El Reglamento General de Protección de Datos (RGPD) es la legislación sobre privacidad de la UE que entró en vigor el 25 de mayo del 2018 en sustitución de la Directiva 95/46/CE sobre protección de datos del 24 de octubre de 1995. El RGPD estipula requisitos concretos que deben cumplir todas las empresas y organizaciones que tengan su sede en Europa o que presten servicios a usuarios europeos:
En Google Cloud, impulsamos iniciativas que priorizan y mejoran tanto la seguridad como la privacidad de los datos personales de los clientes. Queremos que, como cliente de Google Cloud, utilices nuestros servicios con la tranquilidad de saber que cumples las disposiciones del RGPD. Si colaboras con Google Cloud, te ayudaremos a asegurar el cumplimiento del RGPD a través de las siguientes iniciativas:
Los responsables del tratamiento de datos deben utilizar los encargados del tratamiento de datos con las medidas técnicas y organizativas adecuadas. A la hora de realizar la evaluación del RGPD en Google Cloud, ten en cuenta lo siguiente:
Conocimientos especializados en protección de datos
Google emplea a profesionales en los ámbitos de la seguridad y la privacidad, entre los que se encuentran algunos de los mayores expertos del mundo en materia de seguridad de la información, de aplicaciones y de redes. Este equipo experto se encarga de mantener los sistemas de defensa de la empresa, desarrollar los procesos de revisión de la seguridad, reforzar la infraestructura de seguridad e implementar de forma minuciosa las políticas de seguridad de Google.
Google también cuenta con un nutrido equipo de abogados, expertos en cumplimiento normativo y especialistas en políticas públicas, quienes velan por que se cumplan las normas de privacidad y seguridad en Google Cloud.
Estos equipos colaboran con los clientes, con los interlocutores más influyentes del sector y con las autoridades de control para garantizar que nuestros servicios de Google Workspace y Google Cloud permitirán a los clientes cumplir con sus obligaciones.
Contratos sobre el tratamiento de datos
Los contratos sobre el tratamiento de datos de Google Workspace y Google Cloud reflejan claramente nuestro compromiso con la privacidad de los clientes. A lo largo de los años, hemos ido ajustando estos términos a partir de las sugerencias de nuestros clientes y de los organismos reguladores.
Más recientemente, los hemos modificado para que reflejaran lo estipulado en el RGPD, así como para que nuestros clientes contaran con el tiempo suficiente para evaluar si cumplían con esta normativa al utilizar los servicios de Google Cloud. Consulta más información sobre la Adenda sobre Tratamiento de Datos de Google Workspace, las Cláusulas contractuales tipo de la UE de Google Workspace, los Términos de Seguridad y Tratamiento de Datos de Google Cloud y de las Cláusulas contractuales tipo de la UE de Google Cloud (SCC).
Nuestros clientes pueden aceptar los términos actualizados del tratamiento de datos mediante el proceso descrito en la Adenda sobre Tratamiento de Datos de Google Workspace y en los Términos de Seguridad y Tratamiento de Datos de Google Cloud.
Tratamiento de datos de conformidad con las instrucciones
Toda la información que los clientes y sus usuarios introducen en nuestros sistemas se trata siempre de acuerdo con las instrucciones del interesado, tal y como se estipula en nuestros contratos sobre el tratamiento de datos actualizados con arreglo al RGPD.
Compromisos de confidencialidad del personal
Todos los empleados de Google están obligados a firmar un contrato de confidencialidad y realizar un proceso de formación obligatorio sobre la confidencialidad, la privacidad y el Código de Conducta de Google. En él se incluyen de forma específica las responsabilidades y el comportamiento que se espera de nuestros empleados en relación con la protección de la información.
Las empresas del grupo Google llevan a cabo la mayor parte de las actividades de tratamiento de datos necesarias para poder ofrecer los servicios Google Workspace y Google Cloud. No obstante, colaboramos con proveedores externos que ofrecen asistencia para estos servicios. Todos los proveedores se someten a un proceso de selección muy riguroso para demostrar que disponen de los conocimientos técnicos necesarios y que ofrecen un nivel de seguridad y privacidad óptimo.
