O Google Cloud e o Regulamento Geral de Proteção de Dados (GDPR)

A conformidade com o GDPR é prioridade absoluta para o Google Cloud e seus clientes. O GDPR visa fortalecer a proteção de dados pessoais na Europa e impacta a forma como todos nós fazemos negócios. Temos certeza de que você tem muitas perguntas e estamos aqui para ajudar. O Google Cloud adota uma abordagem voltada ao cliente no que diz respeito à proteção, ao controle e à conformidade. Queremos facilitar sua jornada para o GDPR.

GUIA DE IMPLEMENTAÇÃO DA PROTEÇÃO DE DADOS DO GOOGLE WORKSPACE GUIA DE IMPLEMENTAÇÃO DA PROTEÇÃO DE DADOS DO GOOGLE WORKSPACE FOR EDUCATION SEGURANÇA DE DADOS COM O GOOGLE CLOUD PLATFORM

Visite nossa Central de Recursos do GDPR 

Exoneração de responsabilidade: o presente conteúdo está correto a partir de novembro de 2020 e representa o cenário corrente no momento em que foi escrito. Os sistemas e as políticas de segurança do Google podem mudar no futuro, à medida que a proteção dos clientes é aprimorada. Ao falar do Google Workspace, também falamos do Google Workspace for Education. Nos próximos meses, o Google Workspace também estará disponível para os clientes de instituições educacionais e para organizações sem fins lucrativos.

O que é o GDPR?

O GDPR, que entrou em vigor em 25 de maio de 2018, substituiu a Diretiva de proteção de dados da UE de 1995.

O GDPR determina requisitos específicos para empresas e organizações estabelecidas na Europa ou que atendem usuários na Europa. Ele:

  • regula como as empresas podem coletar, usar e armazenar dados pessoais;
  • aumenta a responsabilidade com base nos requisitos atuais de documentação e geração de relatórios;
  • autoriza multas a empresas que não cumprirem seus requisitos.

Google Cloud e o GDPR

No Google Cloud, lideramos iniciativas que priorizam e aumentam a segurança e a privacidade dos dados pessoais dos clientes. Queremos que você, como cliente do Google Cloud, sinta-se seguro ao usar nossos serviços em conformidade com os requisitos do GDPR. Se você fizer parceria com o Google Cloud, ajudaremos em sua busca pela conformidade com o GDPR das seguintes formas:

  1. Comprometendo-nos, em nossos contratos, a cumprir o GDPR em relação ao processamento dos dados pessoais do cliente em todos os serviços do Google Cloud Platform e do Google Workspace
  2. Oferecendo mais recursos de segurança que podem ajudar você a melhorar a proteção dos dados pessoais mais confidenciais
  3. Fornecendo a você a documentação e os recursos para ajudar em sua avaliação de privacidade de nossos serviços
  4. Continuando a desenvolver nossas capacidades à medida que o panorama regulatório muda

Compromissos do Google Workspace e do Google Cloud Platform em relação ao GDPR

Dentre outras coisas, é necessário que os controladores de dados usem somente processadores de dados que forneçam garantias suficientes para implementar as medidas técnicas e organizacionais adequadas de forma que o processamento atenda aos requisitos do GDPR. Ao realizar a avaliação dos serviços do Google Workspace e do Google Cloud Platform, considere o seguinte:

Experiência em proteção de dados

O Google emprega profissionais de segurança e privacidade, incluindo alguns dos especialistas mais proeminentes do mundo em segurança de informações, aplicativos e rede. Essa equipe de especialistas está encarregada de realizar manutenção nos sistemas de defesa da empresa, desenvolver processos de revisão de segurança, criar infraestruturas mais resistentes e implementar as políticas de segurança do Google.

O Google também emprega uma extensa equipe de juristas, especialistas em conformidade com regulamentos e especialistas em políticas públicas, que cuidam da conformidade com a privacidade e a segurança do Google Cloud.

Essas equipes trabalham com clientes, partes interessadas do setor e autoridades supervisoras para garantir que os serviços do Google Workspace e do Google Cloud Platform ajudem os clientes a atender às necessidades de conformidade deles.

O que você pode fazer

Quais são suas responsabilidades como cliente?

Os clientes do Google Workspace1 e do Google Cloud Platform atuarão normalmente como controladores de todos os dados pessoais fornecidos ao Google por meio do uso dos serviços do Google Cloud. O controlador de dados determina as finalidades e os métodos de processamento de dados pessoais. Depois, há o processador de dados. Essa geralmente é a nossa área. Como processador de dados, o Google Cloud processa dados pessoais em nome do controlador que usa o Google Workspace ou o Google Cloud Platform.

O que é um controlador de dados?

Os controladores de dados são responsáveis, com os processadores de dados, por implementar medidas técnicas e organizacionais apropriadas para garantir que todo processamento de dados seja feito em conformidade com o GDPR. As demais obrigações dos controladores são relacionadas a princípios como legalidade, legitimidade e transparência, limitação de finalidade, minimização de dados e precisão, bem como ao exercício dos direitos dos titulares dos dados em relação aos respectivos dados.

