Google Cloud y el Reglamento General de Protección de Datos (GDPR)

Acuerdos de procesamiento de datos

Nuestros acuerdos de procesamiento de datos para Google Workspace y Google Cloud expresan de forma clara nuestro compromiso de privacidad con los clientes. Estas condiciones fueron evolucionando con los años según los comentarios de nuestros clientes y reguladores.

Actualizamos estas condiciones específicamente a fin de incorporar el GDPR y para facilitar la evaluación del cumplimiento de nuestros clientes y la preparación del GDPR para el uso de los servicios de Google Cloud. Obtén más información sobre la Enmienda de Procesamiento de Datos de Google Workspace, las Cláusulas de Contrato Estándar de la UE de Google Workspace, las Condiciones de Seguridad y Procesamiento de Datos de Google Cloud, y las Cláusulas de Contrato Estándar de la UE de Google Cloud (SCC).

Nuestros clientes pueden aceptar estas condiciones actualizadas del procesamiento de datos a través del proceso de aceptación que se describe para la Enmienda de Procesamiento de Datos de Google Workspace y la Condiciones de Seguridad y Procesamiento de Datos de Google Cloud.

Procesamiento de acuerdo con las instrucciones

Todos los datos que un cliente y sus usuarios ingresen en nuestros sistemas solo se procesarán de acuerdo con las instrucciones del cliente, como se describe en nuestros acuerdos de procesamiento de datos actualizados en función del GDPR.

Compromisos de confidencialidad del personal

Todos los empleados de Google deben firmar un acuerdo de confidencialidad y realizar capacitaciones obligatorias sobre confidencialidad y privacidad, además de una capacitación sobre el código de conducta. El código de conducta de Google aborda específicamente las responsabilidades y el comportamiento esperado con respecto a la protección de la información.

Las empresas del Grupo de Google realizan directamente la mayoría de las actividades de procesamiento de datos necesarias para proporcionar los servicios de Google Workspace y de Google Cloud. Sin embargo, contamos con algunos proveedores externos que brindan asistencia para respaldar estos servicios. Cada proveedor debe pasar un riguroso proceso de selección con el fin de garantizar que cuente con los conocimientos técnicos necesarios y pueda proporcionar los niveles de seguridad y privacidad adecuados.

Ponemos a disposición la información relacionada con los subprocesadores del Grupo de Google que respaldan los servicios de Google Workspace y Google Cloud, así como con los subprocesadores de terceros involucrados en esos servicios. Consulta aquí los detalles del subprocesador de Google Workspace y aquí para los detalles del subprocesador de Google Cloud. También incluimos compromisos relacionados con los subprocesadores en nuestros acuerdos del procesamiento de datos.

De acuerdo con el GDPR, se deben implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado ante el riesgo.

Google opera con una infraestructura de escala global diseñada para proporcionar seguridad de vanguardia en todo el ciclo de vida del procesamiento de la información. Esta infraestructura se creó para lograr una implementación segura de los servicios, un almacenamiento seguro de datos con protecciones de privacidad de usuarios finales, comunicaciones seguras entre los servicios, una comunicación privada y segura con los clientes en Internet y una forma de trabajo segura para administradores. Google Workspace y Google Cloud se ejecutan en esta infraestructura.

Diseñamos la seguridad de nuestra infraestructura con capas que se complementan entre sí, desde la seguridad física de los centros de datos y las protecciones de seguridad de nuestro hardware y software hasta los procesos que usamos para respaldar la seguridad operativa. En esta protección por capas, se crea una base sólida de seguridad para todas nuestras actividades. Si deseas leer un análisis detallado de la seguridad de nuestra infraestructura, consulta el informe Descripción general del diseño de seguridad de la infraestructura de Google.

Disponibilidad, integridad y resiliencia

Google diseña los componentes de la plataforma para que sean altamente redundantes. Los centros de datos de Google están distribuidos geográficamente para minimizar los efectos de las interrupciones regionales en los productos globales, como en el caso de desastres naturales y suspensiones de servicio locales. Si se produce una falla en el hardware, el software o la red, los servicios se cambian de forma inmediata y automática de una instalación a otra para que las operaciones puedan continuar sin interrupciones. Nuestra infraestructura altamente redundante ayuda a los clientes a protegerse de la pérdida de datos.

