger el tráfico y minimizar el impacto de una clave comprometida o de una ruptura criptográfica.


2. Controles de sitios y accesos

(a) Controles del sitio. En este Artículo 2(a), solo se describen los controles del sitio del centro de datos administrados y propiedad de Google y no los de subprocesadores o proveedores de infraestructura de terceros.

Operación de seguridad del centro de datos en las instalaciones. Los centros de datos de Google mantienen una operación de seguridad en las instalaciones que es responsable de todas las funciones de seguridad físicas de los centros de datos las 24 horas, todos los días. El personal de operaciones de seguridad en las instalaciones supervisa las cámaras de TV de circuito cerrado (CCTV) y todos los sistemas de alarma. El personal de operaciones de seguridad en las instalaciones realiza ciertas construcciones internas y externas del centro de datos con frecuencia.

Procedimientos de acceso a centros de datos. Google mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos están alojados en instalaciones que requieren acceso con tarjetas de clave electrónicas y que tienen alarmas vinculadas a la operación de seguridad en las instalaciones. Todos los participantes del centro de datos deben identificarse y demostrar su identidad ante las operaciones de seguridad en las instalaciones. Solo los empleados autorizados, los contratistas y los visitantes tienen permitido ingresar a los centros de datos. Solo los empleados y contratistas autorizados pueden solicitar acceso mediante tarjetas de clave electrónicas para estas instalaciones. Las solicitudes de acceso con tarjetas de clave electrónicas para el centro de datos deben realizarse por correo electrónico solicitando la aprobación del administrador del solicitante y del director del centro de datos. Todos los demás participantes que requieran acceso temporal al centro de datos deben: (i) obtener aprobación previa de los administradores de centros de datos para las áreas internas y los centros de datos específicos que deseen visitar; (ii) acceder a las operaciones de seguridad en las instalaciones y (iii) referirse a un registro de acceso al centro de datos aprobado que identifique al individuo como aprobado.

Dispositivos de seguridad del centro de datos en las instalaciones. Los centros de datos de Google emplean tarjetas de clave electrónicas y un sistema de control de acceso biométrico vinculado a una sistema de alarmas. El sistema de control de acceso supervisa y registra la tarjeta de clave electrónica de cada persona, cuando acceden a puertas perimetrales, para hacer envíos y recibir entregas, y cuando acceden a otras áreas críticas. La actividad no autorizada y los intentos de acceso fallidos se registran en el sistema de control de acceso y se investigan, según corresponda. El acceso autorizado en todas las operaciones comerciales y en los centros de datos está restringido en función de las zonas y las responsabilidades del trabajo de la persona. Las puertas contra incendios de los centros de datos tienen alarmas. Las cámaras CCTV funcionan dentro y fuera de los centros de datos. El posicionamiento de las cámaras se diseñó para cubrir áreas estratégicas, incluidas, entre otras, el perímetro, las puertas al edificio del centro de datos y los espacios de envíos y recepciones. El personal de operaciones de seguridad en las instalaciones administra los equipos de supervisión, grabación y control de CCTV. Los cables seguros de todos los centros de datos conectan el equipo de CCTV. Las cámaras realizan grabaciones del sitio con grabadoras de video digitales las 24 horas, todos los días. Los registros de vigilancia se conservan durante un máximo de 30 días, según la actividad.

(b) Control de acceso.

Personal de seguridad de infraestructuras. Google tiene y mantiene una política de seguridad para su personal, y exige una formación en materia de seguridad como parte del paquete de formación de su personal. El personal de seguridad de la infraestructura de Google es el responsable de supervisar continuamente esta infraestructura, la revisión de los servicios de Cloud y la respuesta a los incidentes de seguridad.

Control de acceso y administración de privilegios Los administradores del cliente deben autenticarse a través del sistema central de autenticación o de un sistema de inicio de sesión único para administrar los servicios de Cloud.

