Google Cloud y el Reglamento General de Protección de Datos (GDPR)

Para Google Cloud y nuestros clientes, el cumplimiento con el GDPR es una prioridad principal. El objetivo del GDPR es reforzar la protección de los datos personales en Europa y afecta la forma en que todos hacemos negocios. Sabemos que tienes muchas preguntas y estamos aquí para ayudarte. El enfoque de Google Cloud en cuanto a protección, control y cumplimiento se centra en el cliente y queremos ser un facilitador clave en tu recorrido por el GDPR.

INFORME SOBRE GOOGLE CLOUD Y EL GDPR GUÍA DE REFERENCIA RÁPIDA DE GOOGLE CLOUD Y EL GDPR GUÍA DE IMPLEMENTACIÓN DE LA PROTECCIÓN DE DATOS EN G SUITE

Visita nuestro Centro de recursos del GDPR 

¿Qué es el GDPR?

El GDPR entró en vigencia el 25 de mayo de 2018 y reemplazó a la Directiva de Protección de Datos de la UE de 1995.

En el GDPR se establecen requisitos específicos para las organizaciones y empresas consolidadas en Europa, o que prestan servicios a usuarios en Europa. El reglamento se caracteriza por los siguientes aspectos:

  • Regula la forma en que las empresas pueden recopilar, usar y almacenar los datos personales.
  • Se basa en los requisitos actuales de documentación y generación de informes para aumentar la responsabilidad.
  • Autoriza que se multe a las empresas que no cumplan con los requisitos.

Lo que estamos haciendo

En Google Cloud, abogamos por las iniciativas que priorizan y mejoran la seguridad y privacidad de los datos de los usuarios. Ahora que el GDPR entró en vigencia, implementamos una variedad de actualizaciones que garantizan que nuestros clientes puedan usar nuestros servicios con confianza. Si te asocias con Google Cloud, respaldaremos tus esfuerzos de las siguientes maneras:

  1. Nos comprometeremos contractualmente a cumplir con el GDPR en relación con la forma en que procesamos los datos personales de los clientes en todos los servicios de Google Cloud Platform y G Suite.
  2. Ofreceremos características de seguridad adicionales que pueden ayudarte a proteger de mejor manera los datos personales más sensibles.
  3. Te entregaremos la documentación y los recursos necesarios para ayudarte con tu declaración de privacidad de nuestros servicios.
  4. Continuaremos adaptando nuestras capacidades a medida que cambia el panorama regulatorio.

Los compromisos de G Suite y Google Cloud Platform con el GDPR

Entre otras obligaciones, los controladores de datos solo pueden usar procesadores de datos que proporcionen las garantías suficientes a fin de implementar las medidas técnicas y organizativas adecuadas de tal forma que el procesamiento cumpla con los requisitos del GDPR. Cuando evalúes los servicios de G Suite y Google Cloud Platform, considera los siguientes aspectos:

Conocimiento experto, confiabilidad y recursos
Compromisos con la protección de los datos
Uso de subprocesadores
Seguridad de los servicios
Recuperación y eliminación de datos
Asistencia para el controlador
Transferencias de datos entre países
Estándares y certificaciones
Conocimiento experto, confiabilidad y recursos

Conocimiento experto para la protección de los datos

Google trabaja con profesionales especializados en seguridad y privacidad, como algunos de los principales expertos mundiales en seguridad de la información, de aplicaciones y de redes. La labor de este equipo de expertos consiste en mantener los sistemas de defensa de la empresa, desarrollar procesos de revisión de seguridad, crear una infraestructura de seguridad más sólida y también implementar de manera precisa las políticas de seguridad de Google.

Google también trabaja con un extenso equipo de abogados, expertos en cumplimiento de normativas y especialistas en políticas públicas que se encargan del cumplimiento de la privacidad y seguridad de Google Cloud.

Estos equipos trabajan con clientes, partes interesadas de la industria y autoridades supervisoras para garantizar que nuestros servicios de G Suite y Google Cloud Platform ayuden a los clientes a satisfacer sus necesidades de cumplimiento.