Facilitamos información sobre los subencargados del tratamiento del grupo de Google que se ocupan de los servicios de Google Workspace y Google Cloud, así como sobre los subencargados del tratamiento externos que participan en dichos servicios. Consulta los detalles del subencargado del tratamiento de Google Workspace y los detalles del subencargado del tratamiento de Google Cloud. También incluimos los compromisos relacionados con los subencargados en nuestros contratos sobre el tratamiento de datos.
Según el RGPD, se deben implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde con el riesgo.
En Google contamos con una infraestructura internacional diseñada para ofrecer una seguridad puntera durante todo el ciclo de tratamiento de la información. Esta infraestructura se ha desarrollado para garantizar la seguridad de nuestros usuarios en todos los procesos: el despliegue de servicios, el almacenamiento de datos con medidas de privacidad para el usuario final, las comunicaciones entre servicios, las comunicaciones seguras y privadas con los clientes a través de Internet y las operaciones seguras de los administradores. Google Workspace y Google Cloud se ejecutan en esta infraestructura.
Hemos diseñado la seguridad de nuestra infraestructura en capas superpuestas, desde la seguridad física de los centros de datos hasta las protecciones de seguridad de nuestro hardware y software o los procesos que usamos para respaldar la seguridad operacional. Gracias a esta protección por capas, conseguimos unos sólidos cimientos en materia de seguridad en todas las acciones que realizamos. Consulta un análisis detallado sobre nuestra infraestructura de seguridad en el Informe de descripción general del diseño de seguridad de la infraestructura de Google.
Disponibilidad, integridad y resistencia
Los componentes que diseñamos para nuestra plataforma son muy redundantes. Los centros de datos de Google están distribuidos geográficamente para minimizar los efectos de las interrupciones del servicio regionales (como desastres naturales o problemas locales) en los productos que funcionan a nivel mundial. Si se produce un fallo en el hardware, en el software o en la red, los servicios se trasladan de una instalación a otra de forma automática e instantánea, de modo que las operaciones pueden continuar sin interrumpirse. El alto nivel de redundancia de nuestra infraestructura ayuda a proteger a los clientes frente a la pérdida de datos.
Seguridad y realización de pruebas de equipos
Google utiliza códigos de barras y etiquetas de recursos para monitorizar el estado y la ubicación de los equipos de los centros de datos durante todas las etapas de su ciclo de vida, desde la adquisición hasta la instalación, la retirada y la destrucción. Si un componente no supera una prueba de rendimiento en algún momento de su ciclo de vida, se quita del inventario y se retira. Las unidades de disco duro de Google utilizan tecnologías como el encriptado de disco completo (FDE) y el bloqueo de unidades para proteger los datos en reposo.
Pruebas de recuperación tras fallos
Cada año, llevamos a cabo pruebas de recuperación tras fallos con el objetivo de ofrecer un espacio coordinado para que los equipos de infraestructura y aplicaciones comprueben los planes de comunicación, las situaciones de conmutación por error, la transición operacional y otras respuestas de emergencia. Todos los equipos que participan en las pruebas de recuperación tras fallos diseñan planes de pruebas y análisis posteriores que documentan los resultados y las lecciones aprendidas a partir de las pruebas.
Cifrado
Google utiliza el encriptado para proteger los datos, tanto los que están en tránsito como los que están en reposo. Los datos en tránsito entre regiones de Google Workspace están protegidos mediante HTTPS. Esta opción está activada de forma predeterminada para todos los usuarios. Los servicios de Google Workspace y Google Cloud encriptan el contenido en reposo que los usuarios hayan almacenado mediante uno o varios mecanismos de encriptado, sin que estos tengan que llevar a cabo ninguna acción. Puedes consultar un análisis detallado sobre cómo encriptamos los datos en estos recursos:Informe sobre el encriptado en Workspace y Google Cloud Encryptionen tránsito yen reposo.
