Google Cloud y el Reglamento General de Protección de Datos (GDPR)

Para Google Cloud y nuestros clientes, el cumplimiento del GDPR es una prioridad principal. El objetivo del GDPR es reforzar la protección de los datos personales en Europa y afecta la forma en que todos hacemos negocios. Sabemos que tienes muchas preguntas y estamos aquí para ayudarte. El enfoque de Google Cloud en cuanto a protección, control y cumplimiento se centra en el cliente, y queremos ser un facilitador clave en tu recorrido por el GDPR.

INFORME SOBRE GOOGLE CLOUD Y EL GDPR GUÍA DE REFERENCIA RÁPIDA DE GOOGLE CLOUD Y EL GDPR GUÍA DE IMPLEMENTACIÓN DE LA PROTECCIÓN DE DATOS EN GOOGLE WORKSPACE

Visita nuestro Centro de recursos del GDPR 

¿Qué es el GDPR?

El GDPR entró en vigencia el 25 de mayo de 2018 y reemplazó a la Directiva de Protección de Datos de la UE de 1995.

En el GDPR se exponen los requisitos específicos para las organizaciones y empresas establecidas en Europa o que prestan servicios a usuarios en Europa. El reglamento se caracteriza por los siguientes aspectos:

  • Regula la forma en que las empresas pueden recopilar, usar y almacenar los datos personales.
  • Se basa en los requisitos actuales de documentación y generación de informes para aumentar la responsabilidad.
  • Autoriza que se multe a las empresas que no cumplan con los requisitos.

Lo que estamos haciendo

En Google Cloud, abogamos por las iniciativas que priorizan y mejoran la seguridad y privacidad de los datos de los usuarios. Ahora que el GDPR entró en vigencia, implementamos una variedad de actualizaciones que garantizan que nuestros clientes puedan usar nuestros servicios con confianza. Si te asocias con Google Cloud, respaldaremos tus esfuerzos de las siguientes maneras:

  1. Nos comprometeremos contractualmente a cumplir con el GDPR en relación con la forma en que procesamos los datos personales de los clientes en todos los servicios de Google Cloud Platform y Google Workspace.
  2. Ofreceremos características de seguridad adicionales que puedan ayudarte a proteger de mejor manera los datos personales más sensibles.
  3. Te entregaremos la documentación y los recursos necesarios para ayudarte con tu evaluación de la privacidad de nuestros servicios.
  4. Continuaremos adaptando nuestras capacidades a medida que cambia el panorama regulatorio.

Compromisos de Google Workspace y Google Cloud Platform con el GDPR

Entre otras obligaciones, los controladores de datos solo pueden usar procesadores de datos que proporcionen las garantías suficientes a fin de implementar las medidas técnicas y organizativas adecuadas de tal forma que el procesamiento cumpla con los requisitos del GDPR. Cuando evalúes los servicios de Google Workspace y Google Cloud Platform, considera los siguientes aspectos:

Conocimiento experto sobre protección de los datos

Google trabaja con profesionales especializados en seguridad y privacidad, como algunos de los principales expertos mundiales en seguridad de la información, de aplicaciones y de redes. La labor de este equipo de expertos consiste en mantener los sistemas de defensa de la empresa, desarrollar procesos de revisión de seguridad, crear una infraestructura de seguridad más sólida y también implementar de manera precisa las políticas de seguridad de Google.

Google también trabaja con un extenso equipo de abogados, expertos en cumplimiento de normativas y especialistas en políticas públicas que se encargan del cumplimiento de la privacidad y seguridad de Google Cloud.

Estos equipos trabajan con clientes, partes interesadas de la industria y autoridades supervisoras para garantizar que nuestros servicios de Google Workspace y Google Cloud Platform ayuden a los clientes a satisfacer sus necesidades de cumplimiento.

Qué puedes hacer

¿Cuáles son tus responsabilidades como cliente?

Los clientes de Google Workspace1 y Google Cloud Platform cumplirán, por lo general, la función de controlador de datos para todo el contenido personal que proporcionen a Google mediante el uso de los servicios de Google Cloud. El controlador de datos determina los fines y los medios del procesamiento de datos personales. Luego está el procesador de los datos, que por lo general somos nosotros. Como procesador de datos, Google Cloud procesa datos personales en nombre del controlador cuando el controlador usa Google Workspace o Google Cloud Platform.

¿Qué es un controlador de datos?

