O Google Cloud e o Regulamento Geral de Proteção de Dados (GDPR)
O Regulamento geral de proteção de dados (GDPR) é uma legislação de privacidade que, em 25 de maio de 2018, substituiu a Diretiva 95/46/EC sobre proteção de dados, de 24 de outubro de 1995 (links em inglês). O GDPR determina requisitos específicos para empresas e organizações estabelecidas na Europa ou que atendem usuários na Europa. Ele:
- regula como as empresas podem coletar, usar e armazenar dados pessoais;
- aumenta a responsabilidade com base nos requisitos atuais de documentação e geração de relatórios;
- autoriza multas a empresas que não cumprirem seus requisitos.
No Google Cloud, lideramos iniciativas que priorizam e aumentam a segurança e a privacidade dos dados pessoais dos clientes. Queremos que você, como cliente do Google Cloud, sinta-se seguro ao usar nossos serviços em conformidade com os requisitos do GDPR. Se você fizer parceria com o Google Cloud, ajudaremos em sua busca pelo compliance com o GDPR das seguintes formas:
- Comprometendo-nos, em nossos contratos, a cumprir o GDPR em relação ao processamento dos dados pessoais do cliente em todos os serviços do Google Cloud e do Google Workspace
- Oferecendo mais recursos de segurança que podem ajudar você a melhorar a proteção dos dados pessoais mais confidenciais
- Fornecendo a você a documentação e os recursos para ajudar na sua avaliação de privacidade de nossos serviços
- Continuando a desenvolver nossas capacidades à medida que o panorama regulatório muda
Compromissos do Google Workspace e do Google Cloud em relação ao GDPR
Os controladores de dados precisam usar processadores com medidas técnicas e organizacionais adequadas. Ao realizar a avaliação do GDPR do Google Cloud, considere o seguinte:
CONHECIMENTOS AVANÇADOS, CONFIABILIDADE E RECURSOS
Experiência em proteção de dados
O Google emprega profissionais de segurança e privacidade, incluindo alguns dos especialistas mais proeminentes do mundo em segurança de informações, aplicativos e rede. Essa equipe de especialistas está encarregada de realizar a manutenção nos sistemas de defesa da empresa, desenvolver processos de revisão de segurança, criar infraestruturas mais resistentes e implementar as políticas de segurança do Google.
O Google também emprega uma extensa equipe de juristas, especialistas de compliance com regulamentos e especialistas em políticas públicas, que cuidam do compliance com a privacidade e a segurança do Google Cloud.
Essas equipes trabalham com clientes, partes interessadas do setor e autoridades supervisoras para garantir que os serviços do Google Workspace e do Google Cloud ajudem os clientes a atender às necessidades de compliance deles.
COMPROMISSOS COM A PROTEÇÃO DE DADOS
Contratos de processamento de dados
Em nossos contratos de processamento de dados do Google Workspace e do Google Cloud , expressamos claramente nosso compromisso com a privacidade dos clientes. Aprimoramos esses termos ao longo dos anos com base no feedback dos nossos clientes e de reguladores.
Atualizamos esses termos especificamente para refletir o GDPR e para facilitar a avaliação de compliance de nossos clientes e a adequação ao GDPR quando usarem os serviços do Google Cloud. Saiba mais sobre a Emenda sobre processamento de dados do Google Workspace, as Cláusulas contratuais padrão do Google Workspace na UE, os Termos de Segurança e Processamento de Dados do Google Cloud e as Cláusulas Contratuais Padrão (SCCs) do Google Cloud na UE.
Nossos clientes podem assinar esses Termos de Processamento de Dados atualizados com o processo de ativação descrito na Emenda sobre processamento de dados do Google Workspace e nos Termos de Segurança e Processamento de Dados do Google Cloud.
Processamento de acordo com instruções
Os dados que um cliente e seus respectivos usuários colocam em nossos sistemas são processados exclusivamente de acordo com as instruções do cliente, conforme descrito em nossos contratos de processamento de dados, atualizados com o GDPR.