Controles de acceso
Los derechos y niveles de acceso de los empleados de Google varían según la función y el rol que desempeñen en su puesto. Para asignar los privilegios de acceso a las distintas responsabilidades se emplean los conceptos de "mínimo privilegio" y "necesidad de saber". Las solicitudes de acceso adicional deben seguir un proceso formal que implica la realización de una solicitud y la aprobación pertinente de un propietario de datos o del sistema, de un administrador o de otros directivos, según se estipula en las políticas de seguridad de Google. Los centros de datos en los que se alojan los sistemas y los componentes de la infraestructura de Google Cloud están sujetos a restricciones físicas de acceso y cuentan con personal de seguridad in situ las 24 horas y los 7 días de la semana, guardias de seguridad, tarjetas de acceso, mecanismos de identificación biométrica, cerraduras físicas y cámaras de vídeo que monitorizan los interiores y exteriores de las instalaciones.
Gestión de incidentes
Google cuenta con un equipo específico de seguridad que se encarga de gestionar la protección y la privacidad de los datos de clientes de todo el mundo las 24 horas del día y los 7 días de la semana. Los miembros de este equipo reciben notificaciones sobre incidentes y ayudan a resolver emergencias de forma ininterrumpida. Aplicamos políticas de respuesta a incidentes y los procedimientos que seguimos para solucionar los incidentes más graves están documentados. Las información sobre estos eventos se utiliza para evitar que se produzcan futuros incidentes y puede servir de ejemplo en formaciones sobre seguridad de la información. Los procesos de gestión de incidentes y los flujos de trabajo de respuesta que se llevan a cabo en Google también están documentados. Además, los procesos de gestión de incidentes de Google se someten regularmente a pruebas como parte de nuestros programas ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2 y FedRAMP, con el objetivo de ofrecer a los clientes y organismos reguladores una verificación independiente de nuestros controles de seguridad, privacidad y cumplimiento. Consulta nuestro informe sobre el proceso de respuesta a incidentes de datos para obtener más información sobre este tema.
Gestión de vulnerabilidades
En Google, analizamos las vulnerabilidades del software mediante herramientas internas específicas y disponibles en el mercado, pruebas intensivas de penetración manual y automatizada, procesos de control de calidad, revisiones de seguridad del software y auditorías externas. La comunidad investiga cuestiones de seguridad de un modo más amplio, por lo que también valoramos enormemente su labor a la hora de identificar las vulnerabilidades de Google Workspace, de Google Cloud y de otros productos de Google. Nuestro programa Vulnerability Reward Program anima a los investigadores a informar sobre los problemas de diseño e implementación que pueden poner en riesgo los datos de los clientes.
Seguridad de los productos: Google Workspace
Los clientes de Google Workspace pueden utilizar las funciones y configuraciones de los productos para obtener una protección aún mayor contra el tratamiento no autorizado o ilegal de los datos personales:
Los servicios principales de Google Workspace, entre los que se incluyen Gmail, la consola de administración de Google, Calendar, Drive, Documentos, Keep, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search y Grupos de Google, cuentan con ajustes configurables para asegurar que la protección, el uso y el acceso a los datos de tu organización se realiza de acuerdo con los requisitos que especifiques. La verificación en dos pasos es un mecanismo que reduce el riesgo de acceso no autorizado, ya que exige a los usuarios una segunda prueba de su identidad al iniciar sesión.El uso obligatorio de llaves de seguridad ofrece una capa extra de protección a las cuentas de los usuarios, ya que requiere que se proporcione una llave física.El Programa de Protección Avanzada es nuestro sistema más eficaz para proteger a los usuarios que están expuestos a recibir ataques dirigidos en Internet. La supervisión de inicios de sesión sospechosos los detecta mediante eficaces funciones de aprendizaje automático. La seguridad del correo electrónico mejorada exige que los mensajes se firmen y se cifren mediante extensiones seguras multipropósito de correo de Internet (S/MIME). Encriptado: los datos de los clientes de Google Workspace se encriptan tanto cuando están en disco o almacenados en un soporte de copia de seguridad como cuando se transfieren a través de Internet o se envían de un centro de datos a otro. La prevención de la pérdida de datos (DLP) protege la información sensible almacenada en Gmail y Drive del uso compartido no autorizado. La protección avanzada contra phishing y malware protege frente a secuencias de comandos y archivos adjuntos sospechosos que provengan de remitentes que no sean de confianza, así como de imágenes y enlaces maliciosos. La gestión de los derechos de la información de Drive permite inhabilitar la descarga, la impresión y la copia de archivos en el menú de uso compartido avanzado, así como establecer fechas de vencimiento para acceder a los