Compromisos con la protección de los datos

Acuerdos de procesamiento de datos

Nuestros acuerdos de procesamiento de datos para G Suite y Google Cloud Platform expresan claramente nuestros compromisos de privacidad con los clientes. Estas condiciones fueron evolucionando con los años según los comentarios de nuestros clientes y reguladores.

Recientemente, actualizamos estas condiciones específicamente con el fin de incorporar el GDPR y las pusimos a disposición de los clientes para que las evalúen y se preparen para el uso de los servicios de Google Cloud antes de la implementación del GDPR.

Nuestros clientes pueden suscribir a las condiciones actualizadas del procesamiento de datos mediante el proceso de aceptación que se describe aquí para la Enmienda de Procesamiento de Datos de G Suite y aquí para las Condiciones de seguridad y procesamiento de los datos de GCP.

Procesamiento de acuerdo con las instrucciones

Todos los datos que un cliente y sus usuarios ingresen en nuestros sistemas solo se procesarán de acuerdo con las instrucciones del cliente, como se describe en nuestros acuerdos de procesamiento de datos actualizados para el GDPR.

Compromisos de confidencialidad personal

Todos los empleados de Google deben firmar un acuerdo de confidencialidad y realizar capacitaciones obligatorias sobre confidencialidad y privacidad, además de una capacitación sobre el código de conducta. El código de conducta de Google aborda específicamente las responsabilidades y el comportamiento esperado con respecto a la protección de la información.

Uso de subprocesadores

El grupo de empresas de Google lleva a cabo de forma directa la mayoría de las actividades de procesamiento de datos necesarias para proporcionar los servicios de G Suite y Google Cloud Platform. Sin embargo, contamos con algunos proveedores externos que brindan asistencia para respaldar estos servicios. Cada proveedor debe pasar un riguroso proceso de selección con el fin de garantizar que cuente con los conocimientos técnicos necesarios y pueda proporcionar los niveles de seguridad y privacidad adecuados.

Ponemos a disposición la información relacionada con los subprocesadores del grupo de Google que respaldan los servicios de G Suite y Google Cloud Platform, así como con los subprocesadores de terceros involucrados en esos servicios. También proporcionamos los compromisos relacionados con los subprocesadores en nuestros acuerdos de procesamiento de datos.

Seguridad de los servicios

De acuerdo con el GDPR, se deben implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado ante el riesgo.

Google opera con una infraestructura de escala global diseñada para proporcionar seguridad de vanguardia en todo el ciclo de vida del procesamiento de la información. Esta infraestructura se compiló para lograr la implementación segura de los servicios, el almacenamiento seguro de datos con protecciones de privacidad de usuarios finales, las comunicaciones seguras entre los servicios, la comunicación privada y segura con los clientes en Internet y la operación segura realizada por los administradores. G Suite y Google Cloud Platform se ejecutan en esta infraestructura.

Diseñamos la seguridad de nuestra infraestructura con capas que se complementan entre sí, desde la seguridad física de los centros de datos y las protecciones de seguridad de nuestro hardware y software, hasta los procesos que usamos para respaldar la seguridad operativa. Esta protección por capas crea una base sólida de seguridad para todas nuestras actividades. Para leer un análisis detallado de la seguridad de nuestra infraestructura, consulta el informe Descripción general del diseño de seguridad de la infraestructura de Google.

Disponibilidad, integridad y resistencia

Google diseña los componentes de la plataforma para que sean altamente redundantes. Los centros de datos de Google están distribuidos geográficamente para minimizar los efectos de las interrupciones regionales en los productos globales, como en el caso de desastres naturales y suspensiones de servicio locales. Si se produce una falla en el hardware, el software o la red, los servicios se cambian de inmediato y automáticamente de una instalación a otra para que las operaciones puedan continuar sin interrupciones. Nuestra infraestructura altamente redundante ayuda a los clientes a protegerse de la pérdida de datos.

Pruebas

Google realiza pruebas de recuperación ante desastres de forma anual a fin de proporcionar un lugar coordinado para que los equipos de infraestructura y aplicaciones prueben los planes de comunicación, las situaciones de conmutación por error, la transición operativa y otras respuestas a emergencias. Todos los equipos que participan del ejercicio de recuperación ante desastres desarrollan planes de pruebas y acciones posteriores que documentan los resultados y los aprendizajes que se obtuvieron con las pruebas.

