Introducción

Una EIPD es un proceso documentado que lleva a cabo un responsable del tratamiento de datos para describir, evaluar y gestionar los riesgos de protección de datos de un proyecto, así como para demostrar el cumplimiento de las obligaciones en materia de protección de datos. En este contexto, un "proyecto" puede ser, por ejemplo, una externalización realizada por una organización que implique el uso de Google, o el uso de Google Workspace for Education para facilitar la enseñanza, el aprendizaje y la colaboración.

Las organizaciones solo están obligadas a completar una EIPD en relación con los datos personales que procesan como “responsables del tratamiento de datos”. Este término se define en el RGPD y significa esencialmente que tu organización determina cómo y con qué fines tratará los datos personales. Somos conscientes de que algunos de nuestros clientes pueden ser los encargados del tratamiento de datos. No obstante, este Centro de recursos está dirigido principalmente a las organizaciones que utilizan los Servicios de Cloud como responsables del tratamiento de datos. 

Una EIPD debe describir:

• Cómo y por qué tratará los datos personales e identificar la base legal del RGPD para dicho tratamiento.

• Tu evaluación de la necesidad y la proporcionalidad del tratamiento (por qué es necesario tratar los datos personales para lograr tu objetivo). Por ejemplo, los encargados del tratamiento de datos, como Google, que uses para el tratamiento de los datos.

• Los posibles riesgos que haya identificado y las medidas que tomará para abordarlos y mitigarlos. Una EIPD puede ser una forma eficaz de evaluar y demostrar que tu proyecto cumple los principios de protección de datos. 

Si estás iniciando un nuevo proyecto que implique el tratamiento de datos personales, es importante que decidas desde el principio si necesitas una EIPD y que te familiarices con el proceso. Hacer una EIPD con antelación también puede ayudarte a identificar mejor los cambios que puedes necesitar (o decidir) hacer en tu proyecto. Si determinas que necesitas una EIPD, el RGPD te exige que la completes antes de que se inicie el tratamiento de datos personales. Consulta la sección ¿Necesitas una EIPD?.

Además, las EIPDs deben revisarse de manera continua. Si se producen cambios significativos en la forma en que se tratan los datos personales (por ejemplo, si decides usar los Servicios de Cloud para nuevas cargas de trabajo o para procesar diferentes conjuntos de datos), debes volver a evaluar los riesgos y determinar si es necesario tomar medidas adicionales. para abordarlas.

Como responsable del tratamiento de datos, tu organización es responsable de determinar si es necesaria una EIPD y de prepararla. 

Si su organización tiene un delegado de protección de datos, es importante que te asesore al realizar una EIPD. También puedes contar con la ayuda de otros equipos o personas de tu organización que tengan los conocimientos y la experiencia necesarios para llevar a cabo el proceso (como equipos de TI, de cumplimiento normativo o legales).

Una EIPD puede completarse internamente o se puede externalizar a un asesor externo, pero seguirás siendo responsable de ello.

Como responsable del tratamiento de datos, deberás llevar a cabo una EIPD si es probable que el tratamiento de datos personales implicado en tu proyecto suponga un "alto riesgo" para los derechos y libertades de las personas. Algunos tipos de procesamiento se consideran siempre de alto riesgo y siempre requieren una EIPD. Para otros tipos de tratamiento, deberás llevar a cabo una evaluación objetiva de los riesgos que conlleva. 

El Comité Europeo de Protección de Datos ha señalado el uso de nuevas tecnologías como uno de los factores que pueden indicar que hay un "alto riesgo" y ha emitido directrices sobre que muchas operaciones de tratamiento del sector público. que dependan de servicios en la nube probablemente necesiten una EIPD.

Para obtener más información, consulta la sección "¿Cómo sé si el procesamiento cumple los requisitos de una EIPD?". más abajo.

La siguiente información te ayudará a evaluar si tienes que realizar una EIPD. No obstante, te recomendamos que consultes las directrices de la autoridad de protección de datos de tu país y que busques asesoramiento jurídico independiente.  

Si solo actúas como encargado del tratamiento de datos, no es necesario que completes una EIPD, aunque puede resultar útil para cumplir la normativa. 

De conformidad con el RGPD, algunas actividades de tratamiento siempre requerirán una EIPD. Será el caso de tu proyecto si incluye una de las siguientes opciones:

• Tratamiento automatizado de datos personales que implique una evaluación sistemática y exhaustiva de los aspectos personales de los individuos (incluida cualquier elaboración de perfiles), donde dicho tratamiento pueda fundamentar decisiones que tengan efectos legales (o igualmente significativos) sobre dichas personas.

Por ejemplo, si usas los Servicios de Cloud para analizar de forma automatizada (por ejemplo, sin intervención humana) datos personales relacionados con tus empleados (por ejemplo, su desempeño laboral) y esto podría afectar a sus condiciones laborales o su salario, es probable que necesites una EIPD.

• Tratamiento a gran escala de categorías especiales de datos o datos sobre condenas o delitos penales. 

Por ejemplo, si utilizas almacenamiento en la nube para almacenar grandes conjuntos de datos de datos de salud de personas, como historias clínicas o resultados de pruebas clínicas, es probable que necesites una EIPD.

• Monitorización sistemática de zonas de acceso público a gran escala. En este contexto, una zona de acceso público es cualquier zona que esté abierta a cualquier miembro del público.

Por ejemplo, si quieres integrar tu sistema de circuito cerrado de televisión con los servicios en la nube (por ejemplo, para almacenar en la nube imágenes de circuito cerrado de las instalaciones de tu oficina), necesitarás una EIPD.

Nota: Cada autoridad europea de protección de datos ha definido otros tipos de tratamiento que siempre requerirán una EIPD. Por tanto, te recomendamos que consultes los requisitos adicionales de tu país. 

El procesamiento descrito en la sección anterior siempre requerirá una EIPD. Sin embargo, aunque tu tratamiento no pertenezca a esas categorías, debes decidir si es probable que el tratamiento suponga un "alto riesgo" para los derechos y libertades de las personas.

