Introdução

Uma DPIA é um processo documentado realizado por um controlador de dados para descrever, avaliar e gerenciar os riscos de proteção de dados de um projeto e demonstrar conformidade com as obrigações de proteção de dados. Nesse contexto, um "projeto" pode ser, por exemplo, uma terceirização feita por uma organização que envolve o uso do Google ou do Google Workspace for Education para apoiar o ensino, o aprendizado e a colaboração.

As organizações só precisam concluir uma DPIA em relação aos dados pessoais que processam como "controladores". Esse termo é definido no GDPR e significa essencialmente que sua organização determina como e para quais propósitos processará dados pessoais. Sabemos que alguns dos nossos clientes podem ser processadores de dados. No entanto, esta central de recursos é destinada principalmente às organizações que usam os Serviços do Cloud como controlador. 

Uma DPIA deve descrever:

• Como e por que você processará dados pessoais e identificará a base legal do GDPR para esse processamento.

• Sua avaliação da necessidade e proporcionalidade do processamento (por que você precisa processar os dados pessoais para atingir seu objetivo). Isso inclui quais processadores de dados, como o Google, você usa para dar suporte ao seu processamento.

• Quaisquer riscos potenciais que você identificou e as medidas que tomará para abordar e atenuá-los. Uma DPIA pode ser uma maneira eficaz de avaliar e demonstrar a conformidade do seu projeto com os princípios de proteção de dados. 

Se você está iniciando um novo projeto que envolve o processamento de dados pessoais, é importante decidir com antecedência se precisa de uma DPIA e se familiarizar com o processo. Realizar uma DPIA com antecedência também pode ajudar melhor a identificar as mudanças que você precisa (ou escolhe) fazer no projeto. Se você determinar que precisa de uma DPIA, o GDPR exige que você a conclua antes do início do processamento de dados pessoais. Consulte Você precisa de uma DPIA?.

A DPIA também precisa ser analisada regularmente. Se houver alguma mudança significativa na forma como os dados pessoais são processados (por exemplo, se você decidir usar os Serviços do Cloud para novas cargas de trabalho ou processar conjuntos de dados diferentes), reavalie os riscos e determine se outras medidas podem ser necessárias. para abordá-los.

Como controladora de dados, sua organização é responsável por determinar se uma DPIA é necessária e por prepará-la. 

Caso sua organização tenha um oficial de proteção de dados (DPO), é importante buscar a orientação dele ao realizar uma DPIA. Você também pode envolver outras equipes ou indivíduos da sua organização com habilidades e conhecimentos relevantes para dar suporte ao processo, como equipes de TI, conformidade ou jurídica.

A DPIA pode ser feita internamente ou terceirizada para um consultor externo, mas você continua sendo responsável por ela.

Como controlador, você vai precisar realizar uma DPIA se o processamento de dados pessoais envolvido no seu projeto puder resultar em um "alto risco" para os direitos e liberdades dos indivíduos. Alguns tipos de processamento são sempre considerados de "alto risco" e exigem uma DPIA. Para outros tipos de processamento, será necessário realizar uma avaliação objetiva dos riscos envolvidos. 

O Comitê Europeu para a Proteção de Dados identificou o uso de novas tecnologias como um dos fatores que podem indicar "alto risco" e emitiu orientações para que muitas operações de processamento do setor público que dependem de serviços em nuvem provavelmente vão precisar de uma DPIA.

Para mais informações, consulte a seção "Como decidir se o processamento atende ao gatilho de uma DPIA?". abaixo.

As informações abaixo vão ajudar você em uma avaliação inicial para saber se é necessário realizar uma DPIA. No entanto, ainda recomendamos que você consulte as orientações das autoridades de proteção de dados do seu país e procure aconselhamento jurídico independente.  

Se você atua apenas como processador de dados, não precisa concluir uma DPIA, embora ela ainda possa ser um exercício útil de conformidade. 

De acordo com o GDPR, algumas atividades de processamento sempre exigirão uma DPIA. Este será o caso quando seu projeto envolver uma das opções a seguir:

• Processamento automatizado de dados pessoais envolvendo uma avaliação sistemática e extensa de aspectos pessoais de indivíduos (incluindo qualquer caracterização de perfil), em que esse processamento informa decisões que produzem efeitos legais (ou igualmente significativos) sobre esses indivíduos.

Por exemplo, se você usar os serviços na nuvem para analisar de maneira automatizada (sem intervenção humana) dados pessoais relacionados aos funcionários (como o desempenho no trabalho) e isso afetar as condições de trabalho individuais ou o salário deles, é provável que você precise de uma DPIA.

• Processamento em grande escala de categorias especiais de dados ou dados sobre condenações ou infrações criminais. 

Por exemplo, se você usa armazenamento em nuvem para armazenar grandes conjuntos de dados de saúde de pessoas, como históricos médicos ou resultados de testes clínicos, é provável que você precise de uma DPIA.

• Monitoramento sistemático de áreas publicamente acessíveis em grande escala. Nesse contexto, uma área de acesso público seria qualquer área aberta a qualquer membro do público.

Por exemplo, se você pretende integrar seu sistema de câmeras de segurança aos serviços na nuvem, como armazenar filmagens de câmeras de segurança do escritório na nuvem, provavelmente vai precisar de uma DPIA.

Observação: cada autoridade europeia de proteção de dados definiu tipos adicionais de processamento que sempre exigirão uma DPIA. Por isso, verifique os requisitos adicionais do seu país. 

O processamento descrito na seção acima sempre vai precisar de uma DPIA. No entanto, mesmo que seu processamento não se enquadre nessas categorias, você ainda precisa decidir se ele pode resultar em um "alto risco" para os direitos e as liberdades dos indivíduos.

