¿Has aceptado la Adenda sobre Tratamiento de Datos de G Suite y los Términos de Seguridad y Tratamiento de Datos de Google Cloud Platform (GCP) actualizados conforme al Reglamento General de Protección de Datos (RGPD)? Si no lo has hecho, lee las instrucciones correspondientes o mira este vídeo sobre cómo aceptarlos en G Suite. Para Google Cloud Platform, consulta estas directrices.
Google Cloud y el Reglamento General de Protección de Datos
Para el equipo de Google Cloud y para nuestros clientes, cumplir el Reglamento General de Protección de Datos (RGPD) es una de las máximas prioridades. Con el RGPD se busca reforzar la protección de los datos personales en Europa. Esto afecta a la forma de hacer negocios de todas las empresas. Seguro que tienes muchas dudas, pero estamos aquí para ayudarte. En Google Cloud, la protección, el control y el cumplimiento giran en torno al cliente. Además, queremos facilitarte la aplicación del RGPD.
¿Qué es el RGPD?
El RGPD entró en vigor el 25 de mayo del 2018 en sustitución de la directiva sobre protección de datos de la UE del año 1995.
El RGPD estipula requisitos concretos que deben cumplir todas las empresas y organizaciones que tengan su sede en Europa o que presten servicios a usuarios europeos:
- Regula cómo pueden recoger, usar y almacenar datos personales las empresas.
- Amplía los requisitos de documentación y creación de informes para aumentar la responsabilidad proactiva.
- Autoriza que se impongan multas a las empresas que no cumplan dichos requisitos.
Qué estamos haciendo
En Google Cloud, impulsamos iniciativas que priorizan y mejoran tanto la seguridad como la privacidad de los datos de los usuarios. Ahora que el RGPD ya está en vigor, ofrecemos a nuestros clientes varias novedades para que utilicen nuestros servicios con plena confianza. Si colaboras con Google Cloud, respaldamos tu trabajo de la siguiente manera:
- En nuestros contratos, nos comprometemos a cumplir los requisitos del RGPD sobre el tratamiento de los datos personales de los clientes en todos los servicios de Google Cloud Platform (GCP) y de G Suite.
- Hemos añadido más funciones de seguridad para que protejas mejor los datos personales más sensibles.
- Te facilitamos la documentación y los recursos necesarios para que evalúes la privacidad que ofrecemos en nuestros servicios.
- Seguimos desarrollando nuestras prestaciones a medida que cambian las normativas.
Compromisos de G Suite y GCP con el RGPD
Los responsables del tratamiento de datos están obligados, entre otras cosas, a emplear únicamente encargados del tratamiento de datos que cuenten con las garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de acuerdo con los requisitos del RGPD. A continuación analizamos algunos aspectos que te conviene tener en cuenta cuando evalúes los servicios de G Suite y de GCP.
Conocimientos especializados en protección de datos
Google emplea a profesionales en los ámbitos de la seguridad y la privacidad, entre los que se encuentran algunos de los mayores expertos del mundo en materia de seguridad de la información, de aplicaciones y de redes. Este equipo experto se encarga de mantener los sistemas de defensa de la empresa, desarrollar los procesos de revisión de la seguridad, reforzar la infraestructura de seguridad e implementar de forma minuciosa las políticas de seguridad de Google.
Google también emplea a un nutrido equipo de abogados, expertos en cumplimiento normativo y especialistas en políticas públicas, quienes velan por que las normas de privacidad y seguridad se cumplan en Google Cloud.
Estos equipos colaboran con clientes, con los interlocutores más influyentes del sector y con autoridades de control para asegurar que nuestros servicios de G Suite y GCP permitan a los clientes satisfacer sus requisitos de cumplimiento.
Términos sobre el tratamiento de datos
Los términos sobre el tratamiento de datos de G Suite y GCP reflejan claramente nuestro compromiso con la privacidad de los clientes. A lo largo de los años, los hemos ido ajustando con base en las sugerencias de nuestros clientes y de los organismos reguladores.