Encriptación

Google usa la encriptación para proteger datos en tránsito y en reposo. Los datos en tránsito a G Suite se protegen con HTTPS, que está activado para todos los usuarios en la configuración predeterminada. Los servicios de G Suite y Google Cloud Platform encriptan el contenido de los clientes almacenado en reposo mediante uno o más mecanismos de encriptación sin que los clientes deban realizar ninguna acción. Puedes encontrar una evaluación detallada de la manera en la que encriptamos los datos en nuestro Informe de encriptación.

Controles de acceso

A los empleados de Google se les otorgan derechos y niveles de acceso según su puesto y su función de trabajo, y se les asignan los privilegios mínimos y la información básica necesarios para sus responsabilidades. Las solicitudes de acceso adicional siguen un proceso formal que requiere una solicitud y la aprobación del propietario de los datos o del sistema, del administrador o de otros ejecutivos, ya que así lo dictaminan las políticas de seguridad de Google.

Administración de vulnerabilidades

Analizamos las vulnerabilidades del software con una combinación de herramientas internas para propósitos específicos que están comercialmente disponibles, pruebas intensivas de penetración manuales y automatizadas, procesos de garantía de la calidad, revisiones de la seguridad del software y auditorías externas. También nos apoyamos en la comunidad de investigadores de la seguridad en general y valoramos enormemente su ayuda en la identificación de vulnerabilidades en G Suite, Google Cloud Platform y otros productos de Google. Nuestro Programa de recompensas por detección de vulnerabilidades incentiva a los investigadores a informar problemas en el diseño y la implementación que podrían poner en riesgo los datos de los clientes.

Seguridad de los productos: G Suite

Los clientes de G Suite pueden usar las funciones y la configuración de los productos para proteger mejor sus datos personales del procesamiento no autorizado o ilegal:

  • La verificación en dos pasos reduce el riesgo de acceso no autorizado, ya que les solicita a los usuarios una prueba de identidad adicional cuando intentan acceder con sus cuentas. La llave de seguridad obligatoria ofrece una capa de seguridad para las cuentas de usuario, ya que requiere el uso de una llave física.
  • La supervisión de accesos sospechosos detecta los accesos sospechosos con sólidas funciones de aprendizaje automático.
  • La seguridad mejorada del correo electrónico exige que los mensajes de correo electrónico se firmen y se encripten con Extensiones de Correo de Internet de Propósitos Múltiples/Seguro (S/MIME).
  • La función de Prevención de pérdida de datos impide que se comparta información sensible en Gmail y Drive sin autorización. Obtén más información en nuestro Informe de DLP.
  • La administración de derechos sobre la información en Drive te permite inhabilitar las opciones para descargar, imprimir y copiar los archivos desde el menú de uso compartido avanzado, y establecer fechas de vencimiento para el acceso a los archivos.
  • La administración de dispositivos móviles ofrece una supervisión continua del sistema y alertas en caso de actividad sospechosa del dispositivo.
  • El centro de seguridad brinda visibilidad sobre el uso compartido externo de archivos, el spam y el software malicioso que se orientan a los usuarios de tu organización y proporciona métricas que permiten demostrar la efectividad de su seguridad en un panel integral y centralizado.
  • Con Google Vault puedes retener, archivar, buscar y exportar el correo electrónico, el contenido de los archivos de Google Drive y los chats registrados de tu organización a fin de satisfacer tus necesidades de cumplimiento y detección electrónica.

    Los controles de acceso a las aplicaciones de terceros permiten visibilizar y controlar las aplicaciones de terceros que utilizan OAuth para la autenticación y el acceso a los datos empresariales. El acceso de OAuth se puede inhabilitar a un nivel detallado y, además, las aplicaciones de terceros que están aprobadas se pueden incluir en la lista blanca.

