O Google Cloud e o Regulamento Geral de Proteção de Dados (GDPR)

A conformidade com o GDPR é prioridade absoluta para o Google Cloud e seus clientes. O GDPR visa fortalecer a proteção de dados pessoais na Europa e impacta a forma como todos nós fazemos negócios. Temos certeza de que você tem muitas perguntas e estamos aqui para ajudar. O Google Cloud adota uma abordagem voltada ao cliente no que diz respeito à proteção, ao controle e à conformidade. Queremos facilitar sua jornada para o GDPR.

WHITEPAPER SOBRE O GOOGLE CLOUD E O GDPR GUIA DE REFERÊNCIA RÁPIDA PARA O GOOGLE CLOUD GDPR GUIA DE IMPLEMENTAÇÃO DA PROTEÇÃO DE DADOS DO G SUITE

Visite nossa central de recursos do GDPR 

O que é o GDPR?

O GDPR, que entrou em vigor em 25 de maio de 2018, substituiu a Diretiva de proteção de dados da UE de 1995.

O GDPR determina requisitos específicos para empresas e organizações estabelecidas na Europa ou que atendem usuários na Europa. Ele:

  • regula como as empresas podem coletar, usar e armazenar dados pessoais;
  • baseia-se nos requisitos atuais de documentação e relatório para aumentar a responsabilidade;
  • autoriza multas a empresas que não cumprirem seus requisitos.

O que estamos fazendo

No Google Cloud, lideramos iniciativas que priorizam e aumentam a segurança e a privacidade dos dados do usuário. Fizemos várias atualizações para garantir que os clientes do Google Cloud possam usar nossos serviços com confiança agora que o GDPR está em vigor. Seja parceiro do Google Cloud e apoiaremos seus esforços das seguintes formas:

  1. Comprometendo-nos, em nossos contratos, a cumprir o GDPR em relação ao processamento dos dados pessoais do cliente em todos os serviços do Google Cloud Platform e do G Suite.
  2. Oferecendo mais recursos de segurança que podem ajudar você a melhorar a proteção dos dados pessoais mais confidenciais.
  3. Fornecendo a você a documentação e os recursos para ajudá-lo em sua avaliação de privacidade de nossos serviços.
  4. Continuando a desenvolver nossas capacidades à medida que o panorama regulatório muda.

Compromissos do G Suite e do Google Cloud Platform em relação ao GDPR

Além de obedecerem a outras exigências, os controladores de dados precisam usar somente processadores que forneçam garantias suficientes para a implementação das medidas técnicas e organizacionais adequadas, de forma que o processamento atenda aos requisitos do GDPR. Ao avaliar os serviços do G Suite e do Google Cloud Platform, pense nos seguintes aspectos:

Conhecimentos avançados, confiabilidade e recursos
Compromissos com a proteção de dados
Uso de subprocessadores
Segurança dos serviços
Retorno e exclusão de dados
Assistência ao controlador
Transferências de dados internacionais
Padrões e certificações
Conhecimentos avançados, confiabilidade e recursos

Experiência em proteção de dados

O Google emprega profissionais de segurança e privacidade, incluindo alguns dos especialistas mais proeminentes do mundo em segurança de informações, aplicativos e rede. Essa equipe de especialistas está encarregada de realizar manutenção nos sistemas de defesa da empresa, desenvolver processos de revisão de segurança, criar infraestruturas mais resistentes e implementar as políticas de segurança do Google.

O Google também emprega uma extensa equipe de juristas, especialistas em conformidade com regulamentos e especialistas em políticas públicas, que cuidam da conformidade com a privacidade e a segurança do Google Cloud.

Essas equipes trabalham com clientes, partes interessadas do setor e autoridades supervisoras para garantir que os serviços do G Suite e do Google Cloud Platform ajudem os clientes a atender às necessidades de conformidade deles.

