Google Cloud y el Reglamento General de Protección de Datos

Para el equipo de Google Cloud y para nuestros clientes, cumplir el Reglamento General de Protección de Datos (RGPD) es una de nuestras máximas prioridades. Con el RGPD se busca reforzar la protección de los datos personales en Europa. Esto afecta a la forma de hacer negocios de todas las empresas. Seguro que tienes muchas dudas, pero estamos aquí para ayudarte. En Google Cloud, la protección, el control y el cumplimiento giran en torno al cliente. Además, queremos hacerte más sencilla la aplicación del RGPD.

GUÍA DE IMPLEMENTACIÓN DE LA PROTECCIÓN DE DATOS EN GOOGLE WORKSPACE TRUSTING YOUR DATA WITH GOOGLE CLOUD PLATFORM

Visitar el centro de recursos sobre el RGPD 

Renuncia de responsabilidad: El contenido incluido en este documento está actualizado a noviembre del 2020 y representa la situación en el momento en que se redactó. Es posible que los sistemas y las políticas de seguridad de Google cambien a medida que mejoramos la protección que ofrecemos a nuestros clientes. Cuando se menciona Google Workspace, nos referimos también a G Suite para Centros Educativos. Vamos a ofrecer Google Workspace a nuestros clientes de centros educativos y organizaciones sin ánimo de lucro en los próximos meses.

¿Qué es el RGPD?

El RGPD entró en vigor el 25 de mayo del 2018 en sustitución de la directiva sobre protección de datos de la UE del año 1995.

El RGPD estipula requisitos concretos que deben cumplir todas las empresas y organizaciones que tengan su sede en Europa o que presten servicios a usuarios europeos:

  • Regula cómo pueden recoger, usar y almacenar datos personales las empresas.
  • Amplía los requisitos de documentación y creación de informes para aumentar la responsabilidad proactiva.
  • Autoriza que se impongan multas a las empresas que no cumplan dichos requisitos.

Google Cloud y el RGPD

En Google Cloud, impulsamos iniciativas que priorizan y mejoran tanto la seguridad como la privacidad de los datos personales de los clientes. Queremos que, como cliente de Google Cloud, utilices nuestros servicios con la tranquilidad de saber que cumples las disposiciones del RGPD. Si colaboras con Google Cloud, te ayudaremos a asegurar el cumplimiento del RGPD a través de las siguientes iniciativas:

  1. En nuestros contratos, nos comprometemos a cumplir los requisitos del RGPD sobre el tratamiento de los datos personales de los clientes en todos los servicios de Google Cloud Platform (GCP) y de Google Workspace.
  2. Hemos añadido más funciones de seguridad para que protejas mejor los datos personales más sensibles.
  3. Te facilitamos la documentación y los recursos necesarios para que evalúes la privacidad que ofrecemos en nuestros servicios.
  4. Seguimos desarrollando nuestras prestaciones a medida que cambian las normativas.

Compromisos de Google Workspace y GCP con el RGPD

Los responsables del tratamiento de datos están obligados, entre otras cosas, a emplear únicamente encargados del tratamiento de datos que ofrezcan garantías suficientes para implementar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD. A continuación analizamos algunos aspectos que te conviene tener en cuenta cuando evalúes los servicios de Google Workspace y de GCP.

Conocimientos especializados en protección de datos

Google emplea a profesionales en los ámbitos de la seguridad y la privacidad, entre los que se encuentran algunos de los mayores expertos del mundo en materia de seguridad de la información, de aplicaciones y de redes. Este equipo experto se encarga de mantener los sistemas de defensa de la empresa, desarrollar los procesos de revisión de la seguridad, reforzar la infraestructura de seguridad e implementar de forma minuciosa las políticas de seguridad de Google.

Google también cuenta con un nutrido equipo de abogados, expertos en cumplimiento normativo y especialistas en políticas públicas, quienes velan por que se cumplan las normas de privacidad y seguridad en Google Cloud.

Estos equipos colaboran con los clientes, con los interlocutores más influyentes del sector y con las autoridades de control para garantizar que nuestros servicios de Google Workspace y GCP permitirán a los clientes cumplir con sus obligaciones.

Qué puedes hacer

¿Cuáles son tus responsabilidades como cliente?

Por lo general, los usuarios de Google Workspace1 y de GCP actúan como responsables del tratamiento de los datos personales que proporcionan a Google al usar los servicios de Google Cloud. Los responsables del tratamiento de datos determinan los fines del tratamiento, así como los medios con que se lleva a cabo. El papel del encargado del tratamiento de datos, que suele ser Google Cloud, consiste en procesar los datos personales en nombre del responsable cuando este utiliza Google Workspace o GCP.

¿Cuál es la función de los responsables del tratamiento de datos?

Los responsables del tratamiento de datos se encargan, junto con los encargados del tratamiento de datos, de implementar las medidas técnicas y organizativas apropiadas para asegurar que todos los procesos relacionados con el tratamiento de datos se llevan a cabo de acuerdo con el RGPD. También tienen otras obligaciones vinculadas a principios como la legalidad, la equidad, la transparencia, la limitación de la finalidad, la minimización de los datos y la precisión de estos, así como al cumplimiento de los derechos aplicables en materia de datos que corresponden a los interesados.