Más recientemente, los hemos modificado para adecuarlos al RGPD, y hemos facilitado las actualizaciones a nuestros clientes mucho antes de su entrada en vigor a fin de que contaran con el tiempo suficiente para evaluar si cumplen con él cuando utilizan los servicios de Google Cloud.
Nuestros clientes pueden aceptar los términos actualizados del tratamiento de datos mediante el proceso descrito aquí en el caso de la Adenda sobre Tratamiento de Datos de G Suite y aquí, en el de los Términos de Seguridad y Tratamiento de Datos de GCP.
Tratamiento de datos de conformidad con las instrucciones
Toda la información que los clientes y sus usuarios introducen en nuestros sistemas se trata siempre de acuerdo con las instrucciones del interesado, tal y como se estipula en nuestros términos sobre el tratamiento de datos actualizados con arreglo al RGPD.
Compromisos de confidencialidad del personal
Todos los empleados de Google están obligados a firmar un contrato de confidencialidad y realizar un proceso de formación obligatorio sobre la confidencialidad, la privacidad y el código de conducta de Google. En el código de conducta de Google se incluyen de forma específica las responsabilidades y el comportamiento que se espera de nuestros empleados en relación con la protección de la información.
Las empresas del grupo Google llevan a cabo la mayor parte de las actividades de tratamiento de datos necesarias para poder ofrecer los servicios G Suite y GCP. No obstante, colaboramos con proveedores externos que ofrecen asistencia para estos servicios. Todos los proveedores se someten a un proceso de selección muy riguroso para demostrar que disponen de los conocimientos técnicos necesarios y que ofrecen un nivel de seguridad y privacidad óptimo.
Facilitamos información sobre los subencargados del tratamiento del grupo Google que se ocupan de los servicios de G Suite y GCP, así como sobre los subencargados externos que participan en dichos servicios. También incluimos los compromisos relacionados con los subencargados en nuestros términos sobre el tratamiento de datos.
Según el RGPD, se deben implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde con el riesgo.
En Google contamos con una infraestructura internacional diseñada para ofrecer una seguridad puntera durante todo el ciclo de tratamiento de la información. Esta infraestructura se ha desarrollado para garantizar la seguridad de nuestros usuarios en todos los procesos: el despliegue de servicios, el almacenamiento de datos con medidas de privacidad para el usuario final, las comunicaciones entre servicios, las comunicaciones seguras y privadas con los clientes a través de Internet y las operaciones seguras de los administradores. G Suite y GCP se ejecutan en esta infraestructura.
Hemos diseñado la seguridad de nuestra infraestructura en capas que se superponen, desde la seguridad física de los centros de datos hasta las protecciones de seguridad de nuestro hardware y software, y los procesos que usamos para garantizar la seguridad operativa. Gracias a esta protección por capas, conseguimos unos sólidos cimientos en materia de seguridad para todas las acciones que realizamos. Consulta un análisis detallado sobre nuestra infraestructura de seguridad en el informe Descripción general del diseño de seguridad de la infraestructura de Google.
Disponibilidad, integridad y resistencia
Los componentes que diseñamos para nuestra plataforma son muy redundantes. Los centros de datos de Google están distribuidos geográficamente para minimizar los efectos de las interrupciones del servicio regionales (como desastres naturales o problemas locales) en los productos que funcionan a nivel mundial. Si se produce un fallo en el hardware, en el software o en la red, los servicios se trasladan de una instalación a otra de forma automática e instantánea, de modo que las operaciones pueden continuar sin interrumpirse. El alto nivel de redundancia de nuestra infraestructura ayuda a proteger a los clientes frente a la pérdida de datos.
Pruebas
Cada año, llevamos a cabo pruebas relacionadas con la recuperación tras fallos con el objetivo de ofrecer un espacio coordinado para que los equipos de infraestructura y aplicaciones comprueben los planes de comunicación, las situaciones de conmutación por error, la transición operacional y otras respuestas de emergencia. Todos los equipos que participan en las pruebas de recuperación tras fallos diseñan planes de pruebas y análisis posteriores que documentan los resultados y las lecciones aprendidas a partir de las pruebas.