Para obtener más información, visita https://gsuite.google.com/security

Seguridad de los productos: GCP

Los clientes de GCP pueden usar las funciones y la configuración de los productos para proteger mejor sus datos personales del procesamiento no autorizado o ilegal:

  • La verificación en dos pasos reduce el riesgo de acceso no autorizado, ya que les solicita a los usuarios una prueba de identidad adicional cuando intentan acceder con sus cuentas. La llave de seguridad obligatoria ofrece una capa de seguridad para las cuentas de usuario, ya que requiere el uso de una llave física.
  • Google Cloud Identity and Access Management (Cloud IAM) te permite crear y administrar permisos de acceso y modificación detallados para los recursos de Google Cloud Platform.
  • La API de Data Loss Prevention ayuda a identificar y supervisar el procesamiento de las categorías especiales de datos personales para implementar los controles adecuados.
  • Stackdriver Logging y Stackdriver Monitoring integran sistemas de registro, supervisión, alertas y detección de anomalías en Google Cloud Platform.
  • Cloud Identity-Aware Proxy (Cloud IAP) controla el acceso a las aplicaciones en la nube que se ejecutan en Google Cloud Platform.
  • Cloud Security Scanner escanea y detecta vulnerabilidades comunes en aplicaciones de Google App Engine.
  • Cloud Security Command Center te permite consultar y supervisar un inventario de tus recursos de nube, analizar los sistemas de almacenamiento de datos sensibles, detectar vulnerabilidades web comunes y revisar los derechos de acceso a tus recursos esenciales desde un solo panel centralizado.

Para obtener más información, visita https://cloud.google.com/security/

Recuperación y eliminación de datos

Los administradores pueden exportar datos de clientes mediante las funciones de los servicios de G Suite o Google Cloud Platform (consulta la documentación de Google Cloud Platform para obtener más información) en cualquier momento durante el plazo del acuerdo. Incluimos compromisos de varios años para la exportación de datos en nuestras condiciones del procesamiento de datos y los actualizamos en función del GDPR. Siempre estamos trabajando para mejorar la solidez de las capacidades de exportación de datos y facilitar aún más la descarga segura de las copias de los datos de tu empresa desde los servicios de G Suite y Google Cloud Platform.

También puedes borrar los datos de clientes con la funcionalidad de los servicios de G Suite o Google Cloud Platform en cualquier momento. Cuando Google recibe una instrucción de eliminación total de tu parte (por ejemplo, cuando borraste un correo electrónico y ya no se puede recuperar de tu “papelera”), borra los datos de cliente relevantes de todos sus sistemas en un período de hasta 180 días, a menos que se apliquen obligaciones de retención.

Asistencia para el controlador

Derechos de los interesados

Los controladores de datos pueden usar las consolas de administrador y las funciones de los servicios de G Suite y Google Cloud Platform para facilitar el acceso, la rectificación, la restricción del procesamiento o la eliminación de todos los datos que ellos y los usuarios ingresaron en nuestros sistemas. Esta funcionalidad los ayudará a cumplir con sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos de conformidad con el GDPR.

Equipo de protección de datos

Google designó un oficial de protección de datos para Google LLC y sus filiales con el fin de cubrir el procesamiento de datos sujeto al GDPR, incluidos los productos empresariales de Google Ireland Limited. Keith Enright (director de privacidad legal) será el responsable de la protección de datos de Google LLC. El Sr. Enright se encuentra en San Francisco, EE.UU.

Cuando sea necesario, los productos empresariales de Google cuentan con equipos designados para abordar las consultas de los clientes sobre protección de datos. En los acuerdos pertinentes se describe cómo contactar a estos equipos. Para G Suite, los administradores del cliente se pueden contactar con el equipo de protección de los datos en la nube en https://support.google.com/a/contact/googlecloud_dpr (mientras están conectados con sus cuentas de administrador) o directamente proporcionando un aviso a Google según se describe en el Acuerdo pertinente. Para Google Cloud Platform, se puede contactar al equipo de protección de datos en https://support.google.com/cloud/contact/dpo.

Notificaciones de incidentes

G Suite y Google Cloud Platform proporcionan compromisos contractuales relacionados con la notificación de los incidentes desde hace años. Seguiremos informándote sin demora sobre los incidentes relacionados con los datos de tus clientes en conformidad con las condiciones de incidentes de datos que se estipulan en nuestros acuerdos y condiciones actualizados en función del GDPR.