Seguridad y pruebas del equipo

Google utiliza códigos de barras y etiquetas de elementos para hacer un seguimiento del estado y la ubicación del equipo del centro de datos desde la adquisición hasta la instalación, el retiro y la destrucción. Si un componente no pasa una prueba de cumplimiento en cualquier momento de su ciclo de vida, se quita del inventario y se da de baja. Los discos duros de Google usan tecnologías como la encriptación de disco completo (FDE) y el bloqueo de la unidad para proteger los datos en reposo.

Pruebas de recuperación ante desastres

Google realiza pruebas de recuperación ante desastres de forma anual a fin de proporcionar un lugar coordinado para que los equipos de infraestructura y aplicaciones prueben los planes de comunicación, las situaciones de conmutación por error, la transición operativa y otras respuestas a emergencias. Todos los equipos que participan del ejercicio de recuperación ante desastres desarrollan planes de pruebas y acciones posteriores que documentan los resultados y los aprendizajes que se obtuvieron con las pruebas.

Encriptación

Google usa la encriptación para proteger datos en tránsito y en reposo. Los datos en tránsito entre regiones de Google Workspace están protegidos con HTTPS, que se activa de forma predeterminada para todos los usuarios. Los servicios de Google Workspace y Google Cloud Platform encriptan el contenido de los clientes almacenado en reposo mediante uno o más mecanismos de encriptación sin que los clientes deban realizar ninguna acción. Puedes encontrar un análisis detallado de cómo encriptamos datos en estos recursos: Informe de encriptación de Workspace y Encriptación de Google Cloud en tránsito y en reposo.

Controles de acceso

A los empleados de Google se les otorgan derechos y niveles de acceso según su puesto de trabajo y su rol, y se les asignan los privilegios mínimos y la información básica necesarios para que cumplan con sus responsabilidades. Las solicitudes de acceso adicional siguen un proceso formal que requiere una solicitud y la aprobación del propietario de los datos o del sistema, del administrador o de otros ejecutivos, ya que así lo dictaminan las políticas de seguridad de Google. Los centros de datos que albergan los componentes de sistemas y de infraestructura de Google Cloud están sujetos a restricciones de acceso físico y equipados con personal de seguridad las 24 horas, todos los días, guardias de seguridad, credenciales de acceso, mecanismos de identificación biométrica, cerraduras físicas y cámaras de video para supervisar el interior y el exterior de las instalaciones.

Administración de incidentes

Google cuenta con un equipo de seguridad exclusivo que es el responsable de la seguridad y la privacidad de los datos de los clientes y que controla la seguridad las 24 horas, todos los días en todo el mundo. Las personas de este equipo reciben notificaciones relacionadas con incidentes y son las responsables de ayudar a solucionar las emergencias las 24 horas, todos los días. Se establecieron políticas de respuesta ante incidentes y los procedimientos para resolver incidentes críticos están documentados. La información de estos eventos se usa para evitar incidentes en el futuro y se puede utilizar a fin de proporcionar ejemplos en las capacitaciones de seguridad de la información. Los procesos para la administración de incidentes y los flujos de trabajo de las respuestas están documentados. Los procesos de administración de incidentes de Google se prueban con regularidad como parte de nuestros programas ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS¹, SOC 2 y FedRAMP para ofrecerles a nuestros clientes y entes reguladores una verificación independiente de nuestros controles de cumplimiento, seguridad y privacidad. Si deseas obtener más información sobre nuestro proceso de respuesta ante incidentes, consulta el Informe del proceso de respuesta ante incidentes de datos.

Administración de vulnerabilidades

Analizamos las vulnerabilidades del software con una combinación de herramientas internas para propósitos específicos que están comercialmente disponibles, pruebas de penetración intensivas manuales y automatizadas, procesos de garantía de la calidad, revisiones de la seguridad del software y auditorías externas. También nos apoyamos en la comunidad más amplia de investigadores de la seguridad y valoramos enormemente su ayuda en la identificación de vulnerabilidades en Google Workspace, Google Cloud y otros productos de Google. Nuestro Programa de recompensas por detección de vulnerabilidades incentiva a los investigadores a informar problemas en el diseño y la implementación que podrían poner en riesgo los datos de los clientes.

