Google Cloud y los principios comunes de privacidad

Nuestra responsabilidad compartida en materia de cumplimiento de la normativa de privacidad.

Centro de recursos de privacidad de Google CloudCentro de recursos de EIPD de Google Cloud

Nuestra trayectoria de privacidad conjunta

Aunque las responsabilidades directas varían en función de los servicios que utilices, los controles de privacidad siempre están en tus manos y Google es responsable de proteger nuestra infraestructura. Nos esforzamos por operar en un modelo de destino compartido para la gestión de la privacidad y la seguridad. Creemos en la colaboración activa para ayudarte a desplegar cargas de trabajo y operar de una forma que cumpla los requisitos de privacidad, ofreciéndote productos y soluciones. Además, permite migrar una parte del coste de la privacidad y el cumplimiento a Google Cloud y, por tanto, reducir el coste para los clientes.

Responsables del tratamiento de datos y encargados del tratamiento de datos

Según numerosas normativas de privacidad habituales, el grado de responsabilidad se determina según si la entidad actúa como responsable del tratamiento de datos o como encargado del tratamiento de datos. La definición exacta varía según la normativa, pero, en términos generales, el responsable determina la finalidad y los medios del tratamiento, mientras que el encargado del tratamiento lleva a cabo el tratamiento de acuerdo con las instrucciones del responsable.

En esta página se describen algunos de los principios de privacidad comunes que se aplican a los clientes (que suelen actuar como responsables del tratamiento de datos) y a Google Cloud (que suele actuar como encargado del tratamiento de datos).

Principios de privacidad comunes clave para los responsables del tratamiento de datos

Los siguientes principios de privacidad son pertinentes para la conducta de los responsables del tratamiento de datos que trasladan sus datos a la nube y se aplican a muchas jurisdicciones de todo el mundo. Estos principios se basan en estándares y marcos reconocidos internacionalmente (como los principios de privacidad de la OCDE, los principios de privacidad de la información justa, ISO/IEC 27001, etc.) y en las principales normativas regionales (como LGPD, GDPR, CPRA, etc.).

Si quieres profundizar en cómo puede ayudarte Google Cloud a cumplir tus obligaciones con estos principios, visita la página de productos relevantes.

Más información

Recogida y minimización de datos

Los datos personales deben ser pertinentes y limitarse a lo necesario en relación con los fines para los que se recogen.

Limitación de almacenamiento

Los datos personales deben conservarse en un formato que permita identificar a los interesados durante el tiempo estrictamente necesario.

Limitación de finalidad

Los datos personales deben recogerse para fines específicos, explícitos y legítimos, y no deben seguir tratándose de una forma incompatible con dichos fines.

Integridad y confidencialidad

Los datos personales deben tratarse de forma que se garantice su seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilegal y contra la pérdida, destrucción o daños accidentales, mediante medidas técnicas u organizativas adecuadas.


Principios de privacidad comunes clave para los encargados del tratamiento de datos

Nuestro contrato sobre el tratamiento de datos de Google Workspace y Google Cloud refleja claramente nuestro compromiso con la privacidad de los clientes. A lo largo de los años, hemos ido ajustando estos términos a partir de las sugerencias de nuestros clientes y de los organismos reguladores. Los datos que los clientes y sus usuarios introduzcan en nuestros sistemas solo se procesarán de acuerdo con las instrucciones del cliente.

Compromisos de confidencialidad del personal

Todos los empleados de Google están obligados a firmar un contrato de confidencialidad y realizar un proceso de formación obligatorio sobre la confidencialidad, la privacidad y el Código de Conducta de Google. En él se incluyen de forma específica las responsabilidades y el comportamiento que se espera de nuestros empleados en relación con la protección de la información.

Consulta los términos completos en: Google Cloud y Google Workspace - Adenda sobre Tratamiento de Datos de Cloud (CDPA)

Las empresas del grupo Google llevan a cabo la mayor parte de las actividades de tratamiento de datos necesarias para poder ofrecer los servicios Google Workspace y Google Cloud. No obstante, colaboramos con proveedores externos que ofrecen asistencia para estos servicios. Todos los proveedores se someten a un proceso de selección muy riguroso para demostrar que disponen de los conocimientos técnicos necesarios y que ofrecen un nivel de seguridad y privacidad óptimo.