Para tomar essa decisão, você precisa avaliar objetivamente os riscos no seu processamento. Sua avaliação precisa considerar a natureza, o escopo, o contexto e as finalidades do processamento. Em outras palavras, o que você está fazendo com os dados pessoais e por quê, e todas as circunstâncias ao redor. 

É mais provável que uma DPIA seja necessária quando o processamento envolve o uso de novas tecnologias. Isso não significa necessariamente que todo e qualquer processamento envolvendo novas tecnologias vai exigir, por padrão, uma DPIA. No entanto, se sua organização estiver usando tecnologia inovadora ou aplicações novas de uma tecnologia existente, esse uso deve ser considerado como parte da avaliação. Recomendamos que os clientes dos serviços na nuvem prestem atenção especial ao papel que a tecnologia do Google Cloud desempenha no processamento ao preparar a avaliação de risco.

O Comitê Europeu para a Proteção de Dados (EDPB, na sigla em inglês) criou orientações para determinar se o processamento pode resultar em um "alto risco". Essa orientação inclui nove fatores que são indicadores de “alto risco”:

1. Seu processamento envolve caracterização de perfil, avaliação ou pontuação de indivíduos (por exemplo, pontuação de referência de crédito).

2. Você toma decisões automatizadas usando dados pessoais que têm efeitos legais ou igualmente significativos sobre os indivíduos (por exemplo, recrutamento eletrônico ou recusa de uma solicitação de crédito on-line).

3. Você monitora sistematicamente os indivíduos (por exemplo, câmeras de segurança ou rastreamento de localização).

4. Você processa dados de categorias especiais ou dados pessoais de natureza altamente pessoal (por exemplo, históricos médicos).

5. Você processa dados pessoais em grande escala. Como "grande escala" não está definido na orientação, isso é uma questão de bom senso.

6. Você associa ou combina conjuntos de dados diferentes (por exemplo, se tiver obtido um conjunto de dados separado de um terceiro para enriquecer um conjunto de dados existente).

7. Você processa dados sobre indivíduos vulneráveis (por exemplo, crianças ou pacientes).

8. Você aplica novas soluções tecnológicas ou organizacionais ou faz uso inovador de tecnologias (por exemplo, inteligência artificial).

9. Seu processamento impede que indivíduos exerçam um direito ou usem um serviço ou contrato (por exemplo, recusar um empréstimo a um indivíduo).

Geralmente, se o processamento atender a dois ou mais desses fatores de risco, você provavelmente precisará realizar uma DPIA.

Outro fator relevante para a decisão é se a organização é um órgão público ou se envolve no processamento de dados pessoais no setor público (por exemplo, departamentos governamentais, conselhos locais ou municípios). O EDPB emitiu orientações de que muitas operações de processamento do setor público que dependem de serviços de nuvem provavelmente vão resultar em um "alto risco", por exemplo, devido à natureza sensível dos dados ou à escala do processamento.

Algumas autoridades de proteção de dados desenvolveram ferramentas de avaliação de risco para ajudar você a decidir se você precisa de uma DPIA. Por isso, recomendamos conferir o site deles para receber orientações.

Como controladora de dados, é responsabilidade da sua organização determinar a necessidade de uma DPIA e prepará-la. O Google não pode realizar DPIAs em nome dos nossos clientes, mas oferecemos assistência disponibilizando informações e outros recursos que podem ajudar você a concluir a DPIA para uso dos serviços na nuvem.

Uma DPIA geralmente consiste em várias fases importantes, que são discutidas em mais detalhes nesta seção:

1. Descrição do processamento de dados

2. Avaliar a necessidade e a proporcionalidade

3. Descrever os riscos e como você os gerenciará

4. Coleta de informações adicionais

5. Documentar suas conclusões

Não há um formato definido para uma DPIA. Algumas autoridades de proteção de dados publicaram modelos que podem ser usados. Também é possível utilizar os modelos fornecidos pelo Google Cloud. Consulte Como o Google oferece suporte à sua DPIA.

Caso você use um modelo ou crie seu próprio formato de DPIA, ela precisa incluir:

• Como e por que sua organização processará dados pessoais e identificará sua base legal do GDPR (por exemplo, consentimento, cumprimento de um contrato ou interesses legítimos).

• Sua avaliação da necessidade e proporcionalidade do processamento (por que você precisa processar os dados pessoais para atingir seu objetivo).

• Quaisquer riscos potenciais que você identificou e as medidas que tomará para abordar e atenuá-los. Essa pode ser uma maneira eficaz de avaliar e demonstrar a conformidade do seu projeto com os princípios de proteção de dados.

Além disso, monitorar regularmente as atividades de processamento de dados em que a DPIA é conduzida, além de incorporar atualizações quando necessário, é uma parte fundamental do ciclo de vida geral da DPIA. Quando ocorre uma mudança material que afeta as atividades de processamento de dados, revise e atualize as partes relevantes da DPIA.

1. Descrição do processamento de dados

Você precisa oferecer uma descrição funcional do processamento de dados. Ao fazer isso, pode ser útil fazer as seguintes perguntas a si mesmo:

• Que tipos de dados pessoais serão usados em seu projeto (por exemplo, nomes, informações de contato, detalhes financeiros, e-mails)?

• De quem são os dados pessoais (também conhecidos como titulares dos dados) (por exemplo, seus funcionários, clientes, estudantes)?

• Qual é a origem dos dados pessoais? As informações serão coletadas diretamente dos indivíduos ou por meio de terceiros? 

• Para que fins você usará os dados? Em outras palavras, por que você os processa?

• Como você usará os dados? Como serão armazenados? Por quanto tempo eles serão mantidos?