Para conocer las responsabilidades recogidas en el RGPD que te incumben, consulta con frecuencia el sitio web de la autoridad de protección de datos nacional o competente y las publicaciones de las asociaciones dedicadas a la privacidad, como la asociación internacional de profesionales de la privacidad (IAPP). Por nuestra parte, actualizaremos esta página dedicada al RGPD y nuestro centro de recursos sobre el RGPD con todas las novedades.

Con este sitio web pretendemos que nuestros clientes comprendan el posicionamiento de Google Cloud ante el RGPD. No ofrecemos asesoramiento legal, por lo que te recomendamos que recurras a un abogado para que te oriente sobre los requisitos que se aplican específicamente a tu organización.

¿Por dónde deberías empezar?

Supongamos que eres cliente de Google Cloud y resides en el Espacio Económico Europeo (EEE) o el Reino Unido, o que eres responsable del tratamiento de datos que corresponden a interesados del EEE o del Reino Unido. En ese caso, el RGPD deberá formar parte de tu estrategia de cumplimiento de la protección de datos. Aquí tienes algunos consejos:

  • Familiarízate con las disposiciones del RGPD.
  • Actualiza el inventario de los datos personales que manejas. Puedes usar algunas de nuestras herramientas para identificar y clasificar los datos.
  • Revisa los controles, las políticas y los procesos que empleas actualmente para gestionar y proteger los datos, con el fin de comprobar si cumplen los requisitos del RGPD. Busca las carencias y elabora un plan para subsanarlas.
  • Piensa en cómo aprovechar las funciones de protección de datos que ya te ofrecemos en Google Cloud para integrarlas en tu propio marco de cumplimiento normativo. Para empezar, consulta los materiales de certificación y auditoría de terceros sobre Google Workspace o GCP.
  • Lee y acepta (si procede) los términos actualizados del tratamiento de datos. Consulta qué proceso debes seguir en el caso de la Adenda sobre Tratamiento de Datos de Google Workspace y en el de los Términos de Seguridad y Tratamiento de Datos de GCP.
1 Google Workspace (anteriormente G Suite) incluye Google Workspace para Equipos, Google Workspace Business y G Suite para Centros Educativos. Algunos planes antiguos de G Suite siguen activos. 2 Te recomendamos que preguntes a algún asesor legal independiente qué autoridad de protección de datos nacional o competente te corresponde.

Preguntas frecuentes

¿Qué es el RGPD?
El Reglamento General de Protección de Datos es la legislación sobre privacidad de la UE que entró en vigor el 25 de mayo del 2018 en sustitución de la Directiva 95/46/CE sobre protección de datos del 24 de octubre de 1995.
¿Nos obliga el RGPD a almacenar los datos personales en la UE?
No. Al igual que ocurría con la Directiva 95/46/CE sobre protección de datos, el RGPD estipula ciertas condiciones para la transferencia de datos personales a países que no pertenecen a la UE. Dichas condiciones se pueden cumplir mediante ciertos mecanismos, como las cláusulas contractuales tipo.
¿Cómo reflejan vuestros términos lo estipulado en el RGPD?
En Google Cloud, llevamos muchos años aplicando unos términos sobre el tratamiento de datos que manifiestan claramente nuestro compromiso con la privacidad y la seguridad de los clientes, y hemos modificado dichos términos de modo que reflejen las estipulaciones del RGPD. Los términos actualizados se centran en lo dispuesto en el artículo 28, que rige las funciones del encargado del tratamiento de datos por cuenta de un responsable del tratamiento de datos.
¿El RGPD otorga a los clientes el derecho de llevar a cabo auditorías de Google Cloud?
El RGPD establece que los responsables deben tener derechos de auditoría en sus contratos con los encargados del tratamiento de datos. Los contratos de tratamiento de datos actualizados incluyen derechos de auditoría en beneficio de los clientes sujetos al RGPD.
¿Cuál es la función de los informes externos ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 y SOC 2/3 en el cumplimiento del RGPD?
Los clientes pueden utilizar las certificaciones ISO/IEC y los informes de auditoría SOC 2/3, que hemos obtenido de entidades externas, para llevar a cabo sus evaluaciones de riesgos y determinar las medidas técnicas y organizativas que deben llevarse a cabo. Nuestra certificación ISO/IEC 27701 ofrece información clara sobre los roles y las responsabilidades que tienen que ver con la privacidad, lo que puede ser de utilidad para cumplir normativas de privacidad, como el RGPD.
Ahora que el Privacy Shield (Escudo de la privacidad) ha quedado invalidado, ¿seguiré cumpliendo lo estipulado en el RGPD al utilizar Google Cloud si trato datos personales de la UE?
Google continuará valorando la repercusión del fallo del Tribunal de Justicia de la Unión Europea en el caso C-311/18. Mientras tanto, seguirá tomando las medidas necesarias para ofrecer una protección de la privacidad de alta eficacia a los ciudadanos de la UE.
Google Cloud ofrece cláusulas contractuales estándares o tipo a los clientes, que se aplicarán automáticamente en caso de que Google no proporcione una solución de transferencia alternativa.
Independientemente de la ubicación de los datos, su protección sigue siendo una de las prioridades de Google. Contamos con certificaciones que acreditan el cumplimiento de estándares internacionales reconocidos, como las normas ISO/IEC 27001, ISO/IEC 27018 e ISO/IEC 27017. Puedes consultar la lista completa de las soluciones de cumplimiento de Google en el centro de recursos para el cumplimiento.
¿Ofrece Google más información u otros recursos sobre el RGPD?
Consulta el sitio web Empresas y datos de Google y nuestro centro de recursos sobre el RGPD.