Los controladores de datos son los responsables de aplicar las medidas técnicas y organizativas adecuadas que garanticen y demuestren que todo procesamiento de datos se realiza de conformidad con el GDPR. Las obligaciones de los controladores se relacionan con principios como la legitimidad, la ecuanimidad y la transparencia, la limitación de los fines, la minimización de datos, la precisión y el cumplimiento de los derechos de los sujetos con respecto a sus datos.

Puedes encontrar información relacionada con las responsabilidades estipuladas en el GDPR si consultas de manera habitual los sitios web de las agencias de protección de datos principales o nacionales y las publicaciones de asociaciones de privacidad como la Asociación Internacional de Profesionales de la Privacidad (IAPP). También nos aseguraremos de mantener actualizados esta página del GDPR y nuestro Centro de recursos del GDPR con las últimas noticias y novedades.

El objetivo de este sitio es ayudar a nuestros clientes a comprender mejor la posición de Google Cloud ante el GDPR. Este sitio no constituye una fuente de asesoramiento legal, por lo que te recomendamos que consultes con un experto legal para que te oriente en cuanto a los requisitos específicos que se aplican a tu organización.

¿Dónde deberías comenzar?

Como cliente de Google Cloud, el GDPR debe ser parte de tu estrategia para el cumplimiento de la protección de datos. Considera las siguientes sugerencias:

  • Familiarízate con las estipulaciones del GDPR.
  • Crea un inventario actualizado de los datos personales que manejas. Puedes usar algunas de nuestras herramientas para que te ayuden a identificar y clasificar los datos.
  • Revisa tus procesos, políticas y controles actuales para la protección y administración de datos en función de los requisitos del GDPR. Determina cuáles son las brechas y crea un plan para cubrirlas.
  • Evalúa cómo puedes usar las funciones existentes de protección de datos en Google Cloud como parte de tu propio marco de cumplimiento regulatorio. Para comenzar, revisa los materiales de certificación y auditorías externas de Google Workspace o Google Cloud Platform.
  • Revisa y acepta nuestras Condiciones del Procesamiento de Datos actualizadas por medio del proceso de aceptación que se describe aquí para la Enmienda de Procesamiento de Datos de Google Workspace y aquí para las Condiciones de Seguridad y Procesamiento de Datos de GCP.
1 Google Workspace incluye G Suite for Business y G Suite for Education. 2 Te recomendamos buscar asesoramiento legal independiente para determinar la agencia de protección de datos nacional o principal correspondiente a tu caso.

Preguntas frecuentes

¿Qué es el GDPR?
El Reglamento General de Protección de Datos es una normativa de privacidad que reemplazó, el 25 de mayo de 2018, a la Directiva sobre Protección de Datos 95/46/CE del 24 de octubre de 1995.
¿El GDPR requiere almacenamiento de datos personales en la UE?
No. Al igual que la Directiva sobre Protección de Datos 95/46/CE, el GDPR establece ciertas condiciones para la transferencia de datos personales al exterior de la UE. Estas condiciones se pueden cumplir mediante mecanismos como las cláusulas de contrato modelo.
¿Cómo se actualizaron sus condiciones para reflejar el GDPR?
Hace muchos años que Google Cloud ofrece condiciones del procesamiento de datos que expresan de manera clara nuestro compromiso de seguridad y privacidad con los clientes. Si bien el GDPR se aplica de forma directa a los proveedores de servicios de nube sin importar sus compromisos contractuales en este asunto, actualizamos nuestras condiciones en función del GDPR. Nuestras condiciones actualizadas según el GDPR reflejan en particular las disposiciones del artículo 28 del GDPR que rigen el uso de un procesador de datos por parte de un cliente de la nube.
¿El GDPR les dará a los clientes el derecho de auditar Google Cloud?
De acuerdo con el GDPR, se deben garantizar los derechos de auditoría a los controladores de datos en sus contratos con los procesadores de datos. Nuestros acuerdos actualizados de procesamiento de datos incluyen derechos de auditoría que benefician a los clientes.
¿Qué función cumplen los informes ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 y SOC 2/3 de terceros en el cumplimiento del GDPR?
Los clientes pueden usar nuestros informes de auditoría SOC 2/3 y nuestras certificaciones ISO de terceros para realizar las evaluaciones de riesgos y determinar si están implementadas las medidas técnicas y organizativas adecuadas.
¿Qué información y recursos adicionales proporcionó Google sobre el GDPR?
Consulta el sitio web de empresas y datos de Google y nuestro Centro de recursos del GDPR.