Google Cloud y los principios comunes de privacidad

Nuestra responsabilidad compartida para el cumplimiento de la privacidad.

Centro de recursos de privacidad de Google CloudCentro de recursos de DPIA de Google Cloud

Nuestro viaje conjunto de privacidad

Si bien las responsabilidades directas cambian según los servicios que uses, los controles de privacidad siempre están en tus manos y Google siempre es responsable de proteger nuestra infraestructura. Nos esforzamos por operar en un modelo de destino compartido para la administración de la privacidad y la seguridad. Creemos en la colaboración activa para ayudarte a implementar cargas de trabajo y operar de una manera que cumpla con la privacidad, y para ello te proporcionamos productos y soluciones. Esto también transfiere una parte del costo de la privacidad y el cumplimiento a Google Cloud y lo aleja de los clientes.

Controladores de datos y procesadores de datos

Según muchas reglamentaciones de privacidad comunes, el alcance de la responsabilidad se determina según si la entidad actúa como responsable del tratamiento de datos o como encargado del tratamiento de datos. La definición exacta varía según la regulación, pero en términos generales, el rol del controlador determina el propósito y los medios del procesamiento, mientras que el procesador realiza el procesamiento según las instrucciones del controlador.

En esta página, se describen algunos de los principios de privacidad comunes que se aplican a los clientes (que suelen actuar como controladores de datos) y a Google Cloud (que suele actuar como procesador de datos).

Principios de privacidad comunes clave para los controladores de datos

Los siguientes principios de privacidad son relevantes para la conducta de los controladores de datos que colocan sus datos en la nube y se aplican a muchas jurisdicciones de todo el mundo. Estos principios se basan en estándares y marcos reconocidos a nivel mundial (como los Principios de Privacidad de la OCDE, los Principios de Privacidad de la Información Justa, ISO/IEC 27001, etcétera) y las principales reglamentaciones regionales (como LGPD, GDPR, CPRA, etcétera).

Para obtener más información sobre cómo Google Cloud puede ayudarte a cumplir con tus obligaciones con estos principios, visita nuestra página de productos relevantes.

Más información.

Recopilación y minimización de datos

Los datos personales deben ser relevantes y limitarse a lo que es necesario en relación con los propósitos para los que se recopilan.

Limitación de almacenamiento

Los datos personales deben conservarse en una forma que permita la identificación de los sujetos de datos durante el tiempo que sea necesario.

Limitación del propósito

Los datos personales deben recopilarse para fines específicos, explícitos y legítimos, y no deben procesarse de una manera que sea incompatible con esos fines.

Integridad y confidencialidad

Los datos personales deben procesarse de forma que se garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, a través de medidas técnicas u organizacionales adecuadas.


Principios de privacidad comunes clave para los procesadores de datos

Nuestro acuerdo de procesamiento de datos para Google Workspace y Google Cloud expresa de forma clara nuestro compromiso de privacidad con los clientes. Estas condiciones fueron evolucionando con los años según los comentarios de nuestros clientes y reguladores. Todos los datos que un cliente y sus usuarios ingresen en nuestros sistemas solo se procesarán de acuerdo con las instrucciones del cliente.

Compromisos de confidencialidad del personal

Todos los empleados de Google deben firmar un acuerdo de confidencialidad y realizar capacitaciones obligatorias sobre confidencialidad y privacidad, además de una capacitación sobre el código de conducta. El código de conducta de Google aborda específicamente las responsabilidades y el comportamiento esperado con respecto a la protección de la información.

Para ver las condiciones completas, consulta: Google Cloud y Google Workspace: Anexo de Tratamiento de Datos de Cloud (CDPA)

Las empresas del Grupo de Google realizan directamente la mayoría de las actividades de procesamiento de datos necesarias para proporcionar los servicios de Google Workspace y de Google Cloud. Sin embargo, contamos con algunos proveedores externos que brindan asistencia para respaldar estos servicios. Cada proveedor debe pasar un riguroso proceso de selección con el fin de garantizar que cuente con los conocimientos técnicos necesarios y pueda proporcionar los niveles de seguridad y privacidad adecuados.

Ponemos a disposición la información relacionada con los subprocesadores del Grupo de Google que respaldan los servicios de Google Workspace y Google Cloud, así como con los subprocesadores de terceros involucrados en esos servicios.