Encriptado
Google utiliza el encriptado para proteger los datos, tanto los que están en tránsito como los que están en reposo. Los datos en tránsito con destino a G Suite están protegidos mediante HTTPS. Esta opción está activada de forma predeterminada para todos los usuarios. Los servicios de G Suite y GCP encriptan el contenido en reposo que los usuarios hayan almacenado mediante uno o varios mecanismos de encriptado, sin que estos tengan que llevar a cabo ninguna acción.
Controles de acceso
Los derechos y niveles de acceso de los empleados de Google varían según la función y el rol que desempeñen en su puesto. Para asignar los privilegios de acceso a las distintas responsabilidades se emplean los conceptos de "mínimo privilegio" y "necesidad de saber". Las solicitudes de acceso adicional deben seguir un proceso formal que implica la realización de una solicitud y la aprobación pertinente de un propietario de datos o del sistema, de un administrador o de otros directivos, según se estipula en las políticas de seguridad de Google.
Gestión de vulnerabilidades
En Google, analizamos las vulnerabilidades del software mediante herramientas internas específicas disponibles en el mercado, pruebas intensivas de penetración manual y automatizada, procesos de control de calidad, revisiones de seguridad del software y auditorías externas. La comunidad investiga cuestiones de seguridad de un modo más amplio, por lo que también valoramos enormemente su labor a la hora de identificar las vulnerabilidades de G Suite, de GCP y de otros productos de Google. Nuestro programa Vulnerability Reward Program anima a los investigadores a informar sobre los problemas de diseño e implementación que pueden poner en riesgo los datos de los clientes.
Seguridad de los productos: G Suite
Los clientes de G Suite pueden utilizar las funciones y configuraciones de los productos para obtener una protección aún mayor contra el tratamiento no autorizado o ilegal de los datos personales:
- La verificación en dos pasos es un mecanismo que reduce el riesgo de acceso no autorizado, ya que exige a los usuarios una segunda prueba de su identidad al iniciar sesión. El uso obligatorio de llaves de seguridad ofrece una capa extra de protección a las cuentas de los usuarios, ya que requiere que se proporcione una llave física.
- La monitorización de inicios de sesión sospechosos los detecta mediante eficaces funciones de aprendizaje automático.
- La seguridad del correo electrónico mejorada exige que los mensajes se firmen y se cifren mediante extensiones seguras multipropósito de correo de Internet (S/MIME).
- La prevención de la pérdida de datos (DLP) protege la información sensible almacenada en Gmail y Drive del uso compartido no autorizado. Si quieres obtener más información sobre el tema, consulta el informe sobre DLP.
- La gestión de los derechos de la información de Drive permite inhabilitar la descarga, la impresión y la copia de archivos en el menú de uso compartido avanzado, así como establecer fechas de vencimiento para acceder a los archivos.
- La gestión de dispositivos móviles proporciona una monitorización continua del sistema y notifica al usuario en caso de detectar alguna actividad de dispositivos sospechosa.
- El centro de seguridad aporta visibilidad sobre el uso compartido de archivos con usuarios externos, el spam y el software malicioso dirigido a usuarios de tu organización, además de métricas para comprobar la eficacia de tus medidas de seguridad. Y todo ello en un mismo panel.
- Google Vault te permite conservar, archivar, buscar y exportar el correo electrónico, el contenido de los archivos de Google Drive y los chats con el registro habilitado de tu organización. De ese modo, cubres todos los requisitos de descubrimiento electrónico y de cumplimiento.
Los controles de acceso para aplicaciones de terceros te otorgan visibilidad y control sobre ellas. Se basan en las funciones de autenticación y de acceso a los datos empresariales de OAuth. Se puede inhabilitar el acceso OAuth mediante opciones específicas y permitir aplicaciones de terceros aprobadas.
Para obtener más información, consulta la página https://gsuite.google.com/security.
Seguridad de los productos: GCP
Los clientes de GCP pueden utilizar las funciones y configuraciones de los productos para obtener una protección aún mayor frente al tratamiento no autorizado o ilegal de los datos personales:
- La verificación en dos pasos es un mecanismo que reduce el riesgo de acceso no autorizado, ya que exige a los usuarios una segunda prueba de su identidad al iniciar sesión. El uso obligatorio de llaves de seguridad ofrece una capa extra de protección a las cuentas de los usuarios, ya que requiere que se proporcione una llave física.