archivos. La gestión de endpoints proporciona una monitorización continua del sistema y notifica al usuario en caso de detectar actividad de dispositivos sospechosa. En el Centro de alertas se muestran notificaciones, alertas y acciones importantes relacionadas con Google Workspace. Gracias a la valiosa información que revelan las posibles alertas, los administradores pueden evaluar el grado de exposición de sus organizaciones a problemas de seguridad. El Centro de Seguridad ofrece analíticas de seguridad, prácticas recomendadas y solución de problemas integrada que te permiten asegurar la protección de los datos, los dispositivos y los usuarios de tu organización. Esta herramienta aporta visibilidad sobre el uso compartido de archivos con usuarios externos, el spam y el software malicioso dirigido a usuarios de tu organización, además de solución de problemas integrada a través de la herramienta de investigación. El acceso contextual ofrece la posibilidad de aplicar controles de acceso granulares en las aplicaciones de Google Workspace, basados en la identidad del usuario y en el contexto de la solicitud. Google Vault te permite conservar, archivar, buscar y exportar el correo electrónico, el contenido de los archivos de Google Drive y los chats con el registro habilitado de tu organización. De ese modo, cubres todos los requisitos de descubrimiento electrónico y de cumplimiento. El acceso de las aplicaciones a los servicios de Google Workspace se controla mediante OAuth 2.0. De este modo, las organizaciones pueden saber qué aplicaciones internas y de terceros tienen acceso a los datos de Google Workspace, además de consultar información sobre las aplicaciones de terceros que se están utilizando. Las regiones de datos permiten definir una política de región de datos para determinar la ubicación geográfica donde almacenar los datos cubiertos por esa política. Con la función Transparencia de acceso se pueden consultar registros de las acciones que han llevado a cabo los miembros del personal de Google al acceder al contenido de los usuarios.
Consulta más información en la página https://workspace.google.com/security.
Seguridad de los productos: Google Cloud
Los clientes de Google Cloud pueden aprovechar las funciones y las configuraciones de los productos para proteger mejor los datos personales frente al tratamiento no autorizado o ilegal:
En Google Cloud, utilizamos el encriptado en tránsito entre regiones de forma predeterminada para encriptar las solicitudes antes de la transmisión y para proteger los datos en bruto mediante el protocolo Seguridad en la capa de transporte (TLS). Una vez que los datos se han transferido a Google Cloud para almacenarse, Google Cloud aplica el encriptado en reposo de forma predeterminada. La verificación en dos pasos es un mecanismo que reduce el riesgo de acceso no autorizado, ya que exige a los usuarios una segunda prueba de su identidad al iniciar sesión.El uso obligatorio de llaves de seguridad ofrece una capa extra de protección a las cuentas de los usuarios, ya que requiere que se proporcione una llave física. Gestión de Identidades y Accesos de Cloud (Cloud IAM) permite crear y gestionar de forma avanzada el acceso y los permisos de modificación de los recursos de Google Cloud. API Data Loss Prevention, que forma parte de la Protección de Datos Sensibles (una familia de servicios diseñados para ayudarte a descubrir, clasificar y proteger tus datos más sensibles), ayuda a identificar y monitorizar el tratamiento de categorías especiales de datos personales para implementar controles adecuados. Cloud Logging y Cloud Monitoring integran funciones de almacenamiento de registros, monitorización, alertas y detección de anomalías en Google Cloud. Cloud Identity‑Aware Proxy (Cloud IAP) controla quién accede a las aplicaciones en la nube que se ejecutan en Google Cloud. Cloud Security Scanner busca y detecta las vulnerabilidades más comunes en las aplicaciones de Google App Engine. Controles de Servicio de VPC ofrece protección perimetral para servicios que almacenan datos muy sensibles, de forma que se pueden segmentar los datos según el servicio. Cloud KMS y HSM permiten gestionar claves de encriptado y operaciones criptográficas desde clústeres formados por módulos de seguridad de hardware (HSM) con validación FIPS 140-2 de nivel 3. Con KMS los clientes pueden utilizar claves de encriptado gestionadas por Google o por los propios clientes según exijan los requisitos de cumplimiento. Cloud Security Command Center proporciona a los clientes un panel centralizado donde pueden consultar y monitorizar el inventario de sus recursos en la nube, buscar datos sensibles en los sistemas de almacenamiento, detectar vulnerabilidades web comunes y revisar los derechos de acceso a sus recursos esenciales. Aprobación de acceso exige que los administradores de Google tengan que solicitar una aprobación explícita por parte del cliente para poder acceder a sus datos. Para ello, se envía a los clientes un correo o mensaje de Cloud Pub/Sub con una solicitud de acceso para que la aprueben. Pueden usar la información de ese mensaje para aprobar el acceso desde la consola de Google Cloud o mediante la API de Aprobación de acceso.