• Quem terá acesso aos dados pessoais dentro da organização?

• Você vai compartilhar os dados com qualquer pessoa fora da sua organização?

Você também pode incluir um diagrama, fluxograma ou outros recursos visuais como parte de sua descrição. 

2. Como avaliar a necessidade e a proporcionalidade 

Necessidade e proporcionalidade são princípios fundamentais da legislação europeia de proteção de dados. Para demonstrar a necessidade e a proporcionalidade do seu processamento, você precisa mostrar como pretende cumprir suas obrigações de proteção de dados nos termos do GDPR. Sua avaliação deve mostrar que você pensou sobre:

• Qual é a base legal do Artigo 6 do GDPR para processar esses dados (por exemplo, consentimento, cumprimento de um contrato, interesses legítimos ou outros)? Se estiver contando com seus interesses legítimos, você precisará descrevê-los.

• O processamento é necessário para alcançar seu objetivo? Você concorda que é possível alcançar esse objetivo sem processar os dados pessoais?

• Como você vai garantir que não vai processar mais dados pessoais do que o necessário? Você já pensou em tornar os dados anônimos ou pseudonimizados?

• Como você informará às pessoas preocupadas que está processando os dados pessoais delas e fornecerá as informações exigidas pelo GDPR (por exemplo, políticas de privacidade ou avisos)?

• Você está informando os titulares dos dados sobre os direitos deles em relação ao uso dos dados pessoais deles, por exemplo, para acessar esses dados ou para se opor ao seu processamento? Para mais informações sobre como os serviços do Cloud dão suporte aos direitos do titular dos dados, consulte Como o Google oferece suporte à sua DPIA. 

• Você definiu períodos máximos de armazenamento para os dados pessoais? Como isso se aplica e quais medidas você pode tomar para garantir que os dados sejam excluídos quando deveriam?

• Quais processadores de dados você usa para dar suporte ao seu processamento? O Google Cloud será um dos seus processadores de dados, e você precisa documentar isso na sua DPIA. Consulte Como o Google oferece suporte à sua DPIA para mais informações sobre o Google e os subprocessadores dele. 

• Se você estiver compartilhando dados com qualquer pessoa (por exemplo, empresas externas ou suas próprias subsidiárias) de fora do Espaço Econômico Europeu (ou em países com decisões de adequação como o Reino Unido), quais salvaguardas você tem em vigor para proteger os dados nesses terceiros? Para mais informações sobre as proteções do Google Cloud para transferências de dados, consulte Como o Google oferece suporte à sua DPIA. 

• Se o processamento estiver em conformidade com um Código de Conduta aprovado por uma autoridade de proteção de dados, leve isso em consideração. Para mais informações sobre a adesão do Google ao Código de Conduta do Cloud da UE, consulte Como o Google apoia sua DPIA.

3. Descrever os riscos e como você os gerenciará

A DPIA deve identificar os riscos aos direitos e liberdades das pessoas que podem resultar do processamento de dados. 

Identificar esses riscos é uma parte crucial da DPIA: sua avaliação do impacto real da atividade de processamento de dados. O impacto e os riscos provavelmente variam, dependendo das atividades da sua organização, da natureza dos dados pessoais e das pessoas envolvidas. 

Há muitas maneiras de avaliar o impacto e os riscos da proteção de dados, e o GDPR não exige nenhuma abordagem específica. Algumas autoridades de proteção de dados publicaram materiais e ferramentas para ajudar as organizações a realizar essa avaliação, o que pode ser útil.

Confira a seguir alguns dos elementos que provavelmente farão parte da sua avaliação.

A) Quais riscos potenciais você precisa considerar?

A DPIA deve considerar os impactos negativos que podem ocorrer como resultado do projeto. Pode ser útil se colocar na posição das pessoas cujos dados pessoais serão processados e considerar o que pode causar preocupação a elas. 

Exemplos de riscos potenciais incluem:

• Uso surpreendente ou inesperado de dados pessoais para os indivíduos.

• Perda de controle dos indivíduos sobre os próprios dados pessoais.

• Discriminação ou preconceito.

• Maior risco de roubo de identidade ou fraude.

• Invasão da vida pessoal das pessoas

• Perda de confidencialidade.

• Reidentificação de dados pseudonimizados.

• Revelação de informações sensíveis ou sobre indivíduos vulneráveis (por exemplo, crianças).

• Coletar informações imprecisas ou supor imprecisas sobre o indivíduo.

Em sua avaliação, você também pode incluir seus próprios riscos como organização, como qualquer risco de dano à reputação, ação regulatória ou perda de confiança pública.

Considere também o nível de risco, considerando a probabilidade e a gravidade do possível dano. Por exemplo, um risco pode ser muito sério, mas, na prática, pode ser muito improvável. Por outro lado, um risco pode ser relativamente pequeno, mas tem uma alta probabilidade de ocorrer. Pode ser útil atribuir uma pontuação de risco numérica ou usar uma abordagem de "semáforo" vermelho/amarelo/verde. 

B) Quais medidas você pode tomar para mitigar os riscos?

Depois de avaliar o nível de risco, é necessário identificar as medidas que podem ser tomadas para atenuá-los. Confira alguns exemplos de etapas de mitigação:

• Decidir não coletar alguns dados pessoais.

• Pseudonimizar os dados.

• Excluir indivíduos vulneráveis do conjunto de dados, quando viável.

• Implementar medidas para garantir um nível de segurança adequado ao risco.

• Implementar políticas internas de tratamento de dados para a equipe.

• Treinar a equipe sobre como usar dados pessoais.

• Implementar medidas adicionais para informar os indivíduos sobre como a organização lida com seus dados pessoais.