- Gestión de Identidades y Accesos de Cloud (Cloud IAM) permite crear y gestionar de forma avanzada el acceso y los permisos de modificación de los recursos de Google Cloud.
- La API Data Loss Prevention ayuda a identificar y monitorizar el tratamiento de las categorías especiales de datos personales con el objetivo de implementar los controles adecuados.
- Cloud Logging y Cloud Monitoring integran funciones de almacenamiento de registros, monitorización, alertas y detección de anomalías en Google Cloud.
- Cloud Identity‑Aware Proxy (Cloud IAP) controla quién accede a las aplicaciones en la nube que se ejecutan en GCP.
- Cloud Security Scanner busca y detecta las vulnerabilidades más comunes en las aplicaciones de Google App Engine.
- Con Security Command Center puedes consultar y monitorizar el inventario de tus recursos en la nube, buscar datos sensibles en los sistemas de almacenamiento, detectar vulnerabilidades web comunes y, además, revisar los derechos de acceso a tus recursos esenciales. Y todo ello con un solo panel central.
Para obtener más información, consulta la página https://cloud.google.com/security/.
Los administradores pueden exportar los datos de los clientes en cualquier momento durante el periodo de vigencia del contrato. Para ello, cuentan con la funcionalidad específica de los servicios de G Suite o de GCP (consulta la documentación de esta plataforma para obtener más información). A lo largo de los años, hemos incorporado compromisos sobre exportación de datos a nuestros términos sobre el tratamiento de los mismos. Ahora, los hemos actualizado para adaptarlos al RGPD. No cejamos en nuestro empeño por mejorar la solidez de las funciones de exportación de datos de los servicios de G Suite y de GCP. También intentamos continuamente que te resulte aún más fácil y seguro descargar una copia de los datos de tu empresa.
Tienes la posibilidad de eliminar los datos de los clientes en cualquier momento mediante la funcionalidad específica de los servicios de G Suite o de GCP. Cuando nos indicas que nos deshagamos de algo por completo (por ejemplo, cuando un mensaje de correo electrónico borrado ya no se puede recuperar de la papelera), eliminamos todos los datos del cliente pertinentes de todos nuestros sistemas en un plazo máximo de 180 días, a no ser que sea obligatoria su conservación.
Derechos del interesado
Los responsables del tratamiento de datos pueden utilizar las consolas de administración de G Suite o de GCP, así como la funcionalidad incluida en sus servicios, para rectificar o eliminar los datos que ellos mismos o sus usuarios hayan introducido en nuestros sistemas, así como para acceder a ellos o restringir su tratamiento. Esta funcionalidad les ayudará a cumplir con las obligaciones que hayan contraído con los interesados que quieran ejercer sus derechos en virtud del RGPD.
Equipo de protección de datos
Hemos designado a un delegado de protección de datos para que actúe por cuenta de Google LLC y sus filiales en lo que respecta al tratamiento de datos amparado por el RGPD, incluidos los equipos de productos empresariales de Google Ireland Limited. El delegado de protección de datos de Google LLC es Keith Enright, director de privacidad, que desempeña su cargo en San Francisco (EE. UU.).
Los productos empresariales de Google cuentan, según proceda, con equipos dedicados a responder las consultas de los clientes relativas a la protección de datos. Los datos de contacto de dichos equipos figuran en los contratos pertinentes. Si las dudas afectan a G Suite, los administradores del cliente se pueden poner en contacto con el equipo de protección de datos en la nube en https://support.google.com/a/contact/googlecloud_dpr si han iniciado sesión con su cuenta de administrador. También pueden remitir un aviso a Google del modo descrito en el contrato correspondiente. Si guardan relación con GCP, la página https://support.google.com/cloud/contact/dpo permite ponerse en contacto con el equipo de Protección de Datos.
Notificación de incidentes
Durante muchos años, G Suite y GCP han establecido compromisos contractuales en cuanto a la notificación de incidentes. Seguiremos informándote con la mayor celeridad posible sobre los incidentes relacionados con los datos de tus clientes, de acuerdo con las disposiciones correspondientes incluidas en los contratos y términos actualizados con arreglo al RGPD.