Para tomar esta decisión, debes evaluar de forma objetiva los riesgos en tu tratamiento. La evaluación debe tener en cuenta la naturaleza, el alcance, el contexto y las finalidades del tratamiento. Es decir, qué haces con los datos personales, por qué y todas las circunstancias que lo rodean. 

Es más probable que se requiera una EIPD si el procesamiento implica el uso de nuevas tecnologías. Esto no significa necesariamente que todo el procesamiento que implique nuevas tecnologías requiera, de forma predeterminada, una EIPD. Sin embargo, si tu organización está utilizando tecnología innovadora o aplicaciones novedosas de la tecnología que ya tienes, ese uso debe considerarse parte de tu evaluación. Recomendamos a los clientes de los Servicios de Cloud que presten especial atención al papel que desempeña la tecnología de Google Cloud en su procesamiento a la hora de preparar su evaluación de riesgos.

El Consejo Europeo de Protección de Datos (EDPB) ha proporcionado directrices sobre cómo determinar si el tratamiento puede dar lugar a un "alto riesgo". Estas directrices incluyen nueve factores que son indicadores de un "riesgo alto":

1. El procesamiento implica elaborar perfiles, evaluar o puntuar a personas (por ejemplo, una calificación crediticia).

2. Tomas decisiones automatizadas usando datos personales que tienen efectos legales o de importancia similar para las personas (por ejemplo, contratación electrónica o rechazo de una solicitud de crédito online).

3. Controlas sistemáticamente a personas (por ejemplo, CCTV o seguimiento de ubicación).

4. Tratas datos de categorías especiales o datos personales de índole muy personal (por ejemplo, historiales médicos).

5. Tratas datos personales a gran escala. Dado que no se define a gran escala en las directrices, el caso es cuestión de decisión.

6. Puedes encontrar coincidencias o combinar diferentes conjuntos de datos (por ejemplo, si has obtenido un conjunto de datos independiente de un tercero para enriquecer un conjunto de datos existente).

7. Tratas datos sobre personas vulnerables (por ejemplo, niños o pacientes).

8. Aplicas nuevas soluciones tecnológicas u organizativas, o haces un uso innovador de las tecnologías (por ejemplo, Inteligencia artificial

9. Tu tratamiento impide que las personas ejerzan un derecho o utilicen un servicio o contrato (por ejemplo, rechazar un préstamo a una persona).

Por lo general, si tu tratamiento cumple dos o más de estos factores de riesgo, es probable que tengas que realizar una EIPD.

Otro factor importante para decidirse es si tu organización es un organismo público o si se dedica al tratamiento de datos personales en el sector público (por ejemplo, ministerios, consejos locales o municipios). El CEPD ha emitido unas directrices en las que se indica que muchas operaciones de procesamiento del sector público que dependen de servicios en la nube pueden suponer un "alto riesgo", por ejemplo, debido a la naturaleza sensible de los datos o a la escala del tratamiento.

Algunas autoridades de protección de datos han desarrollado herramientas de evaluación de riesgos para ayudarte a decidir si necesitas una EIPD, por lo que te recomendamos encarecidamente que consultes el sitio web de la autoridad en cuestión.

Como responsable del tratamiento de datos, es responsabilidad de tu organización determinar si es necesaria una EIPD y prepararla. Google no puede llevar a cabo EIPD en nombre de sus clientes, pero proporcionamos ayuda ofreciéndoles información y otros recursos que puedan ayudarle a completar EIPD para usar los Servicios de Cloud.

Por lo general, una EIPD consta de varias fases clave, que se describen con más detalle en esta sección:

1. Describir el tratamiento de datos

2. Evaluar la necesidad y la proporcionalidad

3. Describir los riesgos y cómo gestionarlos

4. Recopilar información adicional

5. Documentar las conclusiones

Las EIPD no tienen un formato establecido. Algunas autoridades de protección de datos han publicado plantillas que puedes utilizar, o bien puedes utilizar las plantillas proporcionadas por Google Cloud (consulta Cómo respalda Google tu EIPD).

Tanto si usas una plantilla como si creas tu propio formato de EIPD, tu EIPD debe incluir lo siguiente:

• Cómo y por qué tratará tu organización datos personales e identificará las bases legales del RGPD (por ejemplo, consentimiento, cumplimiento de un contrato o intereses legítimos).

• Tu evaluación de la necesidad y la proporcionalidad del tratamiento (por qué es necesario tratar los datos personales para lograr tu objetivo).

• Los posibles riesgos que haya identificado y las medidas que tomará para abordarlos y mitigarlos. Puede ser una forma eficaz de evaluar y demostrar que tu proyecto cumple los principios de protección de datos.

Además, monitorizar regularmente las actividades de tratamiento de datos para las que se lleva a cabo la EIPD, así como incorporar actualizaciones cuando sea necesario, es una parte clave del ciclo de vida general de la EIPD. Cuando se produzca un cambio sustancial que afecte a las actividades de tratamiento de datos, le recomendamos que revise y actualice las partes pertinentes de la EIPD según corresponda.

1. Describir el tratamiento de datos

Debes ofrecer una descripción funcional del tratamiento de datos. Al hacerlo, quizá te resulte útil hacerte las siguientes preguntas:

• ¿Qué tipos de datos personales se utilizarán en tu proyecto (por ejemplo, nombres, información de contacto, datos financieros o correos electrónicos)?

• ¿De quién son los datos personales (también llamados "encargados de los datos") (por ejemplo, tus empleados, clientes o alumnos)?

• ¿De dónde proceden los datos personales? ¿Vas a recogerlos directamente de las personas físicas o a través de un tercero?

• ¿Para qué utilizarás los datos? Es decir, ¿por qué lo procesas?

• ¿Cómo utilizarás los datos? ¿Cómo lo almacenas? ¿Cuánto tiempo lo conservarás?

• ¿Quién tendrá acceso a los datos personales de tu organización?

• ¿Compartirás los datos con cualquier persona ajena a tu organización?

También puedes incluir un diagrama, un gráfico de flujo u otras ayudas visuales como parte de la descripción. 

2. Evaluar la necesidad y la proporcionalidad

La necesidad y la proporcionalidad son principios clave de la legislación europea en materia de protección de datos. Para demostrar la necesidad y la proporcionalidad de su tratamiento, debería indicar cómo tiene previsto cumplir sus obligaciones de protección de datos en virtud del RGPD. Tu evaluación debe mostrar que has pensado en lo siguiente:

• ¿Cuál es la base jurídica del Artículo 6 del RGPD a la hora de tratar estos datos (por ejemplo, consentimiento, cumplimiento de un contrato, intereses legítimos u otros)? Si te basas en tus intereses legítimos, debes describirlos.

• ¿Es necesario el tratamiento de los datos para lograr su objetivo? ¿Estás seguro de que no puedes lograr este objetivo sin tratar los datos personales?

• ¿Cómo te asegurarás de que no tratas más datos personales de los necesarios? ¿Te has planteado pseudonimizar o anonimizar los datos?

• ¿Cómo vas a informar a las personas afectadas de que estás tratando sus datos personales y a proporcionarles la información requerida por el RGPD (por ejemplo, avisos o políticas de privacidad)?

• ¿Estás informando a los interesados de sus derechos con respecto al uso que haces de sus datos personales (por ejemplo, para acceder a ellos u oponerte a su tratamiento)? Para obtener más información sobre cómo respaldan los Servicios de Cloud los derechos de los interesados, consulta el artículo Cómo respalda Google tu EIPD. 

• ¿Has definido periodos máximos de conservación de los datos personales? ¿Cómo están justificados estos cambios y qué medidas puedes tomar para asegurarte de que los datos se eliminen en el momento adecuado?

• ¿Qué encargados del tratamiento de datos utilizas para llevar a cabo el tratamiento? Google Cloud será uno de tus encargados del tratamiento de datos y debes documentarlo en tu EIPD. Para obtener más información sobre Google y sus subencargados del tratamiento, consulta el artículo sobre cómo apoya Google su EIPD. 

• Si compartes datos con alguien (por ejemplo, con empresas externas o con tus propias filiales) que se encuentre fuera del Espacio Económico Europeo (o de países con decisiones de adecuación, como el Reino Unido), ¿qué medidas de protección aplicas para proteger los datos en esos terceros países? Para obtener más información sobre las medidas de protección de Google Cloud para las transferencias de datos, consulta el artículo sobre cómo respalda Google tu EIPD. 

• Si el tratamiento de datos cumple con un Código de Conducta aprobado por una autoridad de protección de datos, debes tenerlo en cuenta. Para obtener información sobre el cumplimiento de Google del Código de Conducta en la Nube de la UE, consulte el artículo Cómo respalda Google su EIPD.

3. Describir los riesgos y cómo los gestionarás​BOLD

Tu EIPD debe identificar los riesgos que corren los derechos y las libertades de las personas que podrían derivarse del tratamiento de tus datos. 

Identificar estos riesgos es una parte fundamental de la EIPD: tu evaluación del impacto real de la actividad de tratamiento de datos. Es probable que el impacto y los riesgos varíen en función de las actividades de tu organización, la naturaleza de los datos personales y las personas afectadas. 

Hay muchas formas de evaluar el impacto y los riesgos de la protección de datos, y el RGPD no requiere ningún enfoque en particular. Algunas autoridades de protección de datos han publicado materiales y herramientas para ayudar a las organizaciones a realizar esta evaluación, que puede resultarte útil.

Estos son algunos de los elementos que podrían formar parte de tu evaluación.

A) ¿Qué posibles riesgos debes tener en cuenta?

Tu EIPD debe tener en cuenta los efectos negativos que podría tener el proyecto. Podría ayudar a ponerse en la posición de las personas cuyos datos personales se van a tratar y pensar en qué podría causarles esa preocupación. 

Estos son algunos ejemplos de posibles riesgos:

• Uso sorprendente o inesperado de los datos personales por parte de los individuos.

• Pérdida de control por parte de los individuos de sus datos personales.

• Discriminación o prejuicios.

• Mayor riesgo de robo de identidad o fraude.

• Invasión de la vida personal de otras personas.

• Pérdida de confidencialidad.

• Reidentificación de datos seudonimizados.

• Revelación de información sensible o sobre personas vulnerables (por ejemplo, niños).

• Recopilación de información imprecisa o suposiciones inexactas sobre la persona.

En tu evaluación, puede que también quieras incluir los riesgos que corres como organización, como los riesgos de dañar la reputación, las acciones normativas o la pérdida de la confianza pública.

Piensa también en el nivel de riesgo, teniendo en cuenta la probabilidad y la gravedad del posible daño. Por ejemplo, un riesgo puede ser muy grave, pero es muy poco probable en la práctica. por otro lado, el riesgo puede ser relativamente menor, pero tiene una alta probabilidad de que se produzca. Puede ser útil asignar una puntuación de riesgo numérica o utilizar un enfoque de "semáforo" rojo, ámbar y verde. 

B) ¿Qué medidas puedes tomar para mitigar los riesgos?

Una vez que hayas evaluado el nivel de riesgo, debe identificar las medidas que puedes tomar para mitigarlos. Estos son algunos ejemplos de pasos que pueden mitigarse:

• Decidir no recopilar algunos de los datos personales.

• Seudonimización de los datos.

• Excluir a las personas vulnerables del conjunto de datos siempre que sea posible.

• Implementar medidas para garantizar un nivel de seguridad adecuado al riesgo.

• Implementar políticas internas sobre la gestión de datos para el personal.

• Formar al personal en el uso de los datos personales.

• Tomar medidas adicionales para informar a las personas acerca de cómo tratará la organización sus datos personales.

• Ofrecer a los usuarios la posibilidad de elegir cómo se van a utilizar sus datos personales.

No es necesario eliminar por completo todos los riesgos. Sin embargo, debería poder reducir los riesgos generales hasta un nivel aceptable, de acuerdo con sus obligaciones en virtud del RGPD. A la hora de evaluar los riesgos residuales, hay que tener en cuenta las ventajas que ofrece el proyecto, incluidas las ventajas para las personas físicas. Si los riesgos residuales siguen siendo altos, puedes decidir no continuar con el proyecto o consultar a tu autoridad de protección de datos antes de continuar.

4. Recogida de información adicional

Si tu organización tiene un delegado de protección de datos, es obligatorio que, de conformidad con el RGPD, busques su asesoramiento al preparar una EIPD. También puede resultarte útil hablar con otros colaboradores de tu organización, por ejemplo, equipos de TI, de cumplimiento normativo o jurídicos. 

En función de la naturaleza del proyecto y de los riesgos que conlleva, también puede solicitar información a las personas cuyos datos va a tratar. Esta información puede adoptar muchas formas, según sea adecuado para tu proyecto y ubicación; por ejemplo, hablando con tus empleados para responder a cualquier pregunta o inquietud que puedan tener; Consultoría con los representantes de los empleados de tu organización (por ejemplo, un comité o comité de trabajo, si dispones de uno); o realizar estudios de mercado para conocer las opiniones de tus usuarios finales (por ejemplo, tus clientes, en el caso de una organización minorista).

5. Documentar tus conclusiones

Cuando hayas completado la evaluación, debes incluir lo siguiente en la EIPD:

• Los riesgos del tratamiento planificado de datos personales que has identificado.

• Las medidas que tomarás para mitigar esos riesgos.

• En qué medida quedan riesgos residuales, y el nivel de ese riesgo residual.

• Si necesitas tomar medidas adicionales, como consultar a tu autoridad de protección de datos.

Si en la EIPD se determina que has podido mitigar de forma satisfactoria los riesgos que has identificado, puedes continuar sin consultar a la autoridad de protección de datos de tu organización.

Sin embargo, si decides que no puedes reducir los riesgos residuales a un nivel aceptable y, por tanto, según tu evaluación, el tratamiento sigue representando un "alto riesgo", debes consultar con tu autoridad de protección de datos antes de iniciar el tratamiento. Si lo prefieres, puedes optar por no continuar con el proyecto. 

Ofrecemos dos plantillas de EIPD: una para Google Workspace(incluido Google Workspace for Education) y otra para Google Cloud:

• Plantilla de EIPD para Google Workspace

• Plantilla de EIPD para Google Cloud

Estas plantillas pueden ser una herramienta útil para ayudarte a pensar, planificar y llevar a cabo tu EIPD. Aunque se han diseñado para usarse en relación con los Servicios de Cloud, no prevén (ni pueden) anticipar todos los casos prácticos que nuestros clientes pueden tener para los Servicios de Cloud. Por lo tanto, son genéricos y deben considerarse como una sugerencia de punto de partida. Además, la información que contienen no constituye ningún tipo de asesoramiento legal. Recuerda que es tu responsabilidad como responsable del tratamiento de los datos llevar a cabo una EIPD y que debes cumplir los casos de uso previsto de los Servicios de Cloud.

No hay un formato establecido para una EIPD y puedes usar la que elijas, siempre que cumpla los requisitos normativos. Algunas autoridades de protección de datos han publicado sus propias plantillas de EIPDs, así que te recomendamos que eches un vistazo a los formatos que sugieren.

Para ayudar a nuestros clientes a describir el tratamiento de datos pertinente, a continuación encontrarás información sobre los Servicios de Cloud. También puedes encontrar enlaces a materiales adicionales sobre los Servicios de Cloud que pueden ayudarte a completar esta sección de tu EIPD.

¿Qué datos personales debe incluir la EIPD?

Tu EIPD debe abarcar todos los datos personales que trates como responsable del tratamiento de datos, y que estén incluidos en la definición de "Datos Personales del Cliente" de la Adenda sobre Tratamiento de Datos de Cloud ("CDPA"). 

Tal y como se establece en el Apéndice 1 de la CDPA, las categorías de datos personales tratados a través de los Servicios de Cloud englobarán a cualquier dato relacionado con personas físicas que se proporcione a Google, a través de los Servicios de Cloud, por parte del Cliente o de sus usuarios finales. 

En la práctica, esto podría incluir:

• Datos personales, incluida cualquier información que identifique al interesado y sus características personales, incluidos el nombre, la dirección, la información de contacto, la edad, la fecha de nacimiento, el sexo y la descripción física.

• Detalles laborales, incluida la información relacionada con el empleo del interesado, incluidos los historiales laborales y profesionales, detalles de contratación y despido, registros de asistencia, evaluaciones de rendimiento, registros de formación y registros de seguridad.

• Detalles financieros, incluida la información relacionada con los asuntos financieros del sujeto, incluidos los ingresos, el salario, los activos e inversiones, los pagos, la solvencia crediticia, los préstamos, las prestaciones, las ayudas, los detalles de seguros y la información sobre pensiones.

• Detalles sobre la educación y la formación, incluida la información relacionada con la educación y cualquier formación profesional del tema de los datos, incluidos los registros académicos, las certificaciones, las habilidades, los registros de formación, la experiencia profesional y los registros de alumnos y estudiantes.

• Datos personales emitidos como identificadores por un organismo público, incluidos los datos del pasaporte, números de la seguridad social, números de documentos de identidad y datos del carné de conducir.

• Circunstancias familiares, de estilo de vida y sociales, incluida cualquier información relacionada con la familia del interesado y su estilo de vida y sus circunstancias sociales, incluidos detalles de la familia y otros miembros de la unidad familiar, hábitos, vivienda, detalles de viajes, actividades de ocio y pertenencia a organizaciones benéficas o voluntarias.

• Cualquier otro dato personal controlado por tu organización.

Según el uso previsto de los Servicios de Cloud, los datos personales pueden incluir categorías especiales de datos personales, por ejemplo, datos que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o la pertenencia a sindicatos.datos genéticos; Datos biométricos (si se utilizan con fines de identificación). o datos sobre salud, vida sexual u orientación sexual.

Información adicional si Google trata los Datos de Servicio como tu encargado del tratamiento

Independientemente del tratamiento por parte de Google de los Datos Personales del Cliente, Google también trata los Datos de Servicio cuando proporciona los Servicios de Cloud. Según lo estipulado en el Aviso de Privacidad de Google Cloud, los Datos de Servicio son la información personal que Google recoge o genera al aprovisionar o administrar los Servicios de Cloud, excluyendo los Datos de Clientes. 

Los clientes de Google Workspace for Education pueden suscribir los términos del contrato con Google (que se denomina Adenda sobre Datos de Servicio de Google Workspace for Education) por los que serán responsables del tratamiento de los Datos de Servicio, instruyendo a Google como encargado del tratamiento de Datos de Servicio, a excepción del tratamiento de Datos de Servicio limitado, que Google seguirá realizando como responsable del tratamiento de datos. Dichos clientes pueden utilizar las partes de este Centro de recursos que tienen el mismo encabezado que esta subsección para abordar el uso de los Datos de Servicio en sus EIPD.

¿Cómo puedes describir el tratamiento que implica tu uso de los Servicios de Cloud?

Cuando describas las actividades de tratamiento, te puede resultar útil leer nuestra descripción de los servicios y funciones disponibles como parte de los Servicios de Cloud.

• Google Workspace y Google Workspace for Education son herramientas de productividad y colaboración. Los servicios se describen en el Resumen de Servicios de Google Workspace (consulta la edición o el SKU que correspondan a tus necesidades). Si necesitas más información sobre estos servicios, consulta este artículo de Google Workspace y este otro de Google Workspace. for Education.

• Google Cloud consta de más de 150 productos de cloud computing, analíticas de datos y aprendizaje automático. Los servicios disponibles para los clientes de Google Cloud se describen en el Resumen de Servicios de Google Cloud. Si necesitas más información sobre estos servicios, consulta esta página.

¿Qué implicaciones tiene el uso de los Servicios de Cloud para el tratamiento de datos?

Su EIPD debe describir las finalidades para las que usted (como responsable del tratamiento de datos) instale a sus encargados del tratamiento de datos para que traten los datos personales en su nombre.

Independientemente de cuáles sean tus finalidades, cuando usas los Servicios de Cloud, contratas a Google Cloud para que trate los Datos Personales del Cliente en tu nombre (en el marco de uno o varios de tus fines). Como responsable del tratamiento de datos, indicas a Google Cloud (como encargado del tratamiento) que los trate de acuerdo con el contrato de Servicios de Cloud (incluida la CDPA) y la legislación aplicable, únicamente con las siguientes finalidades:

• Para proporcionar, proteger y monitorizar los Servicios de Cloud y los servicios de asistencia técnica incluidos en tu contrato de Servicios de Cloud.

• Tal y como se especifique con mayor detalle a través del uso de los correspondientes servicios de Cloud y de asistencia técnica, o mediante cualquier otra instrucción por escrito que usted proporcione en virtud de la CDPA y que Google reconozca como tal.

Google cumplirá las instrucciones de la CDPA (a menos que esté prohibido por la legislación europea) con respecto a dicho tratamiento.

Información adicional si Google trata los Datos de Servicio como tu encargado del tratamiento

Si eres cliente de Google Workspace for Education y has aceptado la Adenda sobre Datos de Servicio de Google Workspace for Education, sigue las instrucciones que Google Cloud (como encargado del tratamiento) seguirá con los Datos de Servicio que se establecen en esa Adenda.

¿Qué terceros tendrán acceso a los datos personales de los Servicios de Cloud?

Tu EIPD debe indicar a los terceros con los que compartirás datos personales:

• Cuando uses los Servicios de Cloud, compartirás los Datos Personales del Cliente con la entidad contractual de Google indicada en la CDPA, que se encargará del tratamiento de esos datos. Puedes comprobar cuál es la entidad correcta.

• Google Cloud también utiliza subencargados del tratamiento para realizar actividades limitadas en relación con los Servicios de Cloud, como los servicios de asistencia técnica, las operaciones de los centros de datos o el mantenimiento de servicios. Cuando aceptas nuestra CDPA, autorizas la designación de estos terceros.

Nota: Puedes encontrar una lista de subencargados del tratamiento (e información sobre qué actividades desempeñan) para Google Workspace (incluidos Google Workspace for Education) estaquí y para Google Cloud aquí.

Cuando se utilicen subencargados del tratamiento, Google se compromete a asegurarse de que:

• Cada subencargado del tratamiento solo tiene acceso a los Datos del Cliente (incluidos los Datos Personales del Cliente) dentro del ámbito de las actividades limitadas que se subcontraten, y lo hace de conformidad con el contrato de los Servicios de Cloud entre Google y el cliente (incluida la CDPA).

• Si el tratamiento de los Datos Personales del Cliente está sujeto al RGPD (o a cualquier otra ley de protección de datos europea), las obligaciones de protección de datos descritas en la CDPA se imponen a los subencargados del tratamiento.

• Se avisa a nuestros clientes con antelación antes de que un nuevo subencargado del tratamiento empiece a procesar los Datos del Cliente (incluidos los Datos Personales del Cliente), incluyendo el nombre y la ubicación del subencargado del tratamiento, así como las actividades que lleve a cabo.

Información adicional si Google trata los Datos de Servicio como tu encargado del tratamiento

Si eres cliente de Google Workspace for Education y has elegido aceptar la Adenda sobre Datos de Servicio de Google Workspace for Education, los Subencargados del Tratamiento de Datos Personales del Cliente también serán Subencargados del Tratamiento de los Datos de Servicio y estarán sujetos a compromisos similares con respecto a los Datos de Servicio que se establecen en la Adenda.

¿Dónde se almacenan y procesan los datos?

Dada la naturaleza global de nuestros servicios en la nube pública, tenemos instalaciones en todas las regiones (todo el mundo) para almacenar y tratar los Datos del Cliente (incluidos los Datos Personales del Cliente).

Puedes consultar más información sobre las ubicaciones en las que Google y sus subencargados del tratamiento tienen instalaciones:

Para Google Workspace(incluido Google Workspace for Education):

• Instalaciones de Google

• Instalaciones de los subencargados del tratamiento

Para Google Cloud:

• Instalaciones de Google

• Instalaciones de los subencargados del tratamiento

Para obtener más información sobre la infraestructura (por ejemplo, el hardware y las redes) que se usa para tratar los Datos del Cliente (incluidos los Datos Personales del Cliente) puede consultar nuestra descripción general del diseño de la infraestructura de seguridad, así como:

• Para Google Workspace(incluido Google Workspace for Education), consulta el informe sobre seguridad de Google Workspace.

• En el caso de Google Cloud, en la descripción general de seguridad de Google.

También somos conscientes de que algunos clientes quieren tener más opciones y más control sobre la ubicación de sus datos de cliente:

• ParaGoogle Cloud: Customers may configure services listedaquí para almacenar los Datos en reposo de los Clientes en una región o varias regiones concretas, tal y como se indica enCloud Locations Page. Este compromiso se refleja en la sección "Ubicación de los datos" de los Términos Específicos de los Servicios de Google Cloud. Además, los clientes pueden configurar una política de la organización que acote la ubicación física de los nuevos recursos de los servicios admitidos.

• Para Google Workspace (incluido Google Workspace for Education): los clientes con ediciones que cumplan los requisitos pueden usar nuestra función Regiones de datos, que les permite seleccionar una región de datos (por ejemplo, Europa) para Almacenar en reposo los Datos del Cliente cubiertos (incluidas las copias de seguridad). Actualmente, esta función se aplica a los servicios principales de Google Workspace y a los datos que se indican en este artículo y se refleja en la sección "Regiones de datos" de los Términos Específicos de los Servicios de Google Workspace.

Información adicional si Google trata los Datos de Servicio como tu encargado del tratamiento

En el caso de los clientes de Google Workspace for Education que hayan aceptado la Adenda sobre Datos de Servicio de Google Workspace for Education, el información sobre las instalaciones de nuestros "Subencargados del Tratamiento" se puede consultar en el enlace correspondiente en el Anexo.

¿Durante cuánto tiempo conserva Google Cloud los datos de los clientes?

A menos que nuestro cliente los elimine antes, Google Cloud tratará los Datos de Clientes de las siguientes dos formas:

• Durante el Periodo de Vigencia de la CDPA (que finalizará cuando finalice la prestación de los Servicios de Cloud).

• Durante un periodo posterior a la finalización del Periodo de Vigencia hasta que se eliminen los datos. Tras un periodo de recuperación de hasta 30 días, Google eliminará los datos tan pronto como sea razonablemente posible y dentro de un máximo de 180 días, salvo que la ley exija su almacenamiento. Si quieres conservar los datos después de la finalización del Término, puedes indicar a Google que se los devuelva antes de que finalice el Término mediante funciones integradas, como las herramientas de exportación de datos.

También puedes eliminar los Datos del Cliente en cualquier momento durante el Periodo de Vigencia usando las funciones integradas de los Servicios de Cloud que usas. Cuando uses las funciones de los Servicios de Cloud para eliminar Datos del Cliente, Google los eliminará tan pronto como sea razonablemente posible y en un plazo máximo de 180 días, salvo que la ley exija su almacenamiento.

Para obtener más información sobre la conservación y la eliminación:

• Para obtener información sobre Google Workspace(incluido Google Workspace for Education), consulta los artículos de nuestro Centro de Ayuda sobre cómo eliminar o quitar usuarios de una organización y Eliminar la cuenta de Google de tu organización.

• Para informarte sobre Google Cloud, consulta nuestra página Eliminación de datos en Google Cloud.

Ten en cuenta que eres responsable de las copias de los datos que puedas almacenar fuera de los sistemas de Google o de sus subencargados del tratamiento.

Información adicional si Google trata los Datos de Servicio como tu encargado del tratamiento

En el caso de los clientes de Google Workspace for Education que hayan decidido aceptar la Adenda sobre Datos de Servicio de Google Workspace for Education, los compromisos de conservación y eliminación de Google con respecto al Servicio de datos se exponen en dicha Adenda.

Al evaluar la necesidad y la proporcionalidad de tu tratamiento, la EIPD debe cubrir varios aspectos del cumplimiento de los principios de protección de datos.

Aunque es tu responsabilidad como responsable del tratamiento de datos demostrar que cumples los requisitos, las medidas de protección, las funciones y la funcionalidad integradas en los Servicios de Cloud pueden ayudarte a llevar a cabo la evaluación.

¿Cómo puede respaldar Google tus iniciativas de minimización de datos?

Además de las medidas técnicas y organizativas que hayas implementado para asegurarte de que solo trates la cantidad mínima de datos personales necesario para conseguir los fines que hayas indicado, Google Cloud podría ofrecer ciertas características, funciones y recursos que pueden ayudar a reducir la cantidad de datos personales. procesados en los Servicios de Cloud. Consulta, por ejemplo, la documentación de Google Cloud sobre desidentificar datos sensibles y seudonimización.

¿Cómo puede ayudarte Google a cumplir los derechos de los interesados?

Como responsable del tratamiento de datos personales, es responsable de informar a las personas acerca de sus derechos en relación con sus datos personales (por ejemplo, los derechos de acceso, borrado y portabilidad) y de responder a cualquier solicitud que recibas de las personas que ejerzan esos derechos.

Para ayudarte a cumplir con sus obligaciones, Google te permitirá, de acuerdo con las funciones de los Servicios de Cloud, eliminar, acceder, exportar, rectificar o restringir el tratamiento de los Datos del Cliente (incluidos los Datos Personales del Cliente).

Si el Equipo de Protección de Datos de Google Cloud recibe una solicitud de una persona relacionada con los Datos Personales del Cliente que identifica a tu organización, Google aconsejará a esa persona que te envíe la solicitud. Google te notificará inmediatamente que ha recibido la solicitud y no responderá a ella sin tu autorización. 

En el caso de Google Workspace (incluido Google Workspace for Education), la guía de solicitudes de los interesados en Google Workspace proporciona lo siguiente: Información adicional sobre cómo puede utilizar dichos servicios para responder a las solicitudes de los interesados.

Información adicional si Google trata los Datos de Servicio como tu encargado del tratamiento

A los clientes de Google Workspace for Education que hayan decidido aceptar la Adenda sobre Datos de Servicio de Google Workspace for Education, Google también ofrece los compromisos que se describen en esta sección. para los Datos de Servicio que Google trate como encargado del tratamiento.

¿Qué medidas de protección se aplican a las transferencias internacionales de datos?

Tanto tú como el responsable del tratamiento de datos y Google (como encargado del tratamiento) sois responsables de asegurar que cualquier transferencia de Datos Personales del Cliente (y Datos de Servicio, en el caso de los clientes de Google Workspace for Education que hayan decidido aceptar la Adenda sobre Datos de Servicio de Google Workspace for Education a los países fuera del Espacio Económico Europeo (que no tienen decisiones de adecuación) cumplen los requisitos del RGPD en materia de transferencia de datos. Se les denomina comúnmente "terceros países".

A menos que Google haya adoptado una solución de transferencia alternativa (por ejemplo, el Marco de Privacidad de Datos UE-EE. UU., o "MPD"), cuando los datos se transfieren a un tercer país, nos basamos en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión de la UE, tal como se describe en nuestro informe sobre el enfoque de Google Cloud para las cláusulas contractuales estándar europeas.. En concreto, te recomendamos que consultes la sección del informe titulada "Estrategia actualizada de Google Cloud para las Cláusulas Contractuales Tipo" para saber qué módulos de las Cláusulas Contractuales Tipo se aplican con respecto a las transferencias de Datos Personales del Cliente. Nuestros compromisos contractuales con respecto a las transferencias de Datos Personales del Cliente a terceros países se establecen en la sección "Ubicaciones del Tratamiento de Datos" de la CDPA. 

También ofrecemos información adicional sobre las medidas de protección técnicas, legales y organizativas que aplica Google para proteger las transferencias de datos internacionales:

• En el caso de Google Workspace(incluido Google Workspace for Education), consulta el artículo Protecciones de transferencias de datos internacionales con los informes de Google Workspace y Google Workspace for Education.

• Consulta Google Cloud, consulta nuestro informe Medidas de protección en transferencias de datos internacionales con Google Cloud.

Estos informes incluyen información sobre la legislación de Estados Unidos y su aplicabilidad a los Servicios de Cloud para ayudar a los clientes con las evaluaciones de riesgo que deban realizar de conformidad con la sentencia del Tribunal de Justicia de la Unión Europea conocida como "Schrems II"

En cuanto a las Soluciones Alternativas de Transferencia, agradecemos el MDP y estamos trabajando para incorporarlo para las transferencias de datos personales de la UE a EE.UU. Informaremos a nuestros clientes, tal y como requiere la CDPA, cuando adoptemos el MDP como Solución Alternativa de Transferencia, y esperamos hacerlo en un futuro próximo. Una vez que hayamos adoptado el MDP como Solución Alternativa de Transferencia, nos aseguraremos de que se realicen las transferencias de datos internacionales pertinentes de conformidad con ella. 

¿Google cumple un Código de Conducta aprobado?

Google cumple el Código de Conducta de Cloud del RGPD de la UE en lo que respecta a los Servicios en la nube. 

El Código de Conducta de Cloud es un mecanismo para que los proveedores de servicios en la nube demuestren que ofrecen garantías suficientes para implementar las medidas técnicas y organizativas adecuadas como encargados del tratamiento de conformidad con el RGPD. Consulta este artículo para conocer los servicios de Cloud que se incluyen en él. 

El Código de Conducta de Cloud fue aprobado por la autoridad de protección de datos belga el 20 de mayo del 2021 de acuerdo con una opinión positiva del Consejo Europeo de Protección de Datos. 

Una vez que hayas evaluado los riesgos del procesamiento, en la EIPD debes explicar cómo pretendes mitigarlos. Por lo general, esto significa demostrar que has implementado medidas técnicas y organizativas adecuadas para los riesgos que implica, incluidas medidas de seguridad de los datos.

Cuando utilizas los Servicios en la Nube, el procesamiento de Datos del Cliente se beneficia de:

• Medidas de seguridad líderes en el sector implementadas y mantenidas por Google.

• Recursos, características, funciones o controles de seguridad adicionales disponibles para los usuarios de los Servicios de Cloud, que puedes usar como prefieras.

• Compromisos contractuales de Google en cuanto a medidas técnicas, organizativas y físicas. 

Información adicional si Google trata los Datos de Servicio como tu encargado del tratamiento

En el caso de los clientes de Google Workspace for Education que hayan decidido aceptar la Adenda sobre Datos de Servicio de Google Workspace for Education, esto también incluye compromisos contractuales equivalentes sobre medidas de seguridad. para los Datos de Servicio que Google trate como encargado.

Al suscribir la CDPA, aceptas que estas medidas proporcionan un nivel de seguridad adecuado frente a los riesgos que conlleva tu tratamiento.

¿Qué medidas de seguridad aplica Google a los Servicios de Cloud?

Como empresa innovadora de la nube, en Google somos conscientes de la seguridad en la nube. En nuestras operaciones, la seguridad es una de las principales prioridades, y los Servicios de Cloud están diseñados para ofrecer una mayor protección que otros enfoques on-premise.

La seguridad impulsa la estructura organizativa, la cultura, las prioridades de formación y los procesos de contratación de Google. Da forma al diseño de nuestros centros de datos y a la tecnología que albergan. Es una parte fundamental de nuestras operaciones diarias y le da prioridad a la forma en que gestionamos los Datos de Clientes y los Datos de Servicio. También influye en las certificaciones y en los informes de auditoría que tenemos.

Consulta la descripción general del diseño de la infraestructura de seguridad de Google para obtener más información sobre cómo está diseñada nuestra infraestructura técnica a escala mundial para ofrecer un despliegue seguro de los servicios en la nube, comunicaciones seguras entre servicios y comunicación segura y privada con los clientes a través de Internet. y una operación segura por parte de los administradores.

También puedes consultar información más específica sobre las medidas técnicas y organizativas que mantiene Google:

• Para Google Workspace (incluido Google Workspace for Education), consulta el Informe sobre seguridad de Google Workspace. 

• Consulta información sobre Google Cloud en el artículo Descripción general de la seguridad de Google y Informes sobre seguridad de Google Cloud. 

Puedes consultar más recursos sobre las medidas de seguridad técnicas y organizativas de Google para los Servicios de Cloud en nuestro centro de prácticas recomendadas de seguridad y en el centro de recursos de privacidad.

¿Qué controles de seguridad opcionales puedes aplicar al uso que haces de los Servicios de Cloud?

Google también ofrece controles de seguridad adicionales opcionales para ayudar a los clientes de los servicios en la nube a satisfacer sus necesidades de cumplimiento y seguridad. Se trata de recursos, funciones, funciones y controles de seguridad que los clientes pueden usar como quieran, como la consola de administración, las soluciones de cifrado, las herramientas de almacenamiento de registros y monitorización, y la gestión de identidades y accesos.

Aquí encontrarás más información sobre cómo puedes configurar tu organización los servicios y características de Cloud:

• Para Google Workspace(incluido Google Workspace for Education ), nuestras guías de implementación de protección de datos paraGoogle Workspace yGoogle Workspace for Education ofrecen información sobre cómo los clientes pueden usar y configurar los servicios y los ajustes pertinentes.

• En el caso de Google Cloud, nuestro framework de arquitectura de Google Cloud ofrece prácticas recomendadas y recomendaciones de implementación. Además, puede ayudar a los clientes a diseñar su despliegue de Google Cloud según sus necesidades empresariales.

Disponemos de otros recursos para ayudarte a satisfacer tus necesidades de seguridad y cumplimiento en nuestro Centro de Prácticas recomendadas de Seguridad y en nuestro Centro de Recursos de Privacidad.

¿Qué compromisos contractuales y de otro tipo ofrece Google?

La CDPA establece los compromisos contractuales de Google con respecto a los Datos del Cliente, incluidos los Datos Personales del Cliente. Google se compromete a implementar y mantener, entre otras cosas, medidas técnicas, organizativas y físicas para proteger los Datos del Cliente frente a la destrucción, la pérdida, la alteración, la divulgación o el acceso no autorizados, ya sea de forma accidental o ilegal.

Estas medidas se describen con más detalle en el Apéndice 2 de la CDPA e incluyen compromisos en cuanto a seguridad de centros de datos y redes, controles de acceso y de instalaciones, seguridad de los datos, seguridad del personal y seguridad de los subencargados del tratamiento.

Además, en nuestros Compromisos de Privacidad de Google Cloud con Empresas se describe, en términos más generales, cómo ayudamos a proteger los datos de los clientes que utilizan nuestros Servicios de Cloud:

1. Tú controlas tus datos: los datos de los clientes son tuyos, no de Google. A la hora de tratar tus datos, seguimos estrictamente tus contratos.

2. Nunca utilizamos tus datos para segmentar anuncios: no tratamos tus datos de cliente para crear perfiles publicitarios ni para mejorar productos de Google Ads.

3. Explicamos con transparencia la recogida y el uso de datos: nos comprometemos a ser transparentes, cumplir normativas como el RGPD y seguir prácticas recomendadas sobre privacidad.

4. Nunca vendemos Datos de Clientes ni Datos de Servicio: nunca vendemos Datos de Clientes ni Datos de Servicio a terceros.

5. La seguridad y la privacidad son criterios fundamentales en el diseño de todos nuestros productos: dar prioridad a la privacidad de nuestros clientes significa proteger los datos que nos confías. Para ello, integramos las tecnologías de seguridad más potentes en nuestros productos.

Información adicional si Google trata los Datos de Servicio como tu encargado del tratamiento

Si eres cliente de Google Workspace for Education y has aceptado la Adenda sobre Datos de Servicio de Google Workspace for Education, los compromisos contractuales de Google con respecto a los Datos de Servicio que procesa como encargado del tratamiento se establecen en ese Anexo.

¿Cómo gestiona Google las solicitudes de los organismos públicos encargados de velar por el cumplimiento de las leyes?

Google ha desarrollado un proceso transparente y exhaustivo que cumple las prácticas recomendadas internacionales en lo que respecta a las solicitudes de acceso a datos por parte de organismos públicos y organismos públicos encargados de velar por el cumplimiento de las leyes. Google Cloud ofrece una respuesta caso por caso, teniendo en cuenta las diferentes circunstancias y basándose en los requisitos legales, los contratos con los clientes y las políticas de privacidad. 

El proceso que Google Cloud seguirá en relación con estas solicitudes se describe en nuestro informe Solicitudes gubernamentales de datos de clientes en la nube.

Además, en nuestro Informe de Transparencia se revela, cuando la legislación aplicable lo permite, el número de solicitudes de información sobre clientes de Enterprise Cloud realizadas por organismos públicos y organismos públicos encargados de velar por el cumplimiento de las leyes. 

¿Cómo demuestra Google Cloud el cumplimiento?

Los Servicios de Cloud se someten regularmente a verificaciones independientes de los controles de seguridad, privacidad y cumplimiento para obtener certificaciones, atestaciones e informes de auditoría para demostrar el cumplimiento. Los clientes pueden acceder directamente a varias certificaciones (como ISO 27001, 27017, 27018 y 27701), informes de auditoría (incluidos los SOC 1, 2 y 3) y otros recursos relevantes a través de nuestro gestor de informes de cumplimiento y descargarlas directamente. 

Además, como muestra de nuestro compromiso continuo con la protección de los Datos de Servicio, hemos ampliado el alcance de nuestras certificaciones ISO 27001, 27017, 27018 y 27701 para incluir también Datos de Servicio (en los que actuamos como encargados del tratamiento de datos) en los servicios de Google Workspace pertinentes. 

Además, como se menciona más arriba, Google cumple el Código de Conducta en la Nube del RGPD de la UE, un mecanismo con el que los proveedores de servicios en la nube pueden demostrar que ofrecen garantías suficientes para implementar las medidas técnicas y organizativas adecuadas como encargados del tratamiento de conformidad con el RGPD.