Compromissos com a proteção de dados

Contratos de processamento de dados

Nos nossos contratos de processamento de dados do G Suite e Google Cloud Platform, expressamos claramente nosso compromisso com a privacidade dos clientes. Aprimoramos esses termos ao longo dos anos com base no feedback de nossos clientes e reguladores.

Mais recentemente, atualizamos esses termos especificamente para refletir o GDPR e os disponibilizamos com bastante antecedência para facilitar a avaliação da conformidade de nossos clientes e a adequação ao GDPR ao usar os serviços do Google Cloud.

Nossos clientes podem aceitar esses termos de processamento de dados atualizados por meio do processo de adesão descrito para a Emenda sobre processamento de dados do G Suite e para os Termos de processamento de dados e segurança do GCP.

Processamento de acordo com instruções

Os dados que um cliente e respectivos usuários colocam em nossos sistemas são processados exclusivamente de acordo com as instruções do cliente, conforme descrito em nossos contratos de processamento de dados, atualizados pelo GDPR.

Compromissos de confidencialidade de pessoal

Todos os funcionários do Google são obrigados a assinar um contrato de confidencialidade e a concluir treinamentos obrigatórios de confidencialidade e privacidade, bem como nosso treinamento no código de conduta. O código de conduta do Google trata especificamente das responsabilidades e do comportamento esperado em relação à proteção das informações.

Uso de subprocessadores

As empresas do grupo Google realizam diretamente a maior parte das atividades de processamento de dados necessárias para fornecer os serviços do G Suite e do Google Cloud Platform. No entanto, usamos alguns fornecedores terceirizados para ajudar no suporte a esses serviços. Cada fornecedor passa por um rigoroso processo de seleção para garantir que tenha o conhecimento técnico necessário e possa fornecer o nível adequado de segurança e privacidade.

Disponibilizamos informações sobre os subprocessadores do grupo do Google que aceitam serviços do G Suite (em inglês) e do Google Cloud Platform, bem como os subprocessadores de terceiros envolvidos nesses serviços. Incluímos compromissos relacionados aos subprocessadores nos nossos contratos de processamento de dados.

Segurança dos serviços

De acordo com o GDPR, medidas técnicas e organizacionais adequadas precisam ser implementadas para garantir o nível de segurança apropriado ao risco.

O Google opera uma infraestrutura global desenvolvida para fornecer segurança de última geração em todo o ciclo de vida do processamento de informações. Essa infraestrutura foi planejada para proporcionar segurança nas implantações de serviços, no armazenamento de dados com proteção da privacidade do usuário final, nas comunicações entre serviços, na comunicação particular com clientes na Internet e nas operações feitas por administradores. O G Suite e o Google Cloud Platform são executados nessa infraestrutura.

Projetamos a segurança da nossa infraestrutura em camadas sobrepostas, incluindo segurança física de data centers, proteções de segurança para hardware e software e processos para acomodar a segurança operacional. Essa proteção em camadas cria uma base sólida de segurança para tudo o que fazemos. Há uma discussão detalhada sobre a segurança da nossa infraestrutura no whitepaper Visão geral do design de segurança da infraestrutura do Google.

Disponibilidade, integridade e resiliência

O Google projeta os componentes da nossa plataforma para serem altamente redundantes. Os data centers do Google são distribuídos geograficamente para minimizar os efeitos de interrupções regionais, como desastres naturais e falhas locais, sobre produtos globais. Em caso de falha de hardware, software ou rede, os serviços são deslocados de uma instalação para outra de maneira imediata e automática. Dessa forma, as operações podem continuar sem interrupções. Nossa infraestrutura altamente redundante ajuda os clientes a se protegerem contra a perda de dados.

Testes

O Google realiza testes de recuperação de desastres anualmente visando proporcionar um espaço coordenado para as equipes de infraestrutura e aplicativos testarem planos de comunicação, cenários de failover, transição operacional e outras respostas de emergência. Todas as equipes que participam do exercício de recuperação de desastres desenvolvem planos de teste e post mortems que documentam os resultados e as lições aprendidas com os testes.