Para obtener más información, consulta la página https://cloud.google.com/security/.
1 Solo para Google Cloud.
Los administradores pueden exportar los datos de los clientes en cualquier momento durante el periodo de vigencia del contrato. Para ello, cuentan con la funcionalidad específica de los servicios de Google Workspace o de Google Cloud (consulta la documentación de esta plataforma para obtener más información). A lo largo de los años, hemos incorporado compromisos sobre exportación de datos a nuestros términos del tratamiento de datos. Seguiremos trabajando para mejorar nuestras funciones de exportación, de forma que te resulte aún más fácil descargar una copia de los datos de tus clientes de los servicios de Google Workspace y de Google Cloud.
Tienes la posibilidad de eliminar los datos de los clientes en cualquier momento mediante la funcionalidad específica de los servicios de Google Workspace o de Google Cloud. Cuando nos indicas que quieres que nos deshagamos de algo por completo (por ejemplo, cuando un mensaje de correo electrónico borrado ya no se puede recuperar de la papelera), eliminamos todos los datos del cliente pertinentes de todos nuestros sistemas en un plazo máximo de 180 días, a no ser que sea obligatoria su conservación.
Derechos del interesado
Los responsables del tratamiento de datos pueden utilizar las consolas de administración de Google Workspace y Google Cloud, así como la funcionalidad incluida en sus servicios, para rectificar o eliminar los datos que ellos mismos o sus usuarios hayan introducido en nuestros sistemas, así como para acceder a ellos o restringir su tratamiento. Esta funcionalidad les ayudará a cumplir con las obligaciones que hayan contraído con los interesados que quieran ejercer sus derechos en virtud del RGPD.
Equipo de protección de datos
Hemos designado a un delegado de protección de datos para que actúe por cuenta de Google LLC y sus filiales en lo que respecta al tratamiento de datos de conformidad con el RGPD, incluidos los productos y servicios de Cloud. Kristie Chon Flynn es la delegada de protección de datos de Google. Kristie Chon Flynn desempeña su cargo en Sunnyvale (EE. UU.).
Donde es necesario, los productos de Google Cloud tienen equipos dedicados a responder las consultas de los clientes relativas a la protección de datos. Los datos de contacto de dichos equipos figuran en los contratos pertinentes. Si las consultas se refieren a Google Workspace, los administradores del cliente se pueden poner en contacto con el equipo de Protección de Datos de Cloud en https://support.google.com/a/contact/googlecloud_dpr siempre que hayan iniciado sesión con su cuenta de administrador. También pueden remitir una nota a Google del modo descrito en el contrato correspondiente. Si las consultas están relacionadas con Google Cloud, la página de contacto es https://support.google.com/cloud/contact/dpo.
Notificación de incidentes
Durante muchos años, Google Workspace y Google Cloud han establecido compromisos contractuales en cuanto a la notificación de incidentes. Seguiremos informándote con la mayor celeridad posible sobre los incidentes relacionados con los datos de tus clientes, de acuerdo con los términos correspondientes incluidos en nuestros contratos actuales.
El RGPD contempla varios mecanismos para facilitar la transferencia de datos personales fuera de la UE. Estos mecanismos tienen como objetivo confirmar que el nivel de protección es adecuado o garantizar que se aplican las medidas de seguridad apropiadas al transferir datos personales a países que no pertenecen a la UE.
Las decisiones de adecuación, como las que abarcan la Ley de Protección de la Información Personal de Japón y la Ley de Protección de Datos de Suiza, pueden confirmar si el nivel de protección es adecuado.