Transferencias de datos entre países

El GDPR proporciona varios mecanismos para facilitar la transferencia de datos personales fuera de la UE. El objetivo de estos es confirmar que el nivel de protección sea el adecuado o garantizar que se implementen las protecciones correspondientes cuando se transfieren datos personales a un tercer país.

Las cláusulas de contrato modelo pueden proporcionar las protecciones adecuadas. Se puede confirmar el nivel adecuado de protección mediante la toma de decisiones de adecuación, como las que respalda el Escudo de la Privacidad UE-EE.UU.

Nos comprometemos contractualmente en virtud de nuestros acuerdos de procesamiento de datos actuales a mantener un mecanismo que facilite la transferencia de los datos personales fuera de la UE, como lo exige el GDPR. La certificación de Google en virtud de los marcos de trabajo del Escudo de la Privacidad UE-EE.UU. y Suiza-EE.UU. incluye las plataformas de G Suite y Google Cloud Platform. Las autoridades de protección de datos europeas también nos otorgaron la confirmación del cumplimiento para nuestras cláusulas de contrato modelo, con lo que se afirma que nuestros compromisos contractuales para G Suite y Google Cloud Platform cumplen en su totalidad con los requisitos para controlar legalmente las transferencias de datos personales de la UE al resto del mundo.

Normas y certificaciones

Nuestros clientes y reguladores esperan una verificación independiente de los controles de seguridad, privacidad y cumplimiento. G Suite y Google Cloud Platform se someten a diversas auditorías independientes de terceros de manera habitual para proporcionar esta seguridad.

ISO 27001 (Administración de la seguridad de la información)

ISO 27001 es uno de los estándares de seguridad independientes más aceptados del mundo y uno de los más reconocidos. Obtuvimos la certificación ISO 27001 para los sistemas, las aplicaciones, los empleados, la tecnología, los procesos y los centros de datos que forman parte de nuestra infraestructura común compartida, así como de los productos G Suite y Google Cloud Platform.

ISO 27017 (Seguridad en la nube)

ISO 27017 es un estándar internacional de práctica para los controles de seguridad de la información basado en ISO/IEC 27002 específicamente para los servicios en la nube. Google cuenta con una certificación del cumplimiento de ISO 27017 para G Suite y Google Cloud Platform.

ISO 27018 (Privacidad en la nube)

ISO 27018 es un estándar internacional de práctica para la protección de la información de identificación personal (PII) en servicios públicos de nube. Google cuenta con una certificación del cumplimiento de ISO 27018 para G Suite y Google Cloud Platform.

SSAE16/ISAE 3402 (SOC 2/3)

El marco de trabajo de auditoría de SOC 2 (Controles de Organización de Servicios) y SOC 3 del Instituto Estadounidense de Contadores Públicos Certificados (AICPA) define los criterios y principios de confianza para la seguridad, la disponibilidad, la integridad del procesamiento y la confidencialidad. Google tiene informes de SOC 2 y SOC 3 para Google Cloud Platform y G Suite.

Qué puedes hacer

¿Cuáles son tus responsabilidades como cliente?

Los clientes de G Suite1 y Google Cloud Platform cumplirán normalmente la función de controlador de datos para todo el contenido personal que proporcionen a Google mediante el uso de los servicios de Google Cloud. El controlador de datos determina los fines y los medios del procesamiento de datos personales. Luego está el procesador de los datos, que por lo general somos nosotros. Como procesador de datos, Google Cloud procesa datos personales en nombre del controlador cuando este usa G Suite o Google Cloud Platform.

¿Qué es un controlador de datos?

Los controladores de datos son los responsables de aplicar las medidas técnicas y organizativas adecuadas que garanticen y demuestren que todo procesamiento de datos se realiza de conformidad con el GDPR. Las obligaciones de los controladores se relacionan con principios como la legitimidad, la ecuanimidad y la transparencia, la limitación de los fines, la minimización de datos, la precisión y el cumplimiento de los derechos de los interesados con respecto a sus datos.