Criptografia

O Google usa criptografia para proteger os dados em trânsito e em repouso. Os dados em trânsito para o G Suite são protegidos por HTTPS, que é ativado por padrão para todos os usuários. Os serviços do G Suite e do Google Cloud Platform criptografam o conteúdo do cliente armazenado em repouso usando um ou mais mecanismos de criptografia, sem exigir qualquer ação do usuário. Há uma discussão detalhada sobre como criptografamos os dados no whitepaper Criptografia.

Controles de acesso

Para funcionários do Google, os direitos de acesso e os níveis baseiam-se nos respectivos cargos. Aplicamos os conceitos de privilégio mínimo e necessidade de saber para corresponder os privilégios às responsabilidades definidas. As solicitações de acesso adicional seguem um processo formal que envolve solicitação e aprovação de um proprietário, gerente ou outros executivos de sistema ou de dados, conforme estabelecido pelas políticas de segurança do Google.

Gerenciamento de vulnerabilidades

Analisamos vulnerabilidades de software usando uma combinação de ferramentas internas comercialmente disponíveis e criadas internamente para fins específicos, testes intensivos automatizados e manuais de penetração, processos de garantia de qualidade, revisões de segurança de software e auditorias externas. Também recorremos à comunidade de pesquisa de segurança em geral e valorizamos a ajuda dela na identificação de vulnerabilidades no G Suite, no Google Cloud Platform e em outros produtos do Google. Nosso Programa de Premiação por Vulnerabilidades incentiva pesquisadores a relatar problemas de design e implementação que possam colocar em risco os dados do cliente.

Segurança do produto: G Suite

Os clientes do G Suite podem aproveitar os recursos e as configurações do produto para proteger ainda mais os dados pessoais contra o processamento não autorizado ou ilegal:

  • A verificação em duas etapas reduz o risco de acesso não autorizado porque exige que os usuários forneçam uma comprovação de identidade extra ao fazer login. A aplicação de chaves de segurança oferece outra camada de segurança a contas de usuário ao exigir uma chave física.
  • O monitoramento de login suspeito detecta logins suspeitos ao usar recursos avançados de machine learning.
  • A segurança avançada de e-mail exige que as mensagens de e-mail sejam assinadas e criptografadas com o Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • A prevenção contra perda de dados protege informações confidenciais dentro do Gmail e do Drive contra o compartilhamento não autorizado. Saiba mais no nosso whitepaper DLP.
  • O gerenciamento de direitos de informação no Drive permite desativar o download, a impressão e a cópia de arquivos a partir do menu de compartilhamento avançado, bem como definir datas de expiração para o acesso aos arquivos.
  • O gerenciamento de dispositivos móveis oferece monitoramento contínuo do sistema e envia alertas em caso de atividade suspeita no dispositivo.
  • A Central de segurança proporciona visibilidade com o compartilhamento externo de arquivos, verifica se os usuários da organização estão recebendo spam e malware, além de oferecer métricas que demonstram a eficiência da segurança, tudo em um único painel abrangente.
  • O Google Vault permite que você retenha, arquive, pesquise e exporte os e-mails, o conteúdo dos arquivos do Google Drive e os bate-papos gravados da organização de acordo com as necessidades de e-discovery e conformidade.

    Os controles de acesso de aplicativos de terceiros dão visibilidade e controle a aplicativos de terceiros usando o OAuth para autenticação e acesso a dados corporativos. É possível desativar o acesso OAuth no nível granular e permitir aplicativos de terceiros selecionados.

Para saber mais, acesse https://gsuite.google.com/security/.