En los casos en los que se transfieran datos personales a países fuera de la UE en los que no se adoptan decisiones de adecuación, seguiremos lo estipulado en nuestros contratos de tratamiento de datos para ofrecer un mecanismo que facilite dichas transferencias conforme a lo dispuesto en el RGPD. En el 2017, las autoridades europeas de protección de datos confirmaron el cumplimiento de nuestras cláusulas contractuales tipo. Esto significa que los compromisos contractuales de Google Workspace y de Google Cloud cumplen los requisitos legales exigidos para transferir datos personales de la UE a países que no pertenecen a ella y que no cuentan con medidas de protección adecuadas.
Nuestros clientes y los organismos reguladores esperan que se realicen verificaciones independientes de los controles de seguridad, privacidad y cumplimiento. Para cumplir con estas expectativas, Google Workspace y Google Cloud se someten a diversas auditorías externas de forma periódica.
ISO/IEC 27001 (gestión de la seguridad de la información)
La certificación ISO/IEC 27001 es uno de los estándares de seguridad independientes más reconocidos y aceptados a nivel internacional. Google ha obtenido la certificación ISO/IEC 27001 para los sistemas, las aplicaciones, las personas, la tecnología, los procesos y los centros de datos que conforman nuestra infraestructura común compartida, así como para los productos de Google Workspace y Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.
ISO/IEC 27017 (seguridad en la nube)
ISO/IEC 27017 es un estándar internacional de prácticas relacionadas con los controles de seguridad de la información que se basa en la norma ISO/IEC 27002 y se centra especialmente en los servicios en la nube. Google ha obtenido la certificación de cumplimiento ISO/IEC 27017 para Google Workspace y Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.
ISO/IEC 27018 (privacidad en la nube)
La normativa ISO/IEC 27018 es un estándar internacional de prácticas relacionadas con la protección de la información personal identificable en los servicios de nubes públicas. Google ha obtenido la certificación de cumplimiento ISO/IEC 27018 para Google Workspace y Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.
ISO/IEC 27701 (gestión de información de privacidad)
ISO/IEC 27701 es un estándar de privacidad internacional que se centra en la recogida y el tratamiento de información personal identificable. Amplía los requisitos de las normas ISO/IEC 27001 e ISO/IEC 27002 para incluir la privacidad de datos. Google ha obtenido la certificación ISO/IEC 27701, que lo acredita como encargado del tratamiento de información personal identificable, tanto para Google Workspace como para Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.
SSAE18/ISAE 3402 (SOC 2/3)
Los sistemas de auditoría SOC 2 (Service Organization Controls) y SOC 3 del colegio estadounidense de contables públicos certificados (AICPA) establecen los principios de confianza y los criterios en materia de seguridad, disponibilidad, integridad del tratamiento y confidencialidad. Google cuenta con los informes SOC 2 y SOC 3 para Google Workspace y Google Cloud. Puedes consultar estas certificaciones en el Administrador de informes de cumplimiento.
El Artículo 28 del RGPD estipula los requisitos del encargado del tratamiento de datos al tratar dichos datos en nombre del responsable del tratamiento de datos. A continuación detallamos cómo nuestras condiciones reflejan estos requisitos.
Google Cloud: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Definiciones | Sección 2.1
Seguridad de los datos | Sección 7.1.2
Seguridad de los datos | Sección 7.3.1 (b)
Transferencias de datos | Sección 10.1
Subencargados del tratamiento | Sección 11
Beneficiarios terceros | Sección 14
Google Cloud: Cláusulas contractuales tipo de la UE (SCC)
Cláusulas contractuales tipo (entre el responsable del tratamiento de datos y el encargado del tratamiento de la UE) | Anexo II, Anexo III
Cláusulas contractuales tipo (entre el encargado del tratamiento y el responsable del tratamiento de datos de la UE) | No disponible
Cláusulas contractuales tipo (entre encargados del tratamiento de la UE) | Anexo II, Anexo III
Cláusulas contractuales tipo (entre encargados del tratamiento de la UE, Google Exporter) | Anexo II, Anexo III
Cláusulas contractuales tipo (entre el responsable del tratamiento de datos y el encargado del tratamiento del Reino Unido) | Cláusula 1, Cláusula 3.3, Cláusula 4 (g) e (i), Cláusula 5 (i) y (j), Cláusula 6, Cláusula 8, Cláusula 11, Cláusula 12, Apéndice 1, Apéndice 2.5.