Facilitamos información sobre los subencargados del tratamiento del grupo de Google que se ocupan de los servicios de Google Workspace y Google Cloud, así como sobre los subencargados del tratamiento externos que participan en dichos servicios.

Para consultar la lista completa de los términos contractuales pertinentes, consulta:

  • Google Cloud y Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
  • Tratamiento de datos | Sección 5.2

En Google contamos con una infraestructura internacional diseñada para ofrecer una seguridad puntera durante todo el ciclo de tratamiento de la información. Esta infraestructura se ha desarrollado para garantizar la seguridad de nuestros usuarios en todos los procesos: el despliegue de servicios, el almacenamiento de datos con medidas de privacidad para el usuario final, las comunicaciones entre servicios, las comunicaciones seguras y privadas con los clientes a través de Internet y las operaciones seguras de los administradores. Google Workspace y Google Cloud se ejecutan en esta infraestructura.

Hemos diseñado la seguridad de nuestra infraestructura en capas superpuestas, desde la seguridad física de los centros de datos hasta las protecciones de seguridad de nuestro hardware y software o los procesos que usamos para respaldar la seguridad operacional. Gracias a esta protección por capas, conseguimos unos sólidos cimientos en materia de seguridad en todas las acciones que realizamos. Consulta un análisis detallado sobre nuestra infraestructura de seguridad en el informe Descripción general del diseño de seguridad de la infraestructura de Google.

Disponibilidad, integridad y resistencia

Los componentes que diseñamos para nuestra plataforma son muy redundantes. Los centros de datos de Google están distribuidos geográficamente para minimizar los efectos de las interrupciones del servicio regionales (como desastres naturales o problemas locales) en los productos que funcionan a nivel mundial. Si se produce un fallo en el hardware, en el software o en la red, los servicios se trasladan de una instalación a otra de forma automática e instantánea, de modo que las operaciones pueden continuar sin interrumpirse. El alto nivel de redundancia de nuestra infraestructura ayuda a proteger a los clientes frente a la pérdida de datos.

Seguridad y realización de pruebas de equipos

Google utiliza códigos de barras y etiquetas de recursos para monitorizar el estado y la ubicación de los equipos de los centros de datos durante todas las etapas de su ciclo de vida, desde la adquisición hasta la instalación, la retirada y la destrucción. Si un componente no supera una prueba de rendimiento en algún momento de su ciclo de vida, se quita del inventario y se retira. Las unidades de disco duro de Google utilizan tecnologías como el encriptado de disco completo (FDE) y el bloqueo de unidades para proteger los datos en reposo.

Pruebas de recuperación tras fallos

Cada año, llevamos a cabo pruebas de recuperación tras fallos con el objetivo de ofrecer un espacio coordinado para que los equipos de infraestructura y aplicaciones comprueben los planes de comunicación, las situaciones de conmutación por error, la transición operacional y otras respuestas de emergencia. Todos los equipos que participan en las pruebas de recuperación tras fallos diseñan planes de pruebas y análisis posteriores que documentan los resultados y las lecciones aprendidas a partir de las pruebas.

Cifrado

Google utiliza el encriptado para proteger los datos, tanto los que están en tránsito como los que están en reposo. Los datos en tránsito entre regiones de Google Workspace están protegidos mediante HTTPS. Esta opción está activada de forma predeterminada para todos los usuarios. Los servicios de Google Workspace y Google Cloud encriptan el contenido en reposo que los usuarios hayan almacenado mediante uno o varios mecanismos de encriptado, sin que estos tengan que llevar a cabo ninguna acción.

Controles de acceso

Los derechos y niveles de acceso de los empleados de Google varían según la función y el rol que desempeñen en su puesto. Para asignar los privilegios de acceso a las distintas responsabilidades se emplean los conceptos de "mínimo privilegio" y "necesidad de saber". Las solicitudes de acceso adicional deben seguir un proceso formal que implica la realización de una solicitud y la aprobación pertinente de un propietario de datos o del sistema, de un administrador o de otros directivos, según se estipula en las políticas de seguridad de Google. Los centros de datos en los que se alojan los sistemas y los componentes de la infraestructura de Google Cloud están sujetos a restricciones físicas de acceso y cuentan con personal de seguridad in situ las 24 horas y los 7 días de la semana, guardias de seguridad, tarjetas de acceso, mecanismos de identificación biométrica, cerraduras físicas y cámaras de vídeo que monitorizan los interiores y exteriores de las instalaciones.