Políticas y procesos de acceso a los datos internos. Política de acceso. Los procesos y las políticas de acceso a los datos internos de Google se diseñaron para evitar que personas o sistemas no autorizados accedan a los sistemas se usan en el procesamiento de los datos personales. Google diseña sus sistemas para (I) que solo las personas autorizadas puedan acceder a los datos a los que pueden acceder. y (ii) asegúrese de que los datos personales no se puedan leer, copiar, modificar ni quitar sin autorización durante el procesamiento, el uso y después de la grabación. Los sistemas están diseñados para detectar cualquier acceso inapropiado. Google emplea un sistema de administración de acceso centralizado para controlar el acceso del personal a los servidores de producción, y solo proporciona acceso a una cantidad limitada de personal autorizado. El LDAP, Kerberos y un sistema propio que usa certificados SSH están diseñados para proporcionar a Google mecanismos de acceso flexibles y seguros. Estos mecanismos están diseñados para conceder únicamente derechos de acceso aprobados a los hosts del sitio, los registros, los datos y la información de configuración. Google requiere el uso de ID de usuario únicos, contraseñas seguras, autenticación de dos factores y listas de acceso supervisadas con cuidado para minimizar uso potencial no autorizado de cuentas. El otorgamiento o la modificación de los derechos de acceso se basa en las responsabilidades laborales del personal autorizado, los requisitos de laborales necesarios para realizar tareas autorizadas y en el caso exclusivo de que sea necesario. El otorgamiento o la modificación de los derechos de acceso también deben cumplir con las políticas y la capacitación para el acceso a los datos internos de Google. Las herramientas de flujo de trabajo administran las aprobaciones, para mantener registros de auditoría sobre todos los cambios. El acceso a los sistemas se guarda fin de crear un registro de auditoría para la rendición de cuentas. Cuando se emplean las contraseñas para la autenticación (p. ej., el acceso a estaciones de trabajo), se implementan políticas de contraseña que siguen las prácticas estándar de la industria, como mínimo. Estos estándares incluyen restricciones para la reutilización de contraseñas, así como contraseñas lo suficientemente seguras. Para acceder a información extremadamente sensible (p. ej., datos de tarjetas de crédito), Google usa tokens de hardware.


3. Datos

(a) Almacenamiento, aislamiento y registro de datos. Google almacena datos en un entorno multiusuario. La arquitectura del sistema de archivos y datos se replica entre varios centros de datos propiedad de Google distribuidos geográficamente. Google también aísla de forma lógica los datos del cliente. El Cliente tendrá control sobre las políticas específicas del uso compartido de datos. Esas políticas, de acuerdo con la funcionalidad de los Servicios de Cloud, permitirán que el Cliente determine la configuración de uso compartido de productos aplicable a sus usuarios con fines específicos. El Cliente puede optar por usar determinadas funcionalidades de registro que Google puede poner a disposición mediante los Servicios.

(b) Política de eliminación de Discos y Discos Fuera de Servicio en los Centros de Datos de Google. Es posible que los discos con datos tengan problemas de rendimiento, errores o fallas de hardware que generen una baja (“Disco Fuera de Servicio”). Todos los Discos que están Fuera de Servicio están sujetos a una serie de procesos de destrucción de datos (la “Política de Eliminación de Datos en Discos”) antes de salir de las instalaciones de Google, ya sea para su reutilización o destrucción. Los discos que están fuera de servicio se borran en un proceso de varios pasos y se verifican con al menos dos validadores independientes. El número de serie del disco fuera de servicio se retira para realizar un seguimiento. Por último, el Disco Fuera de Servicio que se borró se publica en el inventario para su reutilización y reimplementación. Si, debido a una falla en el hardware, el Disco Fuera de Servicio no se puede borrar, se almacena de forma segura hasta que se pueda destruir. Cada instalación se audita con regularidad para supervisar el cumplimiento de la Política de Eliminación de Datos en Discos.


4. Seguridad del personal

El personal de Google debe cumplir con unos lineamientos en función de los reglamentos de la empresa en cuanto a la confidencialidad, la ética empresarial, el uso adecuado y los estándares profesionales. Google realiza verificaciones de antecedentes razonablemente apropiadas en la medida que lo permita la ley y de acuerdo con las leyes laborales locales, y los reglamentos aplicables.

El personal debe firmar un acuerdo de confidencialidad, debe confirmar la recepción de las políticas de confidencialidad y privacidad de Google, y asegurar el cumplimiento de estas. El personal recibe la capacitación en seguridad. El personal que maneja los datos de los clientes debe cumplir requisitos adicionales adecuados a su función (p. ej., certificaciones). El personal de Google no procesará los Datos del Cliente sin su autorización.


5. Seguridad del subprocesador

Antes de integrar subprocesadores, Google realiza una auditoría de las prácticas de seguridad y privacidad de los subprocesadores para garantizar que ofrecen un nivel adecuado de seguridad y privacidad para el acceso a los datos y el permiso de los servicios que se comprometen a prestar. Una vez que Google evalúe los riesgos que genera el Subprocesador, sujeto a los requisitos establecidos en el Artículo 11.3 (Requisitos para la participación del Subprocesador) de estas Condiciones, el Subprocesador deberá establecer unas condiciones contractuales de seguridad, confidencialidad y privacidad adecuadas.