Contenido relacionado: Subencargados del tratamiento de Google Cloud
Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Definiciones | Sección 2.1
Seguridad de los datos | Sección 7.1.2
Seguridad de los datos | Sección 7.3.1 (b)
Transferencias de datos | Sección 10.1
Subencargados del tratamiento | Sección 11
Beneficiarios terceros | Sección 14
Medidas de seguridad | Apéndice 2.1–2.5
Google Workspace - Cláusulas contractuales tipo de la UE (SCC)
Cláusulas contractuales tipo (entre el responsable del tratamiento de datos y el encargado del tratamiento de la UE) | Anexo II, Anexo III
Cláusulas contractuales tipo (entre el encargado del tratamiento y el responsable del tratamiento de datos de la UE) | No disponible
Cláusulas contractuales tipo (entre encargados del tratamiento de la UE) | Anexo II, Anexo III
Cláusulas contractuales tipo (entre encargados del tratamiento de la UE, Google Exporter) | Anexo II, Anexo III
Cláusulas contractuales tipo (entre el responsable del tratamiento de datos y el encargado del tratamiento del Reino Unido) | Cláusula 1, Cláusula 3.3, Cláusula 4 (g) e (i), Cláusula 5 (i) y (j), Cláusula 6, Cláusula 8, Cláusula 11, Cláusula 12, Apéndice 1, Apéndice 2.5.
Contenido relacionado: Contrato de subencargados del tratamiento de Google Workspace
Google Cloud: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Documento Términos de Seguridad y Tratamiento de Datos al completo
Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Google Cloud: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Tratamiento de datos | Sección 5.2
Google Cloud: Cláusulas contractuales tipo de la UE (SCC)
Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Sección 5.2 | Tratamiento de datos
Google Workspace - Cláusulas contractuales tipo de la UE (SCC)
Cláusula 5 (a) y (b) | Obligaciones del importador de datos
Google Cloud - Términos del Servicio de Google Cloud
Información confidencial | Sección 7
Google Cloud: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Seguridad de los datos | Sección 7.1.2
Seguridad de los datos | Sección 7.5.3
Seguridad del personal | Apéndice 2.4
Google Cloud: Cláusulas contractuales tipo de la UE (SCC)
Obligaciones del importador de datos | Cláusula 5
Google Workspace: Contrato de Google Workspace
Información confidencial | Sección 6
Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Seguridad de los datos | Sección 7.1.2
Seguridad de los datos | Sección 7.5.3
Seguridad del personal | Apéndice 2.4
Google Workspace - Cláusulas contractuales tipo de la UE (SCC)
Google Cloud: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Seguridad de los datos | Sección 7
Medidas de seguridad | Apéndice 2
Google Cloud: Cláusulas Contractuales tipo de la UE (SCC)
Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Seguridad de los datos | Sección 7
Medidas de seguridad | Apéndice 2
Google Workspace - Cláusulas contractuales tipo de la UE (SCC)
Contenido relacionado: Informe sobre seguridad y cumplimiento de Google Cloud
Google Cloud: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Eliminación de datos |Sección 6
Derechos de los interesados y exportación de datos | Sección 9.1
Google Cloud: Cláusulas contractuales tipo de la UE (SCC)
Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Eliminación de datos | Sección 6
Derechos de los interesados y exportación de datos | Sección 9.1
Google Workspace - Cláusulas contractuales tipo de la UE (SCC)
Google Cloud: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Seguridad de los datos | Sección 7.4
Contenido relacionado: Cumplimiento de Google Cloud
Google Workspace: Adenda sobre Tratamiento de Datos de Cloud (CDPA)
Seguridad de los datos | Sección 7.4
Contenido relacionado: Cumplimiento de Google Cloud
Consulta nuestros informes para clientes de Google Cloud que estén sujetos al RGPD
Respuestas a preguntas frecuentes sobre Google Cloud y el RGPD
No. Al igual que ocurría con la Directiva 95/46/CE sobre protección de datos, el RGPD estipula ciertas condiciones para la transferencia de datos personales a países que no pertenecen a la UE. Dichas condiciones se pueden cumplir mediante ciertos mecanismos, como las cláusulas contractuales tipo.