Compromissos de confidencialidade de pessoal
Todos os funcionários do Google são obrigados a assinar um acordo de confidencialidade e a concluir treinamentos obrigatórios de confidencialidade e privacidade, bem como nosso treinamento sobre código de conduta. O código de conduta do Google trata especificamente das responsabilidades e do comportamento esperado em relação à proteção das informações.
USO DE SUBPROCESSADORES
As empresas do Grupo Google realizam diretamente a maior parte das atividades de processamento de dados necessárias para fornecer os serviços do Google Workspace e do Google Cloud. Mas usamos alguns fornecedores terceirizados para ajudar no suporte a esses serviços. Cada fornecedor passa por um rigoroso processo de seleção para garantir que tenha o conhecimento técnico necessário e possa fornecer o nível adequado de segurança e privacidade.
Disponibilizamos informações dos subprocessadores do Grupo Google que aceitam serviços do Google Workspace e do Google Cloud, bem como dos subprocessadores de terceiros envolvidos nesses serviços. Clique aqui para ver detalhes do subprocessador do Google Workspace e aqui para ver detalhes do subprocessador do Google Cloud. Também incluímos compromissos relacionados a subprocessadores em nossos contratos de processamento de dados.
SEGURANÇA DOS SERVIÇOS
De acordo com o GDPR, medidas técnicas e organizacionais adequadas precisam ser implementadas para garantir o nível de segurança apropriado ao risco.
O Google opera uma infraestrutura global desenvolvida para fornecer segurança de última geração em todo o ciclo de vida do processamento de informações. Essa infraestrutura foi desenvolvida para proporcionar implantações de serviços seguras, armazenamento de dados seguro com proteções de privacidade de usuário final, comunicações seguras entre serviços, comunicação particular e segura com clientes na Internet e operação segura por parte dos administradores. O Google Workspace e o Google Cloud são executados nessa infraestrutura.
Projetamos a segurança da nossa infraestrutura em camadas sobrepostas, incluindo segurança física de data centers, proteções de segurança para hardware e software e processos para acomodar a segurança operacional. Essa proteção em camadas cria uma base de segurança forte para tudo o que fazemos. Há uma discussão detalhada sobre a segurança da nossa infraestrutura no Artigo sobre a visão geral do projeto de segurança da infraestrutura do Google.
Disponibilidade, integridade e resiliência
O Google projeta os componentes da nossa plataforma para serem altamente redundantes. Os data centers do Google são distribuídos geograficamente para minimizar os efeitos de interrupções regionais (como desastres naturais e paralisações locais) sobre produtos globais. Em caso de falha de hardware, software ou rede, os serviços são deslocados de uma instalação para outra de maneira imediata e automática. Dessa forma, as operações podem continuar sem interrupções. Nossa infraestrutura altamente redundante ajuda os clientes a se protegerem contra a perda de dados.
Teste e segurança de equipamento
O Google utiliza códigos de barras e tags de recursos para rastrear o status e a localização do equipamento do data center desde a aquisição até a instalação, a retirada e a destruição. Se um componente for reprovado em um teste de desempenho em qualquer momento do ciclo de vida, ele será removido do inventário e terá o uso descontinuado. Os discos rígidos do Google usam tecnologias, como a criptografia de disco total (FDE, na sigla em inglês) e o bloqueio de unidades, para proteger dados em repouso.
Teste de recuperação de desastres
O Google realiza testes de recuperação de desastres anualmente visando proporcionar um espaço coordenado para as equipes de infraestrutura e aplicativos testarem planos de comunicação, cenários de failover, transição operacional e outras respostas de emergência. Todas as equipes que participam do exercício de recuperação de desastres desenvolvem planos de teste e post mortems que documentam os resultados e as lições aprendidas com os testes.
Criptografia
O Google usa criptografia para proteger dados em trânsito e em repouso. Os dados em trânsito do Google Workspace entre regiões são protegidos usando HTTPS, que é ativado por padrão para todos os usuários. Os serviços do Google Workspace e do Google Cloud criptografam o conteúdo dos clientes armazenado em repouso com um ou mais mecanismos de criptografia, sem exigir ações adicionais por parte do cliente. Uma discussão detalhada sobre como criptografamos dados pode ser encontrada nestes recursos: Artigo sobre criptografia no Workspace e Criptografia do Google Cloud em trânsito e em repouso.