• Oferecer aos indivíduos a escolha de como seus dados pessoais serão usados.

Você não precisa eliminar por completo todos os riscos. No entanto, é preciso conseguir reduzir os riscos gerais até um nível aceitável, de acordo com suas obrigações nos termos do GDPR. Ao avaliar os riscos residuais, você pode considerar os benefícios do seu projeto, incluindo os benefícios para os indivíduos. Se os riscos residuais permanecerem “altos”, você poderá decidir não continuar com o projeto ou precisar consultar sua autoridade de proteção de dados antes de prosseguir.

4. Coleta de informações adicionais

Caso sua organização tenha um oficial de proteção de dados (DPO, na sigla em inglês), de acordo com o GDPR, é obrigatório pedir orientação ao preparar uma DPIA. Também pode ser útil falar com outras partes interessadas em sua organização, por exemplo, as equipes de TI, conformidade ou jurídica. 

Dependendo da natureza do projeto e dos riscos envolvidos, você também pode querer obter informações das pessoas cujos dados você estará processando. Essa informação pode assumir várias formas, conforme apropriado para seu projeto e local, por exemplo, falar com seus funcionários para responder a quaisquer perguntas ou preocupações que eles possam ter. consultar os representantes de funcionários da sua organização (por exemplo, um conselho ou comitê de trabalho, se houver) ou realizar pesquisas de mercado para descobrir a opinião dos usuários finais (por exemplo, dos clientes, se você representa uma organização varejista). 

5. Documentar suas conclusões

Depois de concluir sua avaliação, registre o seguinte na DPIA:

• Os riscos do processamento de dados pessoais planejado que você identificou.

• As medidas que você tomará para mitigar esses riscos.

• Até que ponto algum risco residual permanece e o nível dele.

• Se você precisa tomar medidas adicionais, como consultar sua autoridade de proteção de dados.

Se a DPIA concluir que você mitigou suficientemente os riscos identificados, prossiga sem consultar a autoridade de proteção de dados da organização.

No entanto, se você decidir que não é capaz de reduzir os riscos residuais para um nível aceitável e, portanto, com base na sua avaliação, o processamento ainda representa um "alto risco", consulte seu antes de iniciar o processamento. Como alternativa, você pode decidir não prosseguir com o projeto. 

Oferecemos dois modelos de DPIAs: uma para o Google Workspace(incluindo o Google Workspace for Education) e outra para o Google Cloud:

• Modelo de DPIA para o Google Workspace

• Modelo de DPIA para o Google Cloud

Esses modelos podem ser uma ferramenta útil para ajudar você a pensar, planejar e conduzir sua DPIA. Embora tenham sido projetados para uso em relação aos serviços na nuvem, eles não prevêem (nem podem) todos os casos de uso possíveis que nossos clientes possam ter para os serviços na nuvem e, portanto, são genéricos e devem ser tratados como um ponto de partida sugerido. , Além disso, as informações contidas não constituem aconselhamento jurídico. A conclusão da DPIA é sua responsabilidade como controlador de dados e precisa ser específica para seus casos de uso planejados para os serviços na nuvem.

Não há um formato definido para a DPIA, e você pode usar a abordagem que quiser, desde que ela esteja em conformidade com os requisitos regulamentares. Algumas autoridades de proteção de dados publicaram seus próprios modelos de DPIAs. Convém também dar uma olhada nos formatos sugeridos.

Para ajudar nossos clientes a descrever o processamento de dados relevante, confira abaixo algumas informações sobre os Serviços do Cloud. Você também pode encontrar links para materiais adicionais sobre os Serviços do Cloud que podem ser úteis para completar esta seção da sua DPIA.

Quais dados pessoais a DPIA deve cobrir?

A DPIA deve cobrir todos os dados pessoais que você processa como controlador e que se enquadram na definição de "Dados pessoais do cliente" no nosso Adendo sobre processamento de dados do Cloud ("CDPA"). 

Conforme estabelecido no Apêndice 1 do CDPA, as categorias de dados pessoais processados pelos Serviços do Cloud abrangem todos os dados relacionados a indivíduos fornecidos ao Google pelos Serviços do Cloud pelo Cliente ou pelo respectivo usuário final. 

Na prática, isso pode incluir:

• Detalhes pessoais, incluindo qualquer informação que identifique o titular dos dados e suas características pessoais, incluindo: nome, endereço, detalhes de contato, idade, data de nascimento, sexo e descrição física.

• Detalhes do emprego, incluindo informações relacionadas ao emprego do titular dos dados, incluindo histórico profissional e de emprego, detalhes de recrutamento e rescisão, registros de participação, avaliações de desempenho, registros de treinamento e registros de segurança.

• Detalhes financeiros, incluindo informações relacionadas a assuntos financeiros do titular dos dados, incluindo renda, salário, ativos e investimentos, pagamentos, credibilidade, empréstimos, benefícios, subsídios, detalhes de seguro e informações de pensão.

• Detalhes de educação e treinamento, incluindo informações relacionadas à formação acadêmica e a qualquer treinamento profissional do titular dos dados, incluindo registros acadêmicos, qualificações, habilidades, registros de treinamento, experiência profissional e registros de alunos e alunos.

• Dados pessoais emitidos como identificador por uma autoridade pública, incluindo detalhes de passaporte, números de previdência social, números de carteira de identidade e detalhes da carteira de habilitação.

• Circunstâncias familiares, de estilo de vida e sociais, incluindo qualquer informação relacionada à família do titular dos dados e o estilo de vida e as circunstâncias sociais do titular dos dados, incluindo detalhes da família e de outros membros da casa, hábitos, moradia, detalhes da viagem, atividades de lazer e associação a organizações de caridade ou voluntárias.