Seguridad de los productos: Google Workspace

Los clientes de Google Workspace pueden aprovechar las funciones y la configuración de los productos para proteger mejor sus datos personales del procesamiento no autorizado o ilegal:

Los servicios principales de Google Workspace, como Gmail, Consola del administrador de Google, Calendario, Drive, Documentos, Keep, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search y Grupos de Google, ofrecen ajustes configurables para garantizar que los datos de tu organización estén asegurados y que se usen y se acceda a ellos según tus especificaciones exclusivas. Con la verificación en 2 pasos, se reduce el riesgo de acceso no autorizado, ya que se solicita a los usuarios una prueba de identidad adicional cuando intentan acceder con sus cuentas. La llave de seguridad obligatoria ofrece una capa de seguridad adicional para las cuentas de usuario, ya que requiere el uso de una llave física. El Programa de Protección Avanzada es nuestro mejor sistema de protección para los usuarios que corren el riesgo de sufrir ataques en línea orientados. La supervisión de accesos sospechosos detecta los accesos sospechosos con sólidas funciones de aprendizaje automático. La seguridad mejorada del correo electrónico exige que los mensajes de correo electrónico se firmen y se encripten con Extensiones de Correo de Internet de Propósitos Múltiples/Seguro (S/MIME). Encriptación: Los datos de los clientes de Google Workspace se encriptan cuando se encuentran en los discos, cuando están almacenados en soportes de copias de seguridad y mientras se trasladan por Internet o entre diferentes centros de datos. La Prevención de pérdida de datos impide que se comparta información sensible en Gmail y Drive sin autorización. La protección avanzada contra suplantación de identidad (phishing) y software malicioso te protege contra archivos adjuntos sospechosos y secuencias de comandos de remitentes no confiables, así como de imágenes y vínculos maliciosos. La administración de derechos sobre la información en Drive te permite inhabilitar las opciones para descargar, imprimir y copiar los archivos desde el menú de uso compartido avanzado, además de establecer fechas de vencimiento para el acceso a los archivos. La administración de extremos ofrece un sistema de supervisión continua y de alertas en caso de actividades sospechosas del dispositivo. El Centro de alertas es un lugar para visualizar notificaciones, alertas y acciones esenciales en Google Workspace. Las recomendaciones sobre estas posibles alertas pueden ayudar a los administradores a evaluar la exposición de la organización a problemas de seguridad. El Centro de seguridad reúne estadísticas de seguridad, prácticas recomendadas y soluciones integradas que te permiten proteger los datos, los dispositivos y a los usuarios de tu organización. Además, brinda visibilidad sobre el uso compartido externo de archivos, el spam y el software malicioso que se orientan a los usuarios de tu organización, y también integra soluciones mediante la herramienta de investigación. El acceso adaptado al contexto puede aplicar controles de acceso detallados en las apps de Google Workspace según la identidad de un usuario y el contexto de la solicitud. Con Google Vault, puedes retener, archivar, buscar y exportar el correo electrónico, el contenido de los archivos de Google Drive y los chats registrados de tu organización a fin de satisfacer tus necesidades de cumplimiento y detección electrónica. El control de acceso a las apps rige el acceso a los servicios de Google Workspace con el uso de OAuth 2.0. Las organizaciones pueden controlar qué apps internas y de terceros pueden acceder a los datos de Google Workspace y encontrar más detalles sobre las apps de terceros que ya estén en uso. Regiones de datos te permite almacenar los datos cubiertos en una ubicación geográfica específica mediante una política de la región de datos. La Transparencia de acceso te permite revisar los registros de las acciones realizadas por el personal de Google cuando acceden al contenido del usuario.

Para obtener más información, visita https://workspace.google.com/security.