Controles de acesso
Para funcionários do Google, os direitos de acesso e os níveis baseiam-se nos respectivos cargos e papéis. Aplicamos os conceitos de privilégio mínimo e necessidade de saber para corresponder os privilégios às responsabilidades definidas. As solicitações de acesso adicional seguem um processo formal que envolve solicitação e aprovação de um proprietário, gerente ou outros executivos de sistema ou de dados, conforme estabelecido pelas políticas de segurança do Google. Os data centers que hospedam componentes de infraestrutura e sistemas do Google Cloud estão sujeitos a restrições físicas de acesso e são equipados com uma equipe de segurança local em tempo integral, seguranças, crachás de acesso, mecanismos de identificação biométrica, bloqueios físicos e câmeras de vídeo para monitorar as partes internas e externas da instalação.
Gerenciamento de incidentes
O Google tem uma equipe de segurança dedicada responsável pela segurança e privacidade dos dados dos clientes e por gerenciar a segurança 24 horas por dia, 7 dias por semana no mundo inteiro. Os membros dessa equipe recebem notificações relativas a incidentes e são responsáveis por ajudar a resolver emergências em tempo integral. As políticas de respostas a incidentes estão em vigor e os procedimentos para a resolução de incidentes críticos são documentados. As informações desses eventos são usadas para ajudar a prevenir incidentes futuros e podem ser usadas como exemplos para o treinamento de segurança de informações. Os processos de gerenciamento de incidentes e os fluxos de trabalho de resposta do Google são documentados. Para fornecer aos clientes e reguladores uma verificação independente de nossos controles de segurança, privacidade e compliance, os processos de gerenciamento de incidentes do Google são testados regularmente como parte de nossos programas ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS 1, SOC 2 e FedRAMP. Mais informações sobre nosso processo de resposta a incidentes podem ser encontradas em nosso Artigo sobre o processo de resposta a incidentes com dados.
Gerenciamento de vulnerabilidades
Analisamos vulnerabilidades de software usando uma combinação de ferramentas internas comercialmente disponíveis e criadas para fins específicos, testes intensivos de penetração manuais e automatizados, processos de garantia de qualidade, revisões de segurança de software e auditorias externas. Também recorremos à comunidade de pesquisa de segurança em geral e valorizamos a ajuda recebida na identificação de vulnerabilidades no Google Workspace, no Google Cloud e em outros produtos do Google. Nosso Programa de Premiação por Vulnerabilidades incentiva pesquisadores a relatar problemas de projeto e implementação que possam colocar em risco os dados do cliente.
Segurança do produto: Google Workspace
Os clientes do Google Workspace podem aproveitar os recursos e as configurações do produto para proteger ainda mais os dados pessoais contra o processamento não autorizado ou ilegal:
Os serviços principais do Google Workspace (incluindo Gmail, Google Admin Console, Agenda, Drive, Documentos, Keep, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search e Grupos do Google) oferecem definições configuráveis para ajudar a assegurar que os dados da sua organização estejam seguros e sejam usados e acessados de acordo com requisitos exclusivos. A verificação em duas etapas reduz o risco de acesso não autorizado porque exige que os usuários forneçam uma comprovação de identidade extra ao fazer login.A aplicação de chaves de segurança oferece outra camada de segurança a contas de usuário ao exigir uma chave física. O Programa Proteção Avançada é nossa solução de proteção mais forte para usuários em risco de ataques on-line direcionados. O monitoramento de login suspeito detecta logins suspeitos ao usar recursos avançados de machine learning. A segurança avançada de e-mail exige que as mensagens de e-mail sejam assinadas e criptografadas com Secure/Multipurpose Internet Mail Extensions (S/MIME). Criptografia: os dados de clientes do Google Workspace são criptografados quando estão em um disco, armazenados em mídia de backup, movimentando-se pela Internet ou se deslocando entre data centers. A Prevenção contra perda de dados protege informações confidenciais dentro do Gmail e do Drive contra o compartilhamento não autorizado. A proteção avançada contra phishing e malware protege de anexos e scripts suspeitos de remetentes não confiáveis, bem como de imagens e links mal-intencionados. O gerenciamento de direitos de informação no Drive permite desativar o download, a impressão e