Gestión de incidentes

Google cuenta con un equipo específico de seguridad que se encarga de gestionar la protección y la privacidad de los datos de clientes de todo el mundo las 24 horas del día y los 7 días de la semana. Los miembros de este equipo reciben notificaciones sobre incidentes y ayudan a resolver emergencias de forma ininterrumpida. Aplicamos políticas de respuesta a incidentes y los procedimientos que seguimos para solucionar los incidentes más graves están documentados. Las información sobre estos eventos se utiliza para evitar que se produzcan futuros incidentes y puede servir de ejemplo en formaciones sobre seguridad de la información. Los procesos de gestión de incidentes y los flujos de trabajo de respuesta que se llevan a cabo en Google también están documentados. Además, los procesos de gestión de incidentes de Google se someten regularmente a pruebas como parte de nuestros programas ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2 y FedRAMP, con el objetivo de ofrecer a los clientes y organismos reguladores una verificación independiente de nuestros controles de seguridad, privacidad y cumplimiento. Consulta nuestro informe sobre el proceso de respuesta a incidentes de datos para obtener más información sobre este tema.

Gestión de vulnerabilidades

En Google, analizamos las vulnerabilidades del software mediante herramientas internas específicas y disponibles en el mercado, pruebas intensivas de penetración manual y automatizada, procesos de control de calidad, revisiones de seguridad del software y auditorías externas. La comunidad investiga cuestiones de seguridad de un modo más amplio, por lo que también valoramos enormemente su labor a la hora de identificar las vulnerabilidades de Google Workspace, de Google Cloud y de otros productos de Google. Nuestro programa Vulnerability Reward Program anima a los investigadores a informar sobre los problemas de diseño e implementación que pueden poner en riesgo los datos de los clientes.

Seguridad de los productos - Google Workspace: consulta más información en https://workspace.google.com/security

Seguridad de los productos - Google Cloud: para obtener más información, consulta https://cloud.google.com/security/.

Para consultar los términos completos, consulta:

  • Google Cloud y Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
  • Seguridad de los datos | Sección 7
  • Medidas de seguridad | Apéndice 2
  • Contenido relacionado: Informe sobre seguridad de Google

Derechos del interesado

Los responsables del tratamiento de datos pueden utilizar las consolas de administración de Google Workspace y Google Cloud, así como la funcionalidad incluida en sus servicios, para rectificar o eliminar los datos que ellos mismos o sus usuarios hayan introducido en nuestros sistemas, así como para acceder a ellos o restringir su tratamiento. Esta funcionalidad les ayudará a cumplir con las obligaciones que hayan contraído con los interesados que quieran ejercer sus derechos en virtud del RGPD.

Equipo de protección de datos

Hemos designado a un delegado de protección de datos para que actúe por cuenta de Google LLC y sus filiales en lo que respecta al tratamiento de datos de conformidad con el RGPD, incluidos los productos y servicios de Cloud. Kristie Chon Flynn es la delegada de protección de datos de Google. Kristie Chon Flynn desempeña su cargo en Sunnyvale (EE. UU.).

Donde es necesario, los productos de Google Cloud tienen equipos dedicados a responder las consultas de los clientes relativas a la protección de datos. Los datos de contacto de dichos equipos figuran en los contratos pertinentes. Si las dudas afectan a Google Workspace, los administradores del cliente se pueden poner en contacto con el equipo de protección de datos en la nube en https://support.google.com/a/contact/googlecloud_dpr si han iniciado sesión con su cuenta de administrador. También pueden remitir un aviso a Google del modo descrito en el contrato correspondiente. Si las consultas están relacionadas con Google Cloud, la página de contacto es https://support.google.com/cloud/contact/dpo.

Notificación de incidentes

Durante muchos años, Google Workspace y Google Cloud han establecido compromisos contractuales en cuanto a la notificación de incidentes. Seguiremos informándote con la mayor celeridad posible sobre los incidentes relacionados con los datos de tus clientes, de acuerdo con los términos correspondientes incluidos en nuestros contratos actuales.