Seguridad del producto: Google Cloud

Los clientes de Google Cloud pueden aprovechar las funciones y la configuración de los productos para proteger mejor sus datos personales del procesamiento no autorizado o ilegal:

La encriptación en tránsito entre regiones se aplica de forma predeterminada a GCP para encriptar solicitudes antes de su transmisión y proteger los datos sin procesar con el protocolo de seguridad de la capa de transporte (TLS). Una vez que se transfieren los datos a Google Cloud para su almacenamiento, Google Cloud aplica la encriptación en reposo de forma predeterminada. La verificación en 2 pasos reduce el riesgo de acceso no autorizado, ya que les solicita a los usuarios una prueba de identidad adicional cuando intentan acceder con sus cuentas. La llave de seguridad obligatoria ofrece otra capa de seguridad para las cuentas de usuario, ya que requiere el uso de una llave física. Cloud Identity and Access Management (Cloud IAM) te permite crear y administrar permisos de acceso y modificación detallados para los recursos de Google Cloud. La API de Data Loss Prevention ayuda a identificar y supervisar el procesamiento de las categorías especiales de datos personales para implementar los controles adecuados. Cloud Logging y Cloud Monitoring Integran sistemas de registro, supervisión, alertas y detección de anomalías en Google Cloud. Cloud Identity-Aware Proxy (Cloud IAP) controla el acceso a las aplicaciones en la nube que se ejecutan en Google Cloud. Cloud Security Scanner analiza y detecta vulnerabilidades comunes en aplicaciones de Google App Engine. Los Controles del servicio de VPC proporcionan protección perimetral para los servicios que almacenan datos altamente sensibles a fin de habilitar la segmentación de datos a nivel del servicio. Cloud KMS yHSM Permiten administrar claves de encriptación y operaciones criptográficas desde un clúster de módulos de seguridad de hardware (HSM) certificados con el nivel 3 del estándar FIPS 140-2. KMS permite que los clientes usen claves de encriptación administradas por Google o por el cliente según sea necesario para cumplir con los requisitos de cumplimiento. Cloud Security Command Center permite a los clientes ver y supervisar un inventario de sus recursos en la nube, analizar los sistemas de almacenamiento en busca de datos sensibles, detectar vulnerabilidades web comunes y revisar los derechos de acceso a sus recursos esenciales desde una única plataforma centralizada. Aprobación de acceso requiere que los administradores de Google soliciten la aprobación explícita del cliente para que Google pueda acceder a los datos. Funciona mediante un correo electrónico o un mensaje Cloud Pub/Sub que se envía a los clientes con una solicitud de acceso que el cliente puede aprobar. Con la información del mensaje, los clientes pueden usar la consola de Google Cloud o la API de aprobación de acceso para aprobar el acceso.

Para obtener más información, visita https://cloud.google.com/security/.

¹ Solo para Google Cloud.

Los administradores pueden exportar datos de clientes mediante las funciones de los servicios de Google Workspace o Google Cloud (consulta la documentación de Google Cloud para obtener más información) en cualquier momento durante el plazo del acuerdo. Incluimos compromisos de varios años para la exportación de datos en nuestras Condiciones del Procesamiento de Datos y seguiremos trabajando para mejorar estas capacidades de exportación, a fin de facilitar la descarga de una copia de los datos de tus clientes desde los servicios de Google Workspace y Google Cloud.

También puedes borrar datos de clientes con la funcionalidad de los servicios de Google Workspace o Google Cloud, en cualquier momento. Cuando Google recibe una instrucción de eliminación total de tu parte (por ejemplo, cuando borraste un correo electrónico y ya no se puede recuperar de tu “papelera”), Google borra los datos de cliente relevantes de todos sus sistemas en un período de hasta 180 días, a menos que se apliquen obligaciones de retención.

Derechos de los sujetos

Los controladores de datos pueden usar la función de servicios y consolas administrativas de Google Workspace y Google Cloud para facilitar el acceso, la rectificación, la restricción del procesamiento o la eliminación de los datos que ellos y sus usuarios ingresan en nuestros sistemas. Esta funcionalidad los ayudará a cumplir con sus obligaciones de responder a las solicitudes de los sujetos para ejercer sus derechos de conformidad con el GDPR.

Equipo de Protección de Datos

Google designó un oficial de protección de datos para Google LLC y sus subsidiarias con el fin de cubrir el procesamiento de datos en función del GDPR, incluido como parte de nuestros productos y servicios de Cloud. Kristie Chon Flynn es el oficial de protección de datos de Google. El Kristie Chon Flynn se encuentra en Sunnyvale, EE.UU.