• Quaisquer outros dados pessoais controlados pela sua organização.

Dependendo do uso pretendido dos Serviços do Cloud, os dados pessoais podem incluir categorias especiais de dados pessoais, ou seja, dados que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação a sindicatos; dados genéticos; dados biométricos (usados para identificação); ou dados relacionados à saúde, vida sexual ou orientação sexual.

Informações adicionais caso o Google processe os dados de serviços como seu operador

Além do processamento de dados pessoais do cliente pelo Google, o Google também processa dados de serviço quando fornece os serviços do Cloud. De acordo com o Aviso de privacidade do Google Cloud, os dados de serviço são as informações pessoais que o Google coleta ou gera ao fornecer ou gerenciar os serviços do Cloud, exceto dados do cliente. 

Clientes do Google Workspace for Education podem assinar os termos de contrato com o Google (conhecido como Adendo de dados de serviço do Google Workspace for Education), sob o qual eles serão os controladores dos dados de serviço, instruindo o Google como o operador de dados de serviço, com exceção do processamento limitado de dados de serviço que o Google continuará a executar como controlador. Esses clientes talvez queiram usar as partes desta central de recursos que têm o mesmo título que esta subseção para abordar o uso de dados de serviço em suas DPIAs.

Como você pode descrever o processamento envolvido no uso dos serviços do Cloud?

Ao descrever as atividades de processamento, leia nossa descrição dos serviços e recursos disponíveis como parte dos serviços do Cloud.

• O Google Workspace e o Google Workspace for Education são ferramentas de colaboração e produtividade. Eles estão descritos no Resumo dos serviços do Google Workspace. Acesse a edição/SKU relevante para você. Se você precisar de mais informações sobre esses serviços, consulte este link para o Google Workspace e este link para o Google Workspace. for Education.

• O Google Cloud abrange mais de 150 produtos de computação em nuvem, análise de dados e machine learning. Os serviços disponíveis para os clientes do Google Cloud são descritos no Resumo dos serviços do Google Cloud. Se precisar de mais informações sobre esses serviços, consulte esta página.

O que o uso dos serviços do Cloud significa para seus fins de processamento de dados?

A DPIA precisa descrever com que finalidade você (como controlador) instrui os processadores a processar dados pessoais em seu nome.

Sejam quais forem seus objetivos, ao usar os serviços do Cloud, você usa o Google Cloud para processar dados pessoais do cliente em seu nome (para uma ou mais das suas finalidades). Como controlador desses dados, você instrui o Google Cloud (como operador) a processá-los de acordo com o contrato de serviços do Cloud aplicável (incluindo o CDPA) e a legislação aplicável, somente para as seguintes finalidades:

• Fornecer, proteger e monitorar os serviços do Cloud e os serviços de suporte técnico fornecidos de acordo com seu contrato de serviços do Cloud.

• Conforme especificado pelo uso dos serviços do Cloud e dos serviços de suporte técnico relevantes, ou de qualquer outra instrução por escrito dada por você de acordo com o CDPA e reconhecida pelo Google como tal.

O Google obedecerá às instruções do usuário de acordo com o CDPA (a menos que seja proibido pela legislação europeia) com relação a esse processamento.

Informações adicionais caso o Google processe os dados de serviços como seu operador

Se você for cliente do Google Workspace for Education e tiver optado por aceitar o Adendo de dados de serviço do Google Workspace for Education, siga as instruções do Google Cloud (como operador) em relação aos dados de serviço estabelecidos nesse adendo.

Quais terceiros terão acesso a dados pessoais nos serviços do Cloud?

A DPIA deve indicar os terceiros com quem você compartilhará dados pessoais:

• Ao usar os serviços do Cloud, você vai compartilhar dados pessoais do cliente com a entidade contratante do Google indicada no CDPA, que será o operador desses dados. Verifique a entidade correta aqui.

• O Google Cloud também usa subprocessadores para realizar atividades limitadas relacionadas aos serviços do Cloud, como serviços de suporte técnico, operações de data center ou manutenção de serviços. Ao concordar com nosso CDPA, você autoriza a contratação desses terceiros.

Observação: é possível encontrar uma lista dos subprocessadores (e informações sobre as atividades que eles executam) para o Google Workspace (incluindo o Google Workspace for Education) neste link e para o Google Cloud neste link.

Quando subprocessadores são usados, o Google se compromete a garantir que:

• Cada subprocessador só tem acesso aos dados do cliente (incluindo dados pessoais do cliente) no escopo das atividades limitadas subcontratadas a ele, de acordo com o contrato de serviços do Cloud entre o Google e o cliente (incluindo o CDPA).

• Se o processamento de dados pessoais do cliente estiver sujeito ao GDPR (ou a qualquer outra legislação europeia de proteção de dados), as obrigações de proteção de dados descritas no CDPA serão impostas aos subprocessadores.

• Nossos clientes recebem um aviso com antecedência antes que um novo subprocessador comece a processar os dados do cliente (incluindo os dados pessoais do cliente), incluindo o nome e o local do subprocessador e as atividades que ele realizará.

Informações adicionais caso o Google processe os dados de serviços como seu operador

Se você for cliente do Google Workspace for Education e tiver optado por aceitar o Adendo de dados de serviço do Google Workspace for Education, os subprocessadores do Google para dados pessoais do cliente também serão subprocessadores de dados de serviço e estarão sujeitos a compromissos semelhantes para os dados de serviço estabelecidos nesse adendo.

Onde os dados são armazenados e processados?

Dada a natureza global dos nossos serviços de nuvem pública, mantemos instalações em todas as regiões (globalmente) para armazenar e processar os dados do cliente (incluindo dados pessoais do cliente).