Para consultar los términos completos, consulta:

  • Google Cloud y Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
  • Evaluación y asesoramiento sobre el impacto | Sección 8

Los administradores pueden exportar los datos de los clientes en cualquier momento durante el periodo de vigencia del contrato. Para ello, cuentan con la funcionalidad específica de los servicios de Google Workspace o de Google Cloud (consulta la documentación de esta plataforma para obtener más información). A lo largo de los años, hemos incorporado compromisos sobre exportación de datos a nuestros términos del tratamiento de datos. Seguiremos trabajando para mejorar nuestras funciones de exportación, de forma que te resulte aún más fácil descargar una copia de los datos de tus clientes de los servicios de Google Workspace y de Google Cloud.

Tienes la posibilidad de eliminar los datos de los clientes en cualquier momento mediante la funcionalidad específica de los servicios de Google Workspace o de Google Cloud. Cuando nos indicas que quieres que nos deshagamos de algo por completo (por ejemplo, cuando un mensaje de correo electrónico borrado ya no se puede recuperar de la papelera), eliminamos todos los datos del cliente pertinentes de todos nuestros sistemas en un plazo máximo de 180 días, a no ser que sea obligatoria su conservación.

Para consultar los términos completos, consulta:

  • Google Cloud y Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
  • Eliminación de datos | Sección 6
  • Derechos de los interesados y exportación de datos | Sección 9.1

Google Cloud y Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)

Seguridad de los datos | Sección 7.4

Además de los términos del contrato, nuestros clientes y los organismos reguladores esperan que se realicen verificaciones independientes de los controles de seguridad, privacidad y cumplimiento. Para cumplir con estas expectativas, Google Workspace y Google Cloud se someten a diversas auditorías externas de forma periódica.

ISO/IEC 27001 (gestión de la seguridad de la información):

La certificación ISO/IEC 27001 es uno de los estándares de seguridad independientes más reconocidos y aceptados a nivel internacional. Google ha obtenido la certificación ISO/IEC 27001 para los sistemas, las aplicaciones, las personas, la tecnología, los procesos y los centros de datos que conforman nuestra infraestructura común compartida, así como para los productos de Google Workspace y Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.

ISO/IEC 27017 (seguridad en la nube):

ISO/IEC 27017 es un estándar internacional de prácticas relacionadas con los controles de seguridad de la información que se basa en la norma ISO/IEC 27002 y se centra especialmente en los servicios en la nube. Google ha obtenido la certificación de cumplimiento ISO/IEC 27017 para Google Workspace y Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.

ISO/IEC 27018 (privacidad en la nube):

La normativa ISO/IEC 27018 es un estándar internacional de prácticas relacionadas con la protección de la información personal identificable en los servicios de nubes públicas. Google ha obtenido la certificación de cumplimiento ISO/IEC 27018 para Google Workspace y Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.

ISO/IEC 27701 (gestión de información de privacidad):

ISO/IEC 27701 es un estándar de privacidad internacional que se centra en la recogida y el tratamiento de información personal identificable. Amplía los requisitos de las normas ISO/IEC 27001 e ISO/IEC 27002 para incluir la privacidad de datos. Google ha obtenido la certificación ISO/IEC 27701, que lo acredita como encargado del tratamiento de información personal identificable, tanto para Google Workspace como para Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.

SSAE16/ISAE 3402 (SOC 2/3):

Los sistemas de auditoría SOC 2 (Service Organization Controls) y SOC 3 del colegio estadounidense de contables públicos certificados (AICPA) establecen los principios de confianza y los criterios en materia de seguridad, disponibilidad, integridad del tratamiento y confidencialidad. Google cuenta con los informes SOC 2 y SOC 3 para Google Workspace y Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.

Ve un paso más allá

Pon en marcha tu próximo proyecto, descubre tutoriales interactivos y gestiona tu cuenta.

Contacta con nosotros
Google Cloud
DocumentosAsistencia
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Consola
Iniciar sesión
Empezar gratis
Contactar
  • Agiliza tu transformación digital
  • Tanto si tu negocio ya está inmerso en la transformación digital como si aún se encuentra en la etapa inicial, Google Cloud puede ayudarte a hacer frente a los retos más difíciles.
  • Productos de Google Cloud
  • Descubre más de 100 productos. Los nuevos clientes reciben 300 USD en crédito gratis para ejecutar, probar y desplegar cargas de trabajo. Todos los clientes pueden usar más de 25 productos de forma gratuita hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque de transparencia sobre los precios
  • El modelo de pago por uso de Google Cloud ofrece ahorros automáticos en función del uso mensual y de las tarifas con descuento para los recursos de prepago. Ponte en contacto con nosotros y solicita un presupuesto.
Google Cloud