Segurança do produto: GCP

Os clientes do GCP podem aproveitar os recursos e as configurações do produto para proteger ainda mais os dados pessoais contra o processamento não autorizado ou ilegal:

  • A verificação em duas etapas reduz o risco de acesso não autorizado porque exige que os usuários forneçam uma comprovação de identidade extra ao fazer login. A aplicação de chaves de segurança oferece outra camada de segurança a contas de usuário ao exigir uma chave física.
  • O Google Cloud Identity and Access Management (Cloud IAM) permite criar e gerenciar permissões refinadas de acesso e modificação aos recursos do Google Cloud Platform.
  • A API Data Loss Prevention ajuda a identificar e monitorar o processamento de categorias especiais de dados pessoais visando implementar controles adequados.
  • O Stackdriver Logging e Monitoring integram sistemas de geração de registros, monitoramento, envio de alertas e detecção de anomalias ao Google Cloud Platform.
  • O Cloud Identity-Aware Proxy (Cloud IAP) controla o acesso aos aplicativos de nuvem em execução no Google Cloud Platform.
  • O Cloud Security Scanner verifica e detecta vulnerabilidades comuns nos aplicativos do Google App Engine.
  • O Cloud Security Command Center permite ver e monitorar um inventário dos ativos na nuvem, verificar os sistemas de armazenamento quanto a dados confidenciais, detectar vulnerabilidades comuns na Web e analisar os direitos de acesso aos seus recursos essenciais, tudo em um único painel centralizado.

Para saber mais, acesse https://cloud.google.com/security/.

Retorno e exclusão de dados

Os administradores podem exportar os dados do cliente por meio da funcionalidade dos serviços G Suite ou Google Cloud Platform a qualquer momento durante o período de vigência do contrato. Para mais informações, consulte a documentação do Google Cloud Platform. Incluímos compromissos de exportação de dados em nossos termos de processamento de dados por vários anos e os atualizamos para refletir o GDPR. Continuamos trabalhando para aumentar a resistência dos recursos de exportação de dados e facilitar ainda mais o download de uma cópia dos dados da sua empresa de forma segura com os serviços do G Suite e do Google Cloud Platform.

Também é possível excluir dados de clientes por meio da funcionalidade dos serviços do G Suite ou do Google Cloud Platform a qualquer momento. Quando o Google receber uma instrução para a exclusão total (por exemplo, quando não é mais possível recuperar da "lixeira" um e-mail que você havia excluído), ele excluirá os dados relevantes de clientes de todos os sistemas no período máximo de 180 dias, a menos que haja obrigações de retenção aplicáveis.

Assistência ao controlador

Direitos do titular dos dados

Os controladores de dados podem usar os consoles de administração e a funcionalidade dos serviços do G Suite e do Google Cloud Platform para ajudar a acessar, corrigir e restringir o processamento de ou excluir quaisquer dados inseridos em nossos sistemas pelos próprios controladores e pelos usuários deles. Essa funcionalidade os ajudará a cumprir suas obrigações de responder às solicitações dos titulares dos dados para exercer direitos no âmbito do GDPR.

Equipe de proteção de dados

O Google designou um diretor de proteção de dados (DPO, na sigla em inglês) para a Google LLC e suas subsidiárias para cuidar do processamento de dados sujeitos ao GDPR, incluindo os produtos corporativos da Google Ireland Limited. Keith Enright (diretor na área de privacidade jurídica) assumirá a função de DPO da Google LLC. Ele trabalha em São Francisco, nos EUA.

Quando necessário, os produtos corporativos do Google terão equipes dedicadas para tratar das dúvidas dos clientes em relação à proteção de dados. Consulte o contrato em questão para saber como entrar em contato com essas equipes. Para o G Suite, é possível entrar em contato com a equipe de Proteção de dados na nuvem por intermédio dos Administradores do Cliente em https://support.google.com/a/contact/googlecloud_dpr (enquanto os Administradores estiverem conectados à Conta de administrador) e/ou diretamente por meio de um aviso para o Google conforme descrito no contrato. Para o Google Cloud Platform, é possível entrar em contato com a Equipe de proteção de dados em https://support.google.com/cloud/contact/dpo.

Notificações de incidentes

O G Suite e o Google Cloud Platform apresentaram compromissos contratuais relacionados à notificação de incidentes por muitos anos. Você continuará recebendo notificações imediatas sobre incidentes que envolvam seus dados de cliente, de acordo com os termos sobre incidentes de dados em nossos contratos e termos atualizados com o GDPR.