Você pode encontrar mais informações sobre os locais onde o Google e seus subprocessadores mantêm instalações:

Para o Google Workspace(incluindo o Google Workspace for Education):

• Instalações do Google

• Instalações dos subprocessadores 

Para o Google Cloud:

• Instalações do Google

• Instalações dos subprocessadores

Mais informações sobre a infraestrutura (por exemplo, hardware e redes) usada para processar os dados do cliente (incluindo dados pessoais do cliente) estão disponíveis na Visão geral do design da infraestrutura de segurança, e também em:

• Para o Google Workspace(incluindo o Google Workspace for Education), no artigo sobre segurança do Google Workspace.

• Para o Google Cloud, em Visão geral de segurança do Google.

Também reconhecemos que alguns clientes querem mais opções e controle sobre a localização de seus dados do cliente:

• Para o Google Cloud: os clientes podem configurar os serviços listados aqui para armazenar os dados do cliente em repouso em uma região ou multirregião específica, conforme listado na página de locais do Cloud. Esse compromisso está previsto na seção "Local dos dados" dos Termos específicos de serviço do Google Cloud. Além disso, os clientes também podem configurar uma política da organização que restringe o local físico de novos recursos para serviços com suporte.

• Para o Google Workspace (incluindo o Google Workspace for Education): os clientes com edições qualificadas podem usar nosso recurso de regiões de dados, que permite selecionar uma região (por exemplo, a Europa) para armazenam os dados do cliente cobertos (incluindo backups) em repouso. No momento, esse recurso se aplica aos serviços principais e aos dados do Google Workspace definidos aqui, conforme a seção "Regiões de dados" dos Termos específicos de serviço do Google Workspace.

Informações adicionais caso o Google processe os dados de serviços como seu operador

Para os clientes do Google Workspace for Education que aceitaram o Adendo de dados de serviço do Google Workspace for Education, os requisitos informações sobre nossas instalações de "Subprocessadores" podem ser encontradas no link relevante do Adendo.

Por quanto tempo o Google Cloud armazena os dados do cliente?

A menos que nosso cliente exclua esses dados antecipadamente, o Google Cloud processará os dados do cliente:

• Durante a vigência do CDPA, que termina quando o fornecimento dos serviços do Cloud terminar.

• Durante um período após o fim da vigência, até que os dados sejam excluídos. Após um período de recuperação de até 30 dias, o Google excluirá os dados assim que razoavelmente possível e no máximo 180 dias, exceto se a legislação exigir o armazenamento. Caso queira reter os dados após o fim da vigência, você pode instruir o Google a devolvê-los a você antes do término da vigência usando funcionalidades integradas, como ferramentas de exportação de dados.

Também é possível excluir os dados do cliente a qualquer momento durante a vigência usando a funcionalidade integrada dos serviços do Cloud que você usa. Quando você usa a funcionalidade dos serviços do Cloud para excluir dados do cliente, o Google exclui os dados assim que razoavelmente possível e no máximo 180 dias, exceto se a legislação exigir o armazenamento.

Para mais informações sobre retenção e exclusão, acesse:

• Para Google Workspace(incluindo Google Workspace for Education ), consulte os artigos da Central de Ajuda sobreExcluir ou remover um usuário da organização eExcluir a conta do Google da sua organização.

• Para o Google Cloud, consulte a página Exclusão de dados no Google Cloud.

Você é responsável pelas cópias dos dados que podem optar por armazenar fora dos sistemas do Google ou dos subprocessadores dele.

Informações adicionais caso o Google processe os dados de serviços como seu operador

Para os clientes do Google Workspace for Education que aceitaram o Adendo de dados de serviço do Google Workspace for Education, os compromissos de retenção e exclusão do Google em relação aos dados de serviço são estabelecidos nesse adendo.

Ao avaliar a necessidade e a proporcionalidade do seu processamento, a DPIA terá que abranger vários aspectos da conformidade com os princípios de proteção de dados.

Embora sua responsabilidade como controlador é de demonstrar a conformidade, as proteções, os recursos e a funcionalidade integrados aos serviços na nuvem podem apoiar sua avaliação.

Como o Google pode ajudar seus esforços de minimização de dados?

Além de todas as medidas técnicas e organizacionais que você implementou para garantir que processe apenas a quantidade mínima de dados pessoais necessária para atingir os objetivos declarados, o Google Cloud pode disponibilizar determinados recursos e funcionalidades que podem ajudar a reduzir a quantidade de dados pessoais processados nos serviços na nuvem. Consulte, por exemplo, a documentação do Google Cloud sobre como desidentificar dados sensíveis e pseudonimização.

Como o Google pode ajudar você a cumprir os direitos de titular dos dados?

Como controlador de dados pessoais, você é responsável por informar os indivíduos sobre os direitos deles relacionados aos dados pessoais (por exemplo, direitos de acesso, exclusão e portabilidade) e por responder a quaisquer solicitações que você receba de indivíduos que os exercerem.

Para ajudar você a cumprir suas obrigações, o Google permitirá que você, de acordo com a funcionalidade dos serviços na nuvem, exclua, acesse, exporte, corrija ou restrinja o processamento de dados do cliente (incluindo dados pessoais do cliente).

Se a equipe de proteção de dados do Google Cloud receber uma solicitação de um indivíduo relacionado a dados pessoais do cliente e identificar sua organização, o Google orientará a pessoa a enviar a solicitação para você. O Google notificará você imediatamente que recebeu a solicitação e não responderá sem sua autorização. 