a cópia de arquivos pelo menu de compartilhamento avançado, bem como definir datas de validade para o acesso aos arquivos. O gerenciamento de endpoint oferece monitoramento contínuo do sistema e alertas em caso de atividade suspeita do dispositivo. A Central de alertas é um lugar para ver notificações essenciais, alertas e ações no Google Workspace. Com insights sobre esses possíveis alertas, os administradores avaliam a exposição da organização a problemas de segurança. A Central de segurança oferece proteção de dados, dispositivos e usuários da organização com a análise de segurança, de recomendações de práticas recomendadas e da correção integrada. Ela permite visualizar o compartilhamento externo de arquivos e verificar se os usuários da organização estão recebendo spam e malware. Também fornece a correção integrada por meio da ferramenta de investigação. O acesso baseado no contexto pode impor controles de acesso granulares em aplicativos do Google Workspace com base na identidade de um usuário e no contexto da solicitação. O Google Vault permite que você retenha, arquive, pesquise e exporte os e-mails, o conteúdo dos arquivos do Google Drive e os chats gravados da organização de acordo com as necessidades de e-discovery e compliance. O controle de acesso aos apps define o acesso aos serviços do Google Workspace que usam o OAuth 2.0. As organizações podem controlar quais apps de terceiros e internos podem acessar os dados do Google Workspace e encontrar mais detalhes sobre os apps de terceiros que já estão em uso. As Regiões de dados permitem armazenar seus dados cobertos em uma localização geográfica específica usando uma política da região de dados. A transparência no acesso permite analisar os registros de ações realizadas pela equipe do Google acessando o conteúdo do usuário.
Para saber mais, acesse https://workspace.google.com/security
Segurança do produto: Google Cloud
Os clientes do Google Cloud podem aproveitar os recursos e as configurações do produto para proteger ainda mais os dados pessoais contra processamento não autorizado ou ilegal:
A criptografia em trânsito entre regiões é aplicada por padrão no Google Cloud para criptografar solicitações antes da transmissão e para proteger os dados brutos usando o protocolo Transport Layer Security (TLS). Quando os dados são transferidos para o Google Cloud para serem armazenados, o Google Cloud aplica a criptografia em repouso por padrão. A verificação em duas etapas reduz o risco de acesso não autorizado solicitando aos usuários mais provas de identidade ao fazer login.A aplicação da chave de segurança oferece outra camada de segurança para contas de usuário ao exigir uma chave física. O Cloud Identity and Access Management (Cloud IAM) permite criar e gerenciar permissões de modificação e acesso refinadas para recursos do Google Cloud. A API Data Loss Prevention ajuda a identificar e monitorar o processamento de categorias especiais de dados pessoais para implementar controles adequados. O Cloud Logging e o Cloud Monitoring integram sistemas de detecção, geração de registros, alertas e detecção de anomalias ao Google Cloud. O Cloud Identity-Aware Proxy (Cloud IAP) controla o acesso aos aplicativos de nuvem em execução no Google Cloud. O Scanner de segurança do Cloud verifica e detecta vulnerabilidades comuns nos aplicativos do Google App Engine. Os controles de serviço da VPC oferecem proteção de perímetro para serviços que armazenam dados altamente confidenciais para permitir a segmentação de dados de nível de serviço.Cloud KMS e HSM permitem o gerenciamento de chaves de criptografia e operações criptográficas de um cluster de módulos de segurança de hardware (HSMs, na sigla em inglês) certificados pelo FIPS 140-2 de nível 3. O KMS permite que os clientes usem chaves de criptografia gerenciadas pelo Google ou gerenciadas pelo Google conforme necessário para atender aos requisitos de compliance. O Cloud Security Command Center permite que os clientes: vejam e monitorem um inventário dos recursos de nuvem dele, verifiquem sistemas de armazenamento em busca de dados confidenciais, detectem vulnerabilidades comuns da Web e analisem os direitos de acesso aos recursos essenciais em um único local painel. A Aprovação de acesso exige que os administradores do Google solicitem a aprovação explícita do cliente antes que o Google possa acessar os dados. Ele envia um e-mail e/ou uma mensagem do Cloud Pub/Sub ao cliente com uma solicitação de acesso que ele pode aprovar. Usando as informações na mensagem, os clientes podem usar o console do Google Cloud ou a API Access Approval para aprovar o acesso.