Cuando es necesario, los productos de Google Cloud cuentan con equipos designados para abordar las consultas de los clientes sobre la protección de datos. En los acuerdos pertinentes, se describe cómo contactar a estos equipos. Para Google Workspace, los administradores del cliente se pueden contactar con el equipo de protección de datos en la nube en https://support.google.com/a/contact/googlecloud_dpr (si acceden con sus cuentas de administrador) o directamente mediante un aviso a Google según se describe en el Acuerdo pertinente. Para Google Cloud, es posible comunicarse con el equipo en https://support.google.com/cloud/contact/dpo.

Notificaciones de incidentes

Google Workspace y Google Cloud proporcionan compromisos contractuales relacionados con la notificación de los incidentes desde hace años. Seguiremos informándote sin demora sobre los incidentes relacionados con los datos de tus clientes de conformidad con las condiciones correspondientes que se estipulan en nuestros acuerdos actuales.

El GDPR proporciona varios mecanismos para facilitar la transferencia de datos personales fuera de la UE. El objetivo de estos mecanismos es confirmar que el nivel de protección sea el adecuado o garantizar que se implementen las protecciones correspondientes cuando se transfieren datos personales a un tercer país.

Se puede confirmar el nivel adecuado de protección mediante la toma de decisiones de adecuación, como las que respaldan la Ley de Japón sobre la Protección de la Información Personal (APPI) y la Ley de Protección de Datos de Suiza.

En los casos en los que se transfieran datos personales fuera de la UE a países externos sin cobertura sobre las decisiones de adecuación, bajo los acuerdos del procesamiento de datos nos comprometemos a mantener un mecanismo que facilite estas transferencias como se establece en el GDPR. En 2017, las autoridades europeas de protección de datos nos otorgaron la confirmación del cumplimiento para nuestras cláusulas de contrato estándar, con lo que se afirma que nuestros compromisos contractuales para Google Workspace y Google Cloud cumplen con los requisitos a fin de enmarcar legalmente las transferencias de datos personales de la UE a países externos que no proporcionan la protección adecuada.

Nuestros clientes y reguladores esperan una verificación independiente de los controles de seguridad, privacidad y cumplimiento. Google Workspace y Google Cloud se someten a diversas auditorías independientes de terceros de manera habitual para proporcionar esta garantía.

ISO/IEC 27001 (Administración de la seguridad de la información)

ISO/IEC 27001 es uno de los estándares de seguridad independientes más aceptados del mundo y uno de los más reconocidos. Google obtuvo la certificación ISO/IEC 27001 para los sistemas, las aplicaciones, los empleados, la tecnología, los procesos y los centros de datos que forman parte de nuestra infraestructura común compartida, así como para los productos Google Workspace y Google Cloud. Puedes acceder a estos certificados mediante el Administrador de informes de cumplimiento.

ISO/IEC 27017 (Seguridad en la nube)

ISO/IEC 27017 es un estándar internacional de práctica para controles de seguridad de la información basado en ISO/IEC 27002 y específicamente pensado para los servicios en la nube. Google cuenta con una certificación del cumplimiento de ISO/IEC 27017 para Google Workspace y Google Cloud. Puedes acceder a estos certificados mediante el Administrador de informes de cumplimiento.

ISO/IEC 27018 (Privacidad en la nube)

ISO/IEC 27018 es un estándar internacional de práctica para la protección de la información de identificación personal (PII) en servicios de nube pública. Google cuenta con una certificación del cumplimiento de ISO/IEC 27018 para Google Workspace y Google Cloud. Puedes acceder a estos certificados mediante el Administrador de informes de cumplimiento.

ISO/IEC 27701 (Gestión de Información de Privacidad)

ISO/IEC 27701 es el primer estándar mundial sobre privacidad centrado en la recopilación y el procesamiento de la información de identificación personal (PII). Este estándar extiende los requisitos de ISO/IEC 27001 e ISO/IEC 27002 para incluir la privacidad de datos. Recibimos la certificación de acreditación ISO/IEC 27701 como un procesador de PII para Google Workspace y Google Cloud. Puedes acceder a estos certificados mediante el Administrador de informes de cumplimiento.