Para o Google Workspace(incluindo o Google Workspace for Education), o Guia de solicitações de titulares de dados (DSR, na sigla em inglês) do Google Workspace fornece mais informações sobre como você pode usar esses serviços para responder a solicitações de titulares dos dados.

Informações adicionais caso o Google processe os dados de serviços como seu operador

Para os clientes do Google Workspace for Education que aceitaram o Adendo de dados de serviço do Google Workspace for Education, o Google também oferece os compromissos descritos nesta seção. dos dados de serviços que o Google processa como um operador.

Quais são as salvaguardas em vigor para transferências de dados internacionais?

Você (como o controlador) e o Google (como o operador) são responsáveis por garantir que quaisquer transferências de dados pessoais do cliente (e dados de serviço, para clientes do Google Workspace for Education que tenham optado por aceitar o Adendo de dados de serviço do Google Workspace for Education) para países fora do Espaço Econômico Europeu (que não têm decisões de adequação) precisam obedecer aos requisitos do GDPR sobre transferências de dados. Eles são normalmente chamados de "países terceiros". 

A menos que o Google tenha adotado uma Solução de Transferência Alternativa (por exemplo, a Estrutura de Privacidade de Dados entre a UE e os EUA ou DPF), quando os dados são transferidos para um país terceiro, usamos as cláusulas contratuais padrão aprovadas pela Comissão da UE. (SCCs), conforme descrito no artigo Abordagem do Google Cloud às cláusulas contratuais padrão europeias. Especificamente, convém revisar a seção do artigo "Abordagem atualizada do Google Cloud para SCCs" para entender quais módulos da SCC são aplicáveis com relação às transferências relevantes de dados pessoais do cliente. Nossos compromissos contratuais referentes às transferências de dados pessoais do cliente a países terceiros são estabelecidos na seção "Locais de processamento de dados" do CDPA. 

Também fornecemos informações adicionais sobre as salvaguardas técnicas, legais e organizacionais adotadas pelo Google para proteger as transferências de dados internacionais:

• Para o Google Workspace (incluindo o Google Workspace for Education), consulte os artigos Salvaguardas da transferência de dados internacionais com o Google Workspace e o Google Workspace for Education (link em inglês).

• Para o Google Cloud, consulte o artigo Salvaguardas para transferências de dados internacionais com o Google Cloud.

Esses artigos incluem informações sobre a legislação dos Estados Unidos e sua aplicabilidade aos serviços na nuvem, para ajudar os clientes com quaisquer avaliações de risco que precisem ser concluídas com base na decisão do Tribunal de Justiça da União Europeia conhecida como “Schrems II”. 

Sobre a questão das Soluções de Transferência Alternativas, aceitamos a DPF e estamos trabalhando para adotá-la para transferências de dados pessoais da UE para os EUA. Informaremos nossos clientes, conforme exigido pela CDPA, quando adotarmos a DPF como uma Solução de Transferência Alternativa, e pretendemos fazer isso em breve. Depois de adotarmos a DPF como uma Solução de Transferência Alternativa, vamos garantir que as transferências de dados internacionais relevantes sejam feitas de acordo com ela. 

O Google obedece a um código de conduta aprovado?

O Google adere ao Código de conduta GDPR da nuvem da UE no que diz respeito aos serviços na nuvem. 

O Código de conduta da nuvem é um mecanismo para os provedores de nuvem demonstrarem como oferecem garantias suficientes para implementar medidas técnicas e organizacionais adequadas como operadores nos termos do GDPR. Clique aqui para descobrir quais serviços na nuvem estão no escopo. 

O Código de conduta da nuvem foi aprovado pela autoridade de proteção de dados da Bélgica em 20 de maio de 2021 com base em uma opinião positiva do Comitê Europeu para a Proteção de Dados. 

Depois de avaliar os riscos do processamento, a DPIA deve explicar como você planeja mitigá-los. Isso normalmente significa mostrar que você implementou medidas técnicas e organizacionais adequadas aos riscos envolvidos, incluindo medidas de segurança de dados.

Quando você usa os serviços do Cloud, o processamento dos dados do cliente é vantajoso para:

• Medidas de segurança líderes do setor implementadas e mantidas pelo Google.

• Recursos, funcionalidades, funcionalidades e/ou controles de segurança adicionais disponíveis para os usuários dos serviços do Cloud, que você pode usar a seu critério.

• Compromissos contratuais do Google com medidas técnicas, organizacionais e físicas. 

Informações adicionais caso o Google processe os dados de serviços como seu operador

Para os clientes do Google Workspace for Education que aceitaram o Adendo de dados de serviço do Google Workspace for Education, isso também inclui compromissos contratuais equivalentes em relação às medidas de segurança dos dados de serviços que o Google processa como um operador. 

Ao celebrar o CDPA, você concorda que essas medidas proporcionam um nível adequado de segurança, considerando os riscos envolvidos no seu processamento.

Quais medidas de segurança o Google mantém para os serviços do Cloud?

Como um desenvolvedor de nuvem inovador, o Google entende a segurança na nuvem. Fazemos da segurança uma prioridade máxima em nossas operações, e os serviços do Cloud foram projetados para oferecer uma segurança melhor do que muitas abordagens locais.

A segurança conduz a estrutura organizacional, a cultura, as prioridades de treinamento e os processos de contratação do Google. Ela define o design dos nossos data centers e a tecnologia que eles abrigam. Eles são essenciais para nossas operações diárias e são priorizados na forma como lidamos com os dados do cliente e os dados de serviços. Ela também influencia as certificações e relatórios de auditoria que mantemos.

Consulte a Visão geral do design da infraestrutura de segurança do Google para mais informações sobre como nossa infraestrutura técnica escalonada globalmente foi projetada para oferecer a implantação segura dos serviços do Cloud, comunicações seguras entre serviços, comunicação particular e segura com clientes na Internet. e operação segura pelos administradores.