Para saber mais, acesse https://cloud.google.com/security/
1 Apenas para o Google Cloud.
RETENÇÃO E EXCLUSÃO DE DADOS
Os administradores podem exportar dados de clientes usando a funcionalidade dos serviços do Google Workspace ou do Google Cloud (consulte Documentação do Google Cloud para mais informações), a qualquer momento durante o período de vigência do contrato. Incluímos compromissos de exportação de dados em nossos termos de processamento de dados por vários anos. Vamos continuar trabalhando para aprimorar nossos recursos de exportação de dados, fazendo com que fique ainda mais fácil fazer o download de uma cópia dos dados do cliente dos serviços do Google Workspace e do Google Cloud.
Também é possível excluir dados de clientes com a funcionalidade dos serviços do Google Workspace ou do Google Cloud a qualquer momento. Quando o Google receber de você uma instrução para a exclusão total (por exemplo, quando não é mais possível recuperar da "lixeira" um e-mail que você havia excluído), ele vai excluir os dados relevantes do cliente de todos os sistemas dentro de um período máximo de 180 dias, a menos que haja obrigações de retenção aplicáveis.
ASSISTÊNCIA AO CONTROLADOR
Direitos do titular dos dados
Os controladores de dados podem usar os recursos de serviços e consoles administrativos do Google Workspace e do Google Cloud para ajudar a acessar, retificar, restringir o processamento ou excluir dados que eles e os usuários deles nossos sistemas. Essa funcionalidade os ajudará a cumprir as obrigações de responder às solicitações dos titulares dos dados para exercer direitos no âmbito do GDPR.
Equipe de proteção de dados
O Google designou um DPO para a Google LLC e suas subsidiárias para cuidar do processamento de dados sujeitos ao GDPR, incluindo como parte de nossos produtos e serviços do Cloud. Kristie Chon Flynn é o oficial de proteção de dados do Google. Kristie Chon Flynn trabalha em Sunnyvale nos EUA.
Quando necessário, os produtos do Google Cloud têm equipes dedicadas para tratar das dúvidas dos clientes em relação à proteção de dados. Consulte o contato em questão para saber como falar com essas equipes. Para o Google Workspace, os administradores do cliente podem entrar em contato com a equipe de proteção de dados do Google Cloud pela página https://support.google.com/a/contact/googlecloud_dpr (quando os administradores estiverem conectados à conta de administrador) e/ou enviar uma notificação ao Google, conforme descrito no contrato aplicável. No caso do Google Cloud, é possível entrar em contato com a equipe pela página https://support.google.com/cloud/contact/dpo.
Notificações de incidentes
O Google Workspace e o Google Cloud apresentaram compromissos contratuais relacionados à notificação de incidentes por muitos anos. Você vai continuar recebendo notificações imediatas sobre incidentes que envolvam seus dados de cliente junto com os termos sobre incidentes de dados em nossos contratos atuais.
TRANSFERÊNCIAS DE DADOS INTERNACIONAIS
O GDPR estipula vários mecanismos para facilitar transferências de dados pessoais para fora da UE. O objetivo desses mecanismos é confirmar um nível de proteção adequado ou garantir a implementação de salvaguardas apropriadas na transferência de dados pessoais para outro país.
Um nível apropriado de proteção pode ser confirmado por decisões de adequação, como as que adotam a Lei de Proteção de Informações Pessoais (APPI, na sigla em inglês) japonesa e a Lei de Proteção de Dados da Suíça.
Onde os dados pessoais forem transferidos fora da UE para países não incluídos nas decisões de adequação, nós nos comprometemos, com nossos contratos de processamento de dados, a manter um mecanismo que facilite essas transferências conforme exigido pelo GDPR. Em 2017, recebemos confirmação de compliance das autoridades de proteção de dados europeias das nossas cláusulas contratuais padrão, confirmando que nossos compromissos contratuais com o Google Workspace e o Google Cloud cumpriam os requisitos para transferir legalmente transferências de dados pessoais da UE para países terceiros que não fornecem proteção adequada.
PADRÕES E CERTIFICAÇÕES
Os clientes e reguladores esperam uma verificação independente dos controles de segurança, privacidade e compliance. Para garantir isso, o Google Workspace e o Google Cloud passam regularmente por diversas auditorias independentes de terceiros.
ISO/IEC 27001 (Gerenciamento de segurança da informação)
ISO/IEC 27001 é um dos padrões de segurança independentes mais aceitos e reconhecidos internacionalmente. O Google recebeu a certificação ISO/IEC 27001 para sistemas, aplicativos, pessoas, tecnologia, processos e data centers que compõem nossa infraestrutura comum compartilhada, bem como para os produtos Google Workspace e Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de compliance.
ISO/IEC 27017 (Segurança na nuvem)
O ISO/IEC 27017 é um padrão de prática internacional para controles de segurança da informação baseado no ISO/IEC 27002 especificamente para serviços de nuvem. O Google foi certificado pelo compliance com a ISO/IEC 27017 para o Google Workspace e o Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de compliance.
ISO/IEC 27018 (Privacidade na nuvem)
ISO/IEC 27018 é um padrão internacional para a prática da proteção das informações de identificação pessoal (PII) em serviços de nuvem pública. O Google recebeu a certificação de compliance com o ISO/IEC 27018 para o Google Workspace e o Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de compliance.
ISO/IEC 27701 (Gerenciamento de informações de privacidade)
A ISO/IEC 27701 é uma norma de privacidade internacional que se concentra na coleta e no processamento de informações de identificação pessoal (PII). Essa norma amplia os requisitos da ISO/IEC 27001 e da ISO/IEC 27002 para incluir a privacidade de dados. Recebemos a certificação acreditada pela ISO/IEC 27701 como um processador de PII para o Google Workspace e o Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de compliance.
SSAE18/ISAE 3402 (SOC 2/3)
O modelo de auditoria dos controles de organização de serviço (SOC 2, na sigla em inglês) e SOC 3 do Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês) define princípios de confiabilidade e critérios de segurança, disponibilidade, integridade de processamento e confidencialidade. O Google tem os relatórios SOC 2 e SOC 3 para o Google Workspace e o Google Cloud. Esses certificados podem ser acessados usando o Gerenciador de relatórios de compliance.
Como avaliar o Google Cloud com base no Artigo 28
O Artigo 28 do GDPR estabelece os requisitos de um processador de dados que processa dados em nome do controlador de dados. Veja como nossos termos refletem esses requisitos.
Uso de subprocessadores
Google Cloud – Termos de Segurança e Processamento de Dados (DPST, na sigla em inglês)
Definições | Seção 2.1
Segurança de dados | Seção 7.1.2
Segurança de dados | Seção 7.3.1 (b)
Transferências de dados | Seção 10.1
Subprocessadores | Seção 11
Terceiros beneficiários | Seção 14
Google Cloud – Cláusulas contratuais padrão da UE (SCC)
SCCs (controlador para processador da UE) | Anexo II, Anexo III
SCCs (processador para controlador da UE) | N/A
SCCs (processador para processador da UE) | Anexo II, Anexo III
SCCs (processador para processador da UE, Exportador do Google) | Anexo II, Anexo III
SCCs (controlador para processador do Reino Unido) | Cláusula 1, Cláusula 3.3, Cláusula 4 (g) e (i), Cláusula 5 (i) e (j), Cláusula 6, Cláusula 8, Cláusula 11, Cláusula 12, Apêndice 1, Apêndice 2.5
Conteúdo relacionado: Subprocessadores do Google Cloud
GOOGLE WORKSPACE – Termos de Processamento de Dados
Definições | Seção 2.1
Segurança de dados | Seção 7.1.2
Segurança de dados | Seção 7.3.1 (b)
Transferências de dados | Seção 10.1