SSAE18/ISAE 3402 (SOC 2/3)

El marco de trabajo de auditoría de SOC 2 (Controles de Organización de Servicios) y SOC 3 del Instituto Estadounidense de Contadores Públicos Certificados (AICPA) define los criterios y principios de confianza para la seguridad, la disponibilidad, la integridad del procesamiento y la confidencialidad. Google tiene informes de SOC 2 y SOC 3 para Google Workspace y Google Cloud. Puedes acceder a estos certificados mediante el Administrador de informes de cumplimiento.

Google Cloud: Condiciones de seguridad y procesamiento de datos (DPST)

Condiciones de seguridad y procesamiento de datos completas

GOOGLE WORKSPACE: Condiciones del Procesamiento de Datos

Condiciones de procesamiento de datos completas

Google Cloud: Condiciones de seguridad y procesamiento de datos (DPST)

Procesamiento de datos | Sección 5.2

Google Cloud: Cláusulas de Contrato Estándar (SCC) de la UE

SCC

GOOGLE WORKSPACE: Condiciones del Procesamiento de Datos

Sección 5.2 | Procesamiento de datos

GOOGLE WORKSPACE: Cláusulas de contrato estándar de la UE (SCC)

Cláusula 5 (a) y (b) | Obligaciones del importador de datos

Google Cloud: Condiciones del Servicio de Google Cloud

Información confidencial |Sección 7

Condiciones de Seguridad y Procesamiento de los Datos (DPST) de Google Cloud

Seguridad de los datos | Sección 7.1.2

Seguridad de los datos | Sección 7.5.3

Seguridad del personal | Apéndice 2.4

Google Cloud: Cláusulas de Contrato Estándar (SCC) de la UE

Obligaciones del importador de datos | Cláusula 5

GOOGLE WORKSPACE: Acuerdo de Google Workspace

Información confidencial | Sección 6

GOOGLE WORKSPACE: Condiciones del Procesamiento de Datos

Seguridad de los datos | Sección 7.1.2

Seguridad de los datos | Sección 7.5.3

Seguridad del personal | Apéndice 2.4

GOOGLE WORKSPACE: Cláusulas de contrato estándar de la UE (SCC)

SCC

Google Cloud: Condiciones de seguridad y procesamiento de datos (DPST)

Seguridad de los datos | Sección 7

Medidas de seguridad | Apéndice 2

Google Cloud: Cláusulas de Contrato Estándar (SCC) de la UE

SCC

GOOGLE WORKSPACE: Condiciones del Procesamiento de Datos

Seguridad de los datos | Sección 7

Medidas de seguridad | Apéndice 2

GOOGLE WORKSPACE: Cláusulas de contrato estándar de la UE (SCC)

SCC

Contenido relacionadoInforme sobre cumplimiento y seguridad de Google Cloud

Google Cloud: Condiciones de seguridad y procesamiento de datos (DPST)

Evaluaciones y consultas de impacto | Sección 8

GOOGLE WORKSPACE: Condiciones del Procesamiento de Datos

Evaluaciones y consultas de impacto | Sección 8

Google Cloud: Condiciones de seguridad y procesamiento de datos (DPST)

Eliminación de datos | Sección 6

Derechos de los sujetos; Exportación de datos | Sección 9.1

Google Cloud: Cláusulas de Contrato Estándar (SCC) de la UE

SCC

GOOGLE WORKSPACE: Condiciones del Procesamiento de Datos

Eliminación de datos |Sección 6

Derechos de los sujetos; Exportación de datos | Sección 9.1

GOOGLE WORKSPACE: Cláusulas de contrato estándar de la UE (SCC)

SCC 

Google Cloud: Condiciones de seguridad y procesamiento de datos (DPST)

Seguridad de los datos | Sección 7.4

Contenido relacionado: Cumplimiento de Google Cloud

GOOGLE WORKSPACE: Condiciones del Procesamiento de Datos

Seguridad de los datos | Sección 7.4

Contenido relacionado: Cumplimiento de Google Cloud