Puedes encontrar información relacionada con las responsabilidades estipuladas en el GDPR si consultas de manera habitual los sitios web de las autoridades de protección de datos principales o nacionales y las publicaciones de asociaciones de privacidad como la Asociación Internacional de Profesionales de la Privacidad (IAPP). También nos aseguraremos de mantener actualizados esta página del GDPR y nuestro Centro de recursos del GDPR con las últimas noticias y novedades.

El objetivo de este sitio es ayudar a nuestros clientes a comprender de mejor manera la posición de Google Cloud ante el GDPR. Este sitio no constituye un asesoramiento legal, por lo que te recomendamos que consultes con un experto legal para que te oriente en cuanto a los requisitos específicos que se aplican a tu organización.

¿Dónde deberías comenzar?

Como cliente de Google Cloud, el GDPR debe ser parte de tu estrategia para el cumplimiento de la protección de datos. Considera las siguientes sugerencias:

  • Familiarízate con las estipulaciones del GDPR.
  • Crea un inventario actualizado de los datos personales que manejas. Puedes usar algunas de nuestras herramientas para que te ayuden a identificar y clasificar los datos.
  • Revisa tus procesos, políticas y controles actuales para la protección y administración de datos en función de los requisitos del GDPR. Determina cuáles son las brechas y crea un plan para cubrirlas.
  • Evalúa cómo puedes usar las funciones existentes de protección de datos en Google Cloud como parte de tu propio marco de trabajo de cumplimiento regulatorio. Para comenzar, revisa los materiales de certificación y auditorías externas de G Suite o Google Cloud Platform.
  • Revisa y acepta nuestras condiciones actualizadas del procesamiento de datos por medio del proceso de aceptación que se describe aquí para la Enmienda de Procesamiento de Datos de G Suite y aquí para las Condiciones de seguridad y procesamiento de los datos de GCP.
1 G Suite incluye G Suite for Business
 y G Suite for Education. 2 Te recomendamos buscar asesoramiento legal independiente para determinar la autoridad de protección de datos nacional o principal correspondiente a tu caso.

Preguntas frecuentes

¿Qué es el GDPR?
El Reglamento General de Protección de Datos es una normativa de privacidad que reemplazó, el 25 de mayo de 2018, a la Directiva sobre Protección de Datos 95/46/CE del 24 de octubre de 1995.
¿El GDPR requiere almacenamiento de datos personales en la UE?
No. Al igual que la Directiva sobre Protección de Datos 95/46/CE, el GDPR establece ciertas condiciones para la transferencia de datos personales al exterior de la UE. Estas condiciones se pueden cumplir mediante mecanismos como las cláusulas de contrato modelo.
¿Cómo se actualizaron sus condiciones para reflejar el GDPR?
Hace muchos años que Google Cloud ofrece condiciones del procesamiento de datos que expresan de manera clara nuestro compromiso de seguridad y privacidad con los clientes. Si bien el GDPR aplica directamente a los proveedores de servicios de nube sin importar sus compromisos contractuales en este asunto, hemos actualizado nuestras condiciones en función del GDPR. Nuestras condiciones actualizadas según el GDPR reflejan en particular las estipulaciones del artículo 28 del GDPR que rigen el uso de un procesador de datos por parte de un cliente de la nube.
¿El GDPR les dará a los clientes el derecho de auditar Google Cloud?
De acuerdo con el GDPR, se deben garantizar los derechos de auditoría a los controladores de datos en sus contratos con los procesadores de datos. Nuestros acuerdos actualizados de procesamiento de datos incluyen derechos de auditoría que benefician a los clientes.
¿Qué función cumplen los informes ISO 27001, ISO 27017, ISO 27018 y SOC 2/3 de terceros en el cumplimiento del GDPR?
Los clientes pueden usar nuestros informes de auditoría SOC 2/3 y nuestras certificaciones ISO de terceros para realizar las evaluaciones de riesgos y determinar si están implementadas las medidas técnicas y organizativas adecuadas.
¿Qué información y recursos adicionales proporcionó Google sobre el GDPR?
Consulta el sitio web de empresas y datos de Google y nuestro Centro de recursos del GDPR.