Transferências de dados internacionais

O GDPR estipula vários mecanismos para facilitar transferências de dados pessoais para fora da UE. O objetivo desses mecanismos é confirmar um nível de proteção adequado ou garantir a implementação de salvaguardas apropriadas na transferência de dados pessoais para outro país.

As salvaguardas adequadas podem ser estipuladas por cláusulas contratuais modelo. Um nível apropriado de proteção pode ser confirmado por decisões de adequação, como as que adotam os Privacy Shields para os Estados Unidos e a União Europeia.

Com os nossos contratos atuais de processamento de dados, nos comprometemos a manter um mecanismo que facilite a transferência de dados pessoais para fora da UE, conforme exigido pelo GDPR. A certificação do Google nos termos das estruturas do Privacy Shield entre a União Europeia e os Estados Unidos e a Suíça e os Estados Unidos inclui o G Suite e o Google Cloud Platform. Também recebemos a confirmação das autoridades europeias de proteção de dados com relação à conformidade das nossas cláusulas contratuais modelo. Isso comprova que nossos compromissos contratuais para o G Suite e o Google Cloud Platform atendem totalmente aos requisitos para estruturar juridicamente as transferências de dados pessoais da UE para o resto do mundo.

Padrões e certificações

Nossos clientes e regulamentadores esperam a realização de verificações independentes dos controles de proteção, privacidade e conformidade. Para oferecer essa segurança, o G Suite e o Google Cloud Platform passam regularmente por diversas auditorias independentes realizadas por terceiros.

ISO 27001 (Gestão de segurança da informação)

ISO 27001 é um dos padrões de segurança independentes mais aceitos e reconhecidos internacionalmente. O Google conquistou a certificação ISO 27001 para sistemas, aplicativos, pessoas, tecnologia, processos e data centers que compõem nossa infraestrutura comum, bem como para os produtos G Suite e Google Cloud Platform (em inglês).

ISO 27017 (Segurança na nuvem)

ISO 27017 é um padrão de prática internacional para controles de segurança das informações baseado no ISO/IEC 27002 especificamente para serviços de nuvem. O Google recebeu a certificação de conformidade com o ISO 27017 para o G Suite e o Google Cloud Platform (em inglês).

ISO 27018 (Privacidade na nuvem)

ISO 27018 é um padrão de prática internacional para a proteção das informações de identificação pessoal (PII, na sigla em inglês) em serviços de nuvem pública. O Google recebeu a certificação de conformidade com o ISO 27018 para o G Suite e o Google Cloud Platform (em inglês).

SSAE16/ISAE 3402 (SOC 2/3)

O esquema de auditoria dos controles de organização de serviço 2 (SOC 2, na sigla em inglês) e SOC 3, do Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês), define princípios de confiabilidade e critérios de segurança, disponibilidade, integridade de processamento e confidencialidade. O Google tem os relatórios SOC 2 e SOC 3 para o Google Cloud Platform e o G Suite.

O que é possível fazer

Quais são suas responsabilidades como cliente?

Os clientes do G Suite1 e do Google Cloud Platform atuarão normalmente como controladores de todos os dados pessoais fornecidos ao Google por meio do uso dos serviços do Google Cloud. O controlador de dados determina as finalidades e os métodos de processamento de dados pessoais. Depois, há o processador de dados. Essa é a nossa área, geralmente. Como um processador de dados, o Google Cloud processa dados pessoais em nome do controlador de dados que usa o G Suite ou o Google Cloud Platform.

O que é um controlador de dados?

Os controladores de dados são responsáveis por implementar medidas técnicas e organizacionais adequadas para garantir e demonstrar que todo processamento de dados é feito em conformidade com o GDPR. As obrigações dos controladores são relacionadas a princípios como legalidade, legitimidade e transparência, limitação das finalidades, minimização dos dados e precisão, bem como por cumprir os direitos dos titulares dos dados em relação aos respectivos dados.