Subprocessadores | Seção 11
Terceiros beneficiários | Seção 14
Medidas de segurança | Apêndice 2.1 a 2.5
GOOGLE WORKSPACE – cláusulas contratuais padrão da UE (SCC)
SCCs (controlador para processador da UE) | Anexo II, Anexo III
SCCs (processador para controlador da UE) | N/A
SCCs (processador para processador da UE) | Anexo II, Anexo III
SCCs (processador para processador da UE, Exportador do Google) | Anexo II, Anexo III
SCCs (controlador para processador do Reino Unido) | Cláusula 1, Cláusula 3.3, Cláusula 4 (g) e (i), Cláusula 5 (i) e (j), Cláusula 6, Cláusula 8, Cláusula 11, Cláusula 12, Apêndice 1, Apêndice 2.5
Conteúdo relacionado: Contrato de subprocessadores do Google Workspace
Contrato geral por escrito
Google Cloud – Termos de Segurança e Processamento de Dados (DPST)
Termos de segurança e processamento de dados na íntegra
GOOGLE WORKSPACE – Termos de Processamento de Dados
Termos de processamento de dados na íntegra
Processamento sob instruções documentadas
Google Cloud – Termos de Segurança e Processamento de Dados (DPST)
Processamento de dados | Seção 5.2
Google Cloud – Cláusulas contratuais padrão da UE (SCC)
GOOGLE WORKSPACE – Termos de Processamento de Dados
Seção 5.2 | Processamento de dados
GOOGLE WORKSPACE – cláusulas contratuais padrão da UE (SCC)
Cláusula 5 (a) e (b) | Obrigações do importador de dados
Processamento sob obrigações de confidencialidade
Google Cloud – Termos de Serviço do Google Cloud
Informações confidenciais |Seção 7
Google Cloud – Termos de Segurança e Processamento de Dados (DPST)
Segurança de dados | Seção 7.1.2
Segurança de dados | Seção 7.5.3
Segurança da equipe | Apêndice 2.4
Google Cloud – Cláusulas contratuais padrão da UE (SCC)
Obrigações do importador de dados | Cláusula 5
GOOGLE WORKSPACE – Contrato do Google Workspace
Informações confidenciais | Seção 6
GOOGLE WORKSPACE – Termos de Processamento de Dados
Segurança de dados | Seção 7.1.2
Segurança de dados | Seção 7.5.3
Segurança da equipe | Apêndice 2.4
GOOGLE WORKSPACE – cláusulas contratuais padrão da UE (SCC)
Medidas de segurança
Google Cloud – Termos de Segurança e Processamento de Dados (DPST)
Segurança de dados | Seção 7
Medidas de segurança | Apêndice 2
Google Cloud – Cláusulas contratuais padrão da UE (SCC)
GOOGLE WORKSPACE – Termos de Processamento de Dados
Segurança de dados | Seção 7
Medidas de segurança | Apêndice 2
GOOGLE WORKSPACE – cláusulas contratuais padrão da UE (SCC)
Conteúdo relacionadoArtigo sobre segurança e compliance do Google Cloud
Assistência ao controlador de dados
Exclusão de dados e retorno de dados
Google Cloud – Termos de Segurança e Processamento de Dados (DPST)
Exclusão de dados | Seção 6
Direitos do Titular dos Dados Exportação de dados | Seção 9.1
Google Cloud – Cláusulas contratuais padrão da UE (SCC)
GOOGLE WORKSPACE – Termos de Processamento de Dados
Exclusão de dados |Seção 6
Direitos do Titular dos Dados Exportação de dados | Seção 9.1
GOOGLE WORKSPACE – Cláusulas contratuais padrão (SCC) da UE
Demonstrar compliance
Google Cloud – Termos de Segurança e Processamento de Dados (DPST)
Segurança de dados | Seção 7.4
Conteúdo relacionado: Compliance do Google Cloud
GOOGLE WORKSPACE – Termos de Processamento de Dados
Segurança de dados | Seção 7.4
Conteúdo relacionado: Compliance do Google Cloud
Artigos relevantes
Leia nossos artigos relevantes para clientes do Google Cloud sujeitos ao GDPR
Perguntas frequentes
Respostas para perguntas frequentes sobre o Google Cloud e o GDPR
O GDPR exige o armazenamento de dados pessoais na UE?
Não. Assim como a Diretiva 95/46/EC sobre proteção de dados (em inglês), o GDPR estabelece determinadas condições para a transferência de dados