Para obtener una lista completa de las condiciones contractuales relevantes, consulta:

  • Google Cloud y Google Workspace: Anexo de Tratamiento de Datos de Cloud (CDPA)
  • Procesamiento de datos | Sección 5.2

Google opera con una infraestructura de escala global diseñada para proporcionar seguridad de vanguardia en todo el ciclo de vida del procesamiento de la información. Esta infraestructura se creó para lograr una implementación segura de los servicios, un almacenamiento seguro de datos con protecciones de privacidad de usuarios finales, comunicaciones seguras entre los servicios, una comunicación privada y segura con los clientes en Internet y una forma de trabajo segura para los administradores. Google Workspace y Google Cloud se ejecutan en esta infraestructura.

Diseñamos la seguridad de nuestra infraestructura con capas que se complementan entre sí, desde la seguridad física de los centros de datos y las protecciones de seguridad de nuestro hardware y software hasta los procesos que usamos para respaldar la seguridad operativa. En esta protección por capas, se crea una base sólida de seguridad para todas nuestras actividades. Si deseas leer un análisis detallado de la seguridad de nuestra infraestructura, consulta el informe Descripción general del diseño de seguridad de la infraestructura de Google.

Disponibilidad, integridad y resiliencia

Google diseña los componentes de la plataforma para que sean altamente redundantes. Los centros de datos de Google están distribuidos geográficamente para minimizar los efectos de las interrupciones regionales en los productos globales, como en el caso de desastres naturales y suspensiones de servicio locales. Si se produce una falla en el hardware, el software o la red, los servicios se cambian de forma inmediata y automática de una instalación a otra para que las operaciones puedan continuar sin interrupciones. Nuestra infraestructura altamente redundante ayuda a los clientes a protegerse de la pérdida de datos.

Seguridad y pruebas del equipo

Google utiliza códigos de barras y etiquetas de elementos para hacer un seguimiento del estado y la ubicación del equipo del centro de datos desde la adquisición hasta la instalación, el retiro y la destrucción. Si un componente no pasa una prueba de cumplimiento en cualquier momento de su ciclo de vida, se quita del inventario y se da de baja. Los discos duros de Google usan tecnologías como la encriptación de disco completo (FDE) y el bloqueo de la unidad para proteger los datos en reposo.

Pruebas de recuperación ante desastres

Google realiza pruebas de recuperación ante desastres de forma anual a fin de proporcionar un lugar coordinado para que los equipos de infraestructura y aplicaciones prueben los planes de comunicación, las situaciones de conmutación por error, la transición operativa y otras respuestas a emergencias. Todos los equipos que participan del ejercicio de recuperación ante desastres desarrollan planes de pruebas y acciones posteriores que documentan los resultados y los aprendizajes que se obtuvieron con las pruebas.

Encriptación

Google usa la encriptación para proteger datos en tránsito y en reposo. Los datos en tránsito entre regiones de Google Workspace están protegidos con HTTPS, que se activa de forma predeterminada para todos los usuarios. Los servicios de Google Workspace y Google Cloud encriptan el contenido de los clientes almacenado en reposo mediante uno o más mecanismos de encriptación sin que los clientes deban realizar ninguna acción.

Controles de acceso

A los empleados de Google se les otorgan derechos y niveles de acceso según su puesto de trabajo y su función, y se les asignan los privilegios mínimos y la información básica necesarios para que cumplan con sus responsabilidades. Las solicitudes de acceso adicional siguen un proceso formal que requiere una solicitud y la aprobación del propietario de los datos o del sistema, del administrador o de otros ejecutivos, ya que así lo dictaminan las políticas de seguridad de Google. Los centros de datos que albergan los componentes de sistemas y de infraestructura de Google Cloud están sujetos a restricciones de acceso físico y equipados con personal de seguridad las 24 horas, todos los días, guardias de seguridad, credenciales de acceso, mecanismos de identificación biométrica, cerraduras físicas y cámaras de video para supervisar el interior y el exterior de las instalaciones.