En Google Cloud, llevamos muchos años aplicando unos términos sobre el tratamiento de datos que manifiestan claramente nuestro compromiso con la privacidad y la seguridad de los clientes, y hemos modificado dichos términos de modo que reflejen las estipulaciones del RGPD. Los términos actualizados se centran en lo dispuesto en el artículo 28, que rige las funciones del encargado del tratamiento de datos por cuenta de un responsable del tratamiento de datos.
El RGPD establece que los responsables deben tener derechos de auditoría en sus contratos con los encargados del tratamiento de datos. Los contratos de tratamiento de datos actualizados incluyen derechos de auditoría en beneficio de los clientes sujetos al RGPD.
Los clientes pueden utilizar las certificaciones ISO/IEC y los informes de auditoría SOC 2/3, que hemos obtenido de entidades externas, para llevar a cabo sus evaluaciones de riesgos y determinar las medidas técnicas y organizativas que deben llevarse a cabo. Nuestra certificación ISO/IEC 27701 ofrece información clara sobre los roles y las responsabilidades que tienen que ver con la privacidad, lo que puede ser de utilidad para cumplir normativas de privacidad, como el RGPD.
El RGPD contempla varios mecanismos para facilitar la transferencia de datos personales fuera de la UE. Estos mecanismos tienen como objetivo confirmar que el nivel de protección es adecuado o garantizar que se aplican las medidas de seguridad apropiadas al transferir datos personales a países que no pertenecen a la UE.
Las decisiones de adecuación, como las que abarcan la Ley de Protección de la Información Personal (LPIP) de Japón y la Ley de Protección de Datos de Suiza, pueden confirmar si el nivel de protección es adecuado.
En los casos en los que se transfieran datos personales a países fuera de la UE en los que no se adoptan decisiones de adecuación, seguiremos lo estipulado en nuestros contratos de tratamiento de datos para ofrecer un mecanismo que facilite dichas transferencias conforme a lo dispuesto en el RGPD. En el 2017, las autoridades europeas de protección de datos confirmaron el cumplimiento de nuestras cláusulas contractuales tipo. Esto significa que los compromisos contractuales de Google Workspace y de Google Cloud cumplen los requisitos legales exigidos para transferir datos personales de la UE a países que no pertenecen a ella y que no cuentan con medidas de protección adecuadas.
Google continuará valorando la repercusión del fallo del Tribunal de Justicia de la Unión Europea en el caso C-311/18. Mientras tanto, seguirá tomando las medidas necesarias para ofrecer una protección de la privacidad de alta eficacia a los ciudadanos de la UE.
Google Cloud ofrece Cláusulas Contractuales Tipo a nuestros clientes, que, de forma automática, las aplicarán si no tienen ninguna solución de transferencia alternativa a disposición de Google. Independientemente de la ubicación de los datos, su protección sigue siendo una de las prioridades de Google. Para obtener más información, consulta el informe "Protecciones de transferencias de datos internacionales con Google Cloud".
Contamos con certificaciones que acreditan el cumplimiento de estándares internacionales reconocidos, como las normas ISO/IEC 27001, ISO/IEC 27018 e ISO/IEC 27017. Puedes encontrar la lista completa de soluciones de cumplimiento de Google en el Centro de recursos para el cumplimiento.
Consulta el Centro de recursos de privacidad de Google Cloud y el sitio web sobre negocios y datos de Google.
Consulta nuestras soluciones de cumplimiento de la normativa europea y el Centro de recursos de privacidad de Cloud.
Renuncia de responsabilidad: El contenido incluido en este documento está actualizado a agosto del 2021 y representa la situación en el momento en que se redactó. Las políticas y los sistemas de seguridad de Google pueden cambiar en el futuro, ya que mejoramos día tras día la protección que proporcionamos a nuestros clientes. Cuando se menciona Google Workspace, nos referimos también a Google Workspace for Education. Vamos a ofrecer Google Workspace a nuestros clientes de centros educativos y organizaciones sin ánimo de lucro en los próximos meses.
Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.