El RGPD contempla varios mecanismos para facilitar la transferencia de datos personales fuera de la UE. Estos mecanismos tienen como objetivo confirmar que el nivel de protección es adecuado o asegurar que se aplican las medidas de seguridad apropiadas al transferir datos personales a países que no pertenecen a la UE.
Las cláusulas contractuales tipo proporcionan una protección óptima. Las decisiones de adecuación, como las que abarca el marco del EU-U.S. Privacy Shield (Escudo de la privacidad UE-EE. UU.), pueden confirmar si el nivel de protección es adecuado.
En virtud de nuestros términos actuales sobre el tratamiento de datos, nos obligamos a ofrecer un mecanismo que facilite la transferencia de los datos personales fuera de la UE conforme a lo dispuesto en el RGPD. La certificación de Google dentro de los marcos del EU-U.S. Privacy Shield y del Swiss‑U.S. Privacy Shield (Escudo de la privacidad Suiza-EE. UU.) incluye G Suite y GCP. Además, las autoridades europeas de protección de datos han confirmado el cumplimiento de nuestras cláusulas contractuales tipo. Esto significa que los compromisos contractuales de G Suite y de GCP cumplen todos los requisitos legales exigidos para transferir datos personales de la UE al resto del mundo.
Nuestros clientes y los organismos reguladores esperan que se realicen verificaciones independientes de los controles de seguridad, privacidad y cumplimiento. G Suite y GCP se someten a auditorías periódicas de terceros independientes para poder ofrecer esta garantía.
ISO/IEC 27001 (gestión de la seguridad de la información)
La certificación ISO/IEC 27001 es uno de los estándares de seguridad independientes más reconocido y aceptado a nivel internacional. Google ha obtenido la certificación ISO/IEC 27001 para los sistemas, las aplicaciones, las personas, la tecnología, los procesos y los centros de datos que conforman nuestra infraestructura común compartida, así como para los productos de G Suite y Google Cloud Platform.
ISO/IEC 27017 (seguridad en la nube)
ISO/IEC 27017 es un estándar internacional de prácticas relacionadas con los controles de seguridad de la información que se basa en la norma ISO/IEC 27002 y se centra especialmente en los servicios en la nube. Google ha obtenido la certificación de cumplimiento ISO/IEC 27017 para G Suite y Google Cloud Platform.
ISO/IEC 27018 (privacidad en la nube)
La normativa ISO/IEC 27018 es un estándar internacional de prácticas relacionadas con la protección de la información personal identificable en los servicios de nubes públicas. Google ha obtenido la certificación de cumplimiento ISO/IEC 27018 para G Suite y Google Cloud Platform.
SSAE16/ISAE 3402 (SOC 2/3)
Los sistemas de auditoría SOC 2 (Service Organization Controls) y SOC 3 del colegio estadounidense de contables públicos certificados (AICPA) establecen los principios de confianza y los criterios en materia de seguridad, disponibilidad, integridad del tratamiento y confidencialidad. Google cuenta con los informes SOC 2 y SOC 3 para GCP y G Suite.
Qué puedes hacer:
¿Cuáles son tus responsabilidades como cliente?
Por lo general, los usuarios de G Suite1 y de GCP actúan como responsables del tratamiento de los datos personales que proporcionan a Google al usar los servicios de Google Cloud. Los responsables del tratamiento de datos determinan los fines del tratamiento, así como los medios con que se lleva a cabo. El papel del encargado del tratamiento de datos, que suele ser Google Cloud, consiste en procesar los datos personales en nombre del responsable cuando este utiliza G Suite o GCP.
¿Cuál es la función de los responsables del tratamiento de datos?
Los responsables del tratamiento de datos se encargan de implementar las medidas técnicas y organizativas apropiadas para garantizar y demostrar que todos los procesos relacionados con el tratamiento de datos se llevan a cabo de acuerdo con el RGPD. Las obligaciones de estos responsables están vinculadas a principios como la legalidad, la equidad, la transparencia, la limitación de la finalidad, la minimización de los datos y la precisión de estos, así como al cumplimiento de los derechos aplicables en materia de datos que corresponden a los interesados.