Também é possível encontrar informações mais específicas sobre medidas técnicas e organizacionais mantidas pelo Google:

• Para usar o Google Workspace, (incluindo o Google Workspace for Education), consulte o artigo sobre segurança do Google Workspace. 

• Para o Google Cloud, consulte a Visão geral da segurança do Google e os Artigos de segurança do Google Cloud. 

Acesse a Central de práticas recomendadas de segurança e a Central de recursos de privacidade para mais recursos sobre as medidas de segurança técnica e organizacional do Google para os Serviços do Cloud.

Quais controles de segurança opcionais podem ser aplicados ao uso dos Serviços do Cloud?

O Google também oferece outros controles de segurança opcionais para ajudar os clientes dos serviços do Cloud a atender às suas necessidades de segurança e conformidade. São eles: recursos, funcionalidades, funcionalidades e controles de segurança que os clientes podem usar, como o Admin Console, soluções de criptografia, ferramentas de geração de registros e monitoramento e gerenciamento de identidade e acesso.

Você encontra mais informações sobre como sua organização pode configurar os serviços, os recursos e as funcionalidades do Cloud:

• Para Google Workspace(incluindo Google Workspace for Education), nossos Guias de implementação de proteção de dados paraGoogle Workspace eGoogle Workspace for Education dar informações sobre como os clientes podem usar e definir os serviços e as configurações relevantes.

• Para o Google Cloud, nosso modelo de arquitetura do Google Cloud define as práticas recomendadas e as recomendações de implementação, além de ajudar os clientes a projetar a implantação do Google Cloud de acordo com as necessidades da empresa.

Temos outros recursos disponíveis para ajudar você a atender às suas necessidades de segurança e compliance na Central de práticas recomendadas de segurança e na Central de recursos de privacidade.

Quais compromissos contratuais e de outros tipos o Google tem?

O CDPA estabelece os compromissos contratuais do Google com relação aos dados do cliente, incluindo os dados pessoais do cliente. O Google se compromete a, entre outras coisas, implementar e manter medidas técnicas, organizacionais e físicas para proteger os dados do cliente contra destruição, perda, alteração, divulgação ou acesso não autorizados ou acidentais ou ilegais.

Essas medidas são descritas em mais detalhes no Apêndice 2 do CDPA e incluem compromissos de segurança de data center e rede, controles de local e de acesso, segurança de dados, segurança de pessoal e segurança de subprocessadores.

Além disso, nossos compromissos de privacidade empresarial do Google Cloud descrevem, em termos gerais, como ajudamos a proteger os dados dos clientes que usam nossos serviços do Cloud:

1. Você controla seus dados: os dados do cliente são seus, não do Google. Só processamos seus dados de acordo com seus contratos.

2. Nunca usamos seus dados para segmentação de anúncios: não processamos seus dados do cliente para criar perfis de anúncios ou melhorar os produtos do Google Ads.

3. Somos transparentes sobre a coleta e o uso de dados: temos o compromisso de oferecer transparência, conformidade com regulamentações como o GDPR e práticas recomendadas de privacidade.

4. Nunca vendemos os dados do cliente ou dados de serviços: nunca vendemos dados do cliente ou dados de serviço a terceiros.

5. Segurança e privacidade são os principais critérios de design para todos os nossos produtos: priorizar a privacidade dos clientes significa proteger os dados que você nos confia. As mais eficientes tecnologias de segurança são integradas aos nossos produtos.

Informações adicionais caso o Google processe os dados de serviços como seu operador

Se você for cliente do Google Workspace for Education e tiver optado por aceitar o Adendo de dados de serviço do Google Workspace for Education, os compromissos contratuais do Google para os dados de serviço que processa como um operador estão estabelecidos nesse adendo.

Como o Google lida com solicitações de órgãos responsáveis pelo cumprimento da lei?

O Google desenvolveu um processo transparente e completo que atende às práticas recomendadas internacionais quando se trata de solicitações de acesso aos dados por órgãos de cumprimento da lei e governos. O Google Cloud oferece uma resposta caso a caso, considerando diferentes circunstâncias e informada por requisitos legais, contratos de clientes e políticas de privacidade. 

O processo que o Google Cloud seguirá em relação a tais solicitações é descrito no artigo Solicitações governamentais para dados de clientes do Cloud.

Além disso, nosso Relatório de Transparência divulga, quando permitido pela legislação aplicável, o número de solicitações de informações de clientes feitas por órgãos responsáveis pelo cumprimento da lei e órgãos governamentais. 

Como o Google Cloud demonstra conformidade?

Os Serviços do Cloud passam regularmente por verificações independentes dos controles de segurança, privacidade e conformidade para receber certificações, atestados e relatórios de auditoria que demonstram a conformidade. Os clientes podem acessar e fazer o download de várias certificações (incluindo ISO 27001, 27017, 27018 e 27701), relatórios de auditoria (incluindo SOC 1, 2 e 3) e outros recursos relevantes por meio do nosso Gerenciador de relatórios de compliance. 

Além disso, e como demonstração do nosso compromisso contínuo em proteger os dados de serviços, ampliamos o escopo das nossas certificações ISO 27001, 27017, 27018 e 27701 para também incluir os dados de serviços (em que agimos como processador desses dados) para os documentos relevantes Workspace. 

Além disso, conforme mencionado acima, o Google adere ao Código de Conduta do Cloud GDPR da UE, um mecanismo para provedores de nuvem demonstrarem como oferecem garantias suficientes para implementar medidas técnicas e organizacionais adequadas como operadores nos termos do GDPR.