Encontre orientações relacionadas às suas responsabilidades no GDPR verificando regularmente os sites de sua autoridade de proteção de dados nacional ou principal, bem como analisando publicações de associações de privacidade, como a International Association of Privacy Professionals (IAPP, na sigla em inglês) (link em inglês). Também atualizaremos essa página do GDPR e a nossa Central de recursos do GDPR com as notícias e atualizações mais recentes.

Este site destina-se a ajudar nossos clientes a melhor entender a posição do Google Cloud quanto ao GDPR. Recomendamos que você consulte um especialista jurídico para receber orientação sobre os requisitos específicos aplicáveis à sua organização, pois este site não representa um aconselhamento jurídico.

Por onde começar?

Se, por exemplo, você for um cliente do Google Cloud localizado no Espaço Econômico Europeu ou no Reino Unido, ou for responsável pelo processamento de dados relacionados a titulares dos dados do EEE ou do Reino Unido, o GDPR precisará fazer parte de sua estratégia de conformidade de proteção de dados. Confira estas dicas:

  • Conheça as disposições do GDPR.
  • Crie um inventário atualizado de dados pessoais processados por você. É possível usar algumas de nossas ferramentas para ajudar a identificar e classificar dados.
  • Analise seus controles, políticas e processos atuais para gerenciar e proteger dados com os requisitos do GDPR. Encontre as falhas e crie um plano para eliminá-las.
  • Pense em como é possível aproveitar os recursos atuais de proteção de dados no Google Cloud como parte do esquema de conformidade com os regulamentos. Para começar, analise os materiais de certificação e de auditoria de terceiros do Google Workspace ou do Google Cloud Platform.
  • Analise e (se necessário) aceite nossos termos de processamento de dados atualizados por meio do processo de adesão descrito aqui para a Emenda sobre processamento de dados do Google Workspace e aqui para os Termos de processamento de dados e segurança do GCP.
1 O Google Workspace (antigo G Suite) inclui o Google Workspace for Teams, o Google Workspace Business e o Google Workspace for Education. Alguns planos anteriores do G Suite continuam disponíveis. 2 Recomendamos que você procure assessoria jurídica independente para determinar qual é a autoridade principal ou nacional de proteção de dados apropriada.

Perguntas frequentes

O que é o GDPR?
O Regulamento geral de proteção de dados é uma legislação de privacidade que, em 25 de maio de 2018, substituiu a Diretiva 95/46/EC sobre proteção de dados, de 24 de outubro de 1995 (links em inglês).
O GDPR exige o armazenamento de dados pessoais na UE?
Não. Assim como a Diretiva 95/46/EC sobre proteção de dados (em inglês), o GDPR estabelece determinadas condições para a transferência de dados pessoais fora da UE. Tais condições podem ser atendidas por meio de mecanismos como cláusulas contratuais modelo.
Como seus termos refletem os requisitos do GDPR?
Por muitos anos, o Google Cloud ofereceu termos de processamento de dados que expressam claramente nosso compromisso de privacidade e segurança com os clientes. Esses termos foram desenvolvidos para refletir o GDPR. Nossos termos atualizados com o GDPR refletem especialmente as disposições do Artigo 28 do GDPR que regem o uso de um processador de dados por um controlador de dados.
O GDPR concede aos clientes o direito de auditar o Google Cloud?
De acordo com o GDPR, é necessário que os contratos entre os controladores e os processadores de dados concedam direitos de auditoria aos controladores. Nossos contratos atualizados de processamento de dados incluem direitos de auditoria para benefício dos clientes sujeitos ao GDPR.
Qual o papel dos relatórios ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 e SOC 2/3 elaborados por terceiros em conformidade com o GDPR?
Nossas certificações ISO/IEC e relatórios de auditoria SOC 2/3 de terceiros podem ajudar os clientes a conduzir avaliações de risco e determinar se as devidas medidas técnicas e organizacionais foram adotadas. Nossa certificação ISO/IEC 27701 oferece maior clareza em relação às responsabilidades e aos papéis relacionados à privacidade, o que pode facilitar os esforços de conformidade com as regulamentações de privacidade, incluindo o GDPR.
Agora que o Privacy Shield (Escudo de Proteção da Privacidade) foi invalidado, eu ainda posso usar o Google Cloud e atender aos requisitos do GDPR caso eu precise lidar com dados pessoais da UE?
Embora o Google continue a analisar o impacto do caso C-311/18 do Tribunal de Justiça da União Europeia (TJUE), uma coisa continua igual: o Google tomará as medidas corretas para garantir a manutenção de um alto nível de proteção de privacidade para cidadãos da UE.
O Google Cloud oferece Cláusulas contratuais padrão ou Cláusulas contratuais modelo (MCCs) aos clientes, o que será automaticamente considerado para aplicação na ausência de qualquer solução de transferência alternativa disponibilizada pelo Google.
Independentemente da localização dos dados, a proteção de dados continua sendo prioridade para o Google. Temos a certificação de normas internacionais reconhecidas, como ISO/IEC 27001, ISO/IEC 27018 e ISO/IEC 27017. Veja uma lista completa das ofertas de conformidade do Google na Central de recursos de conformidade.
Quais outras informações e recursos o Google forneceu a respeito do GDPR?
Consulte o site Empresas e dados do Google e nossa Central de recursos do GDPR