Para conocer las responsabilidades del RGPD que te incumben, consulta de vez en cuando el sitio web de la autoridad de protección de datos nacional o competente y las publicaciones de las asociaciones dedicadas a la privacidad, como la asociación internacional de profesionales de la privacidad (IAPP). Por nuestra parte, nos aseguraremos de actualizar esta página dedicada al RGPD y nuestro centro de recursos sobre el RGPD con todas las novedades.
Con este sitio web pretendemos que nuestros clientes comprendan el posicionamiento de Google Cloud ante el RGPD. No ofrecemos asesoramiento legal, por lo que te recomendamos que recurras a un jurista experto para que te oriente sobre los requisitos que se aplican específicamente a tu organización.
¿Por dónde deberías empezar?
Como cliente de Google Cloud, el RGPD debe formar parte de tu estrategia de cumplimiento de la protección de datos. Aquí tienes algunos consejos:
- Familiarízate con las disposiciones del RGPD.
- Actualiza el inventario de los datos personales que manejas. Puedes usar algunas de nuestras herramientas para identificar y clasificar los datos.
- Revisa los controles, las políticas y los procesos que empleas actualmente para gestionar y proteger los datos, con el fin de comprobar si cumplen los requisitos del RGPD. Busca las carencias y elabora un plan para subsanarlas.
- Piensa en cómo aprovechar las funciones de protección de datos que ya te ofrecemos en Google Cloud para integrarlas en tu propio marco de cumplimiento normativo. Para empezar, consulta los materiales de certificación y auditoría de terceros sobre G Suite o GCP.
- Lee y acepta los términos actualizados del tratamiento de datos. El proceso a seguir en el caso de la Adenda sobre Tratamiento de Datos de G Suite está descrito aquí, y en el de los Términos de Seguridad y Tratamiento de Datos de GCP, aquí.
Preguntas frecuentes
- ¿Qué es el RGPD?
- El Reglamento General de Protección de Datos es la legislación sobre privacidad de la UE que entró en vigor el 25 de mayo del 2018 en sustitución de la Directiva 95/46/CE sobre protección de datos del 24 de octubre de 1995.
- ¿Nos obliga el RGPD a almacenar los datos personales en la UE?
- No. Al igual que ocurría con la Directiva 95/46/CE sobre protección de datos, el RGPD estipula ciertas condiciones para la transferencia de datos personales a países que no pertenecen a la UE. Dichas condiciones se pueden cumplir mediante ciertos mecanismos, como las cláusulas contractuales tipo.
- ¿Se han actualizado los términos para adaptarlos al RGPD?
- En Google Cloud, llevamos muchos años aplicando unos términos sobre el tratamiento de los datos que reflejan sin sombra de duda nuestro compromiso con la privacidad y la seguridad de los clientes. El RGPD se aplica directamente a los proveedores de servicios en la nube, sean cuales sean los compromisos contractuales que hayan adquirido. Por eso, hemos actualizado nuestros términos de modo que reflejen sus estipulaciones, en particular lo dispuesto en el artículo 28, que rige las funciones del encargado del tratamiento de datos por cuenta de los clientes de servicios en la nube.
- ¿El RGPD otorga a los clientes el derecho de llevar a cabo auditorías de Google Cloud?
- El RGPD establece que los responsables deben tener derechos de auditoría en sus contratos con los encargados del tratamiento de datos. Los términos de tratamiento de datos actualizados incluyen derechos de auditoría en beneficio de nuestros clientes.
- ¿Cuál es la función de los informes externos ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 y SOC 2/3 en el cumplimiento del RGPD?
- Los clientes pueden utilizar las certificaciones ISO y los informes de auditoría SOC 2/3, que hemos obtenido de entidades externas, para llevar a cabo sus evaluaciones de riesgos y determinar las medidas técnicas y organizativas que deben llevarse a cabo.
- ¿Ofrece Google más información u otros recursos sobre el RGPD?
- Consulta el sitio web Empresas y datos de Google y nuestro centro de recursos sobre el RGPD.