Administración de incidentes

Google cuenta con un equipo de seguridad exclusivo que es el responsable de la seguridad y la privacidad de los datos de los clientes y que controla la seguridad las 24 horas, todos los días en todo el mundo. Las personas de este equipo reciben notificaciones relacionadas con incidentes y son las responsables de ayudar a solucionar las emergencias las 24 horas, todos los días. Se establecieron políticas de respuesta ante incidentes y los procedimientos para resolver incidentes críticos están documentados. La información de estos eventos se usa para evitar incidentes en el futuro y se puede utilizar a fin de proporcionar ejemplos en las capacitaciones de seguridad de la información. Los procesos para la administración de incidentes y los flujos de trabajo de las respuestas están documentados. Los procesos de Google se prueban con regularidad como parte de nuestros programas ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS, SOC 2 y FedRAMP para ofrecerles a nuestros clientes y entes reguladores una verificación independiente de nuestros controles de cumplimiento, seguridad y privacidad. Si deseas obtener más información sobre nuestro proceso de respuesta ante incidentes, consulta el Informe del proceso de respuesta ante incidentes de datos.

Administración de vulnerabilidades

Analizamos las vulnerabilidades del software con una combinación de herramientas internas para propósitos específicos que están comercialmente disponibles, pruebas intensivas de penetración manuales y automatizadas, procesos de control de calidad, revisiones de la seguridad del software y auditorías externas. También nos apoyamos en la comunidad más amplia de investigadores de la seguridad y valoramos enormemente su ayuda en la identificación de vulnerabilidades en Google Workspace, Google Cloud y otros productos de Google. Nuestro Programa de recompensas por detección de vulnerabilidades incentiva a los investigadores a informar problemas en el diseño y la implementación que podrían poner en riesgo los datos de los clientes.

Seguridad del producto: Google Workspace: Para obtener más información, visita https://workspace.google.com/security.

Seguridad de productos: Google Cloud: Para obtener más información, visita https://cloud.google.com/security/

Para conocer todas las condiciones, consulta lo siguiente:

  • Google Cloud y Google Workspace: Anexo de Tratamiento de Datos de Cloud (CDPA)
  • Seguridad de los datos | Sección 7
  • Medidas de seguridad | Apéndice 2
  • Contenido relacionado: Informe de seguridad de Google

Derechos de los sujetos

Los controladores de datos pueden usar las consolas del administrador y las funciones de los servicios de Google Workspace y Google Cloud para facilitar el acceso, la rectificación, la restricción del procesamiento y la eliminación de todos los datos que ellos y los usuarios ingresaron en nuestros sistemas. Esta funcionalidad los ayudará a cumplir con sus obligaciones de responder a las solicitudes de los sujetos para ejercer sus derechos de conformidad con el GDPR.

Equipo de Protección de Datos

Google designó un oficial de protección de datos para Google LLC y sus filiales con el fin de cubrir el procesamiento de datos en función del RGPD, incluido como parte de nuestros productos y servicios de Cloud. Kristie Chon Flynn es la oficial de protección de datos de Google. Kristie Chon Flynn se encuentra en Sunnyvale, EE.UU.

Cuando es necesario, los productos de Google Cloud cuentan con equipos designados para abordar las consultas de los clientes sobre la protección de datos. En los acuerdos pertinentes, se describe cómo contactar a estos equipos. Para Google Workspace, los administradores del cliente se pueden contactar con el equipo de protección de datos en la nube en https://support.google.com/a/contact/googlecloud_dpr (si acceden con sus cuentas de administrador) o directamente mediante un aviso a Google según se describe en el Acuerdo pertinente. Para Google Cloud, te puedes comunicar con ese equipo en https://support.google.com/cloud/contact/dpo.

Notificaciones de incidentes

Google Workspace y Google Cloud proporcionan compromisos contractuales relacionados con la notificación de los incidentes desde hace años. Seguiremos informándote sin demora sobre los incidentes relacionados con los datos de tus clientes de conformidad con las condiciones correspondientes que se estipulan en nuestros acuerdos actuales.