Você poderá encontrar orientações relacionadas às suas responsabilidades no GDPR ao verificar regularmente os sites de sua autoridade de proteção de dados nacional ou principal, bem como ao analisar publicações de associações de proteção de dados, como a International Association of Privacy Professionals (IAPP). Também garantiremos que esta página do GDPR e a nossa Central de recursos do GDPR contenham sempre as notícias e atualizações mais recentes.

Este site destina-se a ajudar nossos clientes a melhor entender a posição do Google Cloud quanto ao GDPR. Recomendamos que você consulte um especialista jurídico para receber orientação sobre os requisitos específicos aplicáveis a sua organização, já que este site não representa um aconselhamento jurídico.

Por onde começar?

Como cliente do Google Cloud, o GDPR precisa fazer parte da sua estratégia de conformidade de proteção de dados. Confira estas dicas:

  • Familiarize-se com as disposições do GDPR.
  • Crie um inventário atualizado de dados pessoais processados por você. É possível usar algumas de nossas ferramentas para ajudar a identificar e classificar dados.
  • Analise seus controles, políticas e processos atuais para gerenciar e proteger dados com os requisitos do GDPR. Encontre as falhas e crie um plano para resolvê-las.
  • Pense em como é possível aproveitar os recursos atuais de proteção de dados no Google Cloud como parte do esquema de conformidade com os regulamentos. Para começar, consulte os materiais de auditoria e certificação de terceiros do G Suite ou Google Cloud Platform.
  • Analise e aceite nossos termos atualizados de processamento de dados por meio do processo de adesão para a Emenda sobre processamento de dados do G Suite e para os Termos de processamento de dados e segurança do GCP.
1 O G Suite inclui o G Suite for Business
 e o G Suite for Education. 2 Recomendamos que você procure assessoria jurídica independente para determinar qual é a autoridade principal ou nacional de proteção de dados apropriada.

Perguntas frequentes

O que é o GDPR?
O Regulamento geral de proteção de dados é uma nova legislação de privacidade que, em 25 de maio de 2018, substituiu a Diretiva 95/46/EC sobre proteção de dados, de 24 de outubro de 1995 (links em inglês).
O GDPR exige o armazenamento de dados pessoais na UE?
Não. Como a Diretiva 95/46/EC sobre proteção de dados, o GDPR estabelece determinadas condições para a transferência de dados pessoais fora da UE. Tais condições podem ser atendidas por meio de mecanismos como cláusulas contratuais modelo.
Como seus termos foram atualizados para refletir o GDPR?
Por muitos anos, o Google Cloud ofereceu termos de processamento de dados que expressam claramente nosso compromisso de privacidade e segurança com os clientes. Embora o GDPR se aplique diretamente aos provedores de serviços de nuvem, quaisquer que sejam os compromissos contratuais em questão, alteramos nossos termos para refletir o GDPR. Nossos termos atualizados com o GDPR refletem especialmente as disposições do Artigo 28 do GDPR que regem o uso de um processador de dados por um cliente na nuvem.
O GDPR concede aos clientes o direito de auditar o Google Cloud?
De acordo com o GDPR, é necessário que os contratos entre os controladores e os processadores de dados concedam direitos de auditoria aos controladores. Para o benefício dos nossos clientes, nossos contratos atualizados de processamento de dados incluem direitos de auditoria.
Qual o papel dos padrões ISO 27001, ISO 27017, ISO 27018 e dos relatórios SOC 2/3 de terceiros na conformidade com o GDPR?
Nossas certificações ISO e relatórios de auditoria SOC 2/3 de terceiros podem ajudar os clientes a conduzir avaliações de riscos e determinar que as devidas medidas técnicas e organizacionais sejam adotadas.
Quais outras informações e recursos o Google forneceu ao GDPR?
Consulte o site Empresas e dados do Google e nossa Central de recursos do GDPR.