Para conocer todas las condiciones, consulta lo siguiente:

  • Google Cloud y Google Workspace: Anexo de Tratamiento de Datos de Cloud (CDPA)
  • Evaluaciones y consultas de impacto | Sección 8

Los administradores pueden exportar datos de clientes mediante las funciones de los servicios de Google Workspace o Google Cloud (consulta la documentación de Google Cloud para obtener más información) en cualquier momento durante el plazo del acuerdo. Incluimos compromisos de varios años para la exportación de datos en nuestras Condiciones del Procesamiento de Datos y seguiremos trabajando para mejorar estas capacidades de exportación, a fin de facilitar la descarga de una copia de los datos de tus clientes desde los servicios de Google Workspace y Google Cloud.

También puedes borrar datos de clientes con la funcionalidad de los servicios de Google Workspace o Google Cloud, en cualquier momento. Cuando Google recibe una instrucción de eliminación total de tu parte (por ejemplo, cuando borraste un correo electrónico y ya no se puede recuperar de tu “papelera”), borra los datos de cliente relevantes de todos sus sistemas en un período de hasta 180 días, a menos que se apliquen obligaciones de retención.

Para conocer todas las condiciones, consulta lo siguiente:

  • Google Cloud y Google Workspace: Anexo de Tratamiento de Datos de Cloud (CDPA)
  • Eliminación de datos | Sección 6
  • Derechos de los sujetos; Exportación de datos | Sección 9.1

Google Cloud y Google Workspace: Anexo de Tratamiento de Datos de Cloud (CDPA)

Seguridad de los datos | Sección 7.4

Además de los términos del acuerdo, nuestros clientes y reguladores esperan una verificación independiente de los controles de seguridad, privacidad y cumplimiento. Google Workspace y Google Cloud se someten a diversas auditorías independientes de terceros de manera habitual para proporcionar esta garantía.

ISO/IEC 27001 (Administración de la seguridad de la información):

ISO/IEC 27001 es uno de los estándares de seguridad independientes más aceptados del mundo y uno de los más reconocidos. Obtuvimos la certificación ISO/IEC 27001 para los sistemas, las aplicaciones, los empleados, la tecnología, los procesos y los centros de datos que forman parte de nuestra infraestructura común compartida, así como para los productos Google Workspace y Google Cloud. Puedes acceder a estos certificados con Administrador de informes de cumplimiento.

ISO/IEC 27017 (Seguridad en la nube):

ISO/IEC 27017, basado en ISO/IEC 27002, es un estándar internacional de práctica destinado a controles de seguridad de la información específicamente pensado para los servicios en la nube. Google cuenta con una certificación del cumplimiento de ISO/IEC 27017 para Google Workspace y Google Cloud. Puedes acceder a estos certificados con el Administrador de informes de cumplimiento.

ISO/IEC 27018 (Privacidad en la nube):

ISO/IEC 27018 es un estándar internacional de práctica para la protección de la información de identificación personal (PII) en servicios de nube pública. Google cuenta con una certificación del cumplimiento de ISO/IEC 27018 para Google Workspace y Google Cloud. Puedes acceder a estos certificados con el Administrador de informes de cumplimiento.

ISO/IEC 27701 (Gestión de Información de Privacidad):

ISO/IEC 27701 es el primer estándar mundial sobre privacidad centrado en la recopilación y el procesamiento de la información de identificación personal (PII). Este estándar extiende los requisitos de ISO/IEC 27001 e ISO/IEC 27002 para incluir la privacidad de datos. Recibimos la certificación de acreditación ISO/IEC 27701 como un procesador de PII para Google Workspace y Google Cloud. Puedes acceder a estos certificados con el Administrador de informes de cumplimiento.

SSAE18/ISAE 3402 (SOC 2/3):

El marco de trabajo de auditoría de SOC 2 (Controles de Organización de Servicios) y SOC 3 del Instituto Estadounidense de Contadores Públicos Certificados (AICPA) define los criterios y principios de confianza para la seguridad, la disponibilidad, la integridad del procesamiento y la confidencialidad. Google tiene informes de SOC 2 y SOC 3 para Google Workspace y Google Cloud. Puedes acceder a estos certificados con el Administrador de informes de cumplimiento.

Da el siguiente paso

Comienza el siguiente proyecto, explora los instructivos interactivos y administra tu cuenta.

Comunícate con nosotros
Google Cloud
DocumentaciónAsistencia
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Consola
Acceder
Comenzar gratis
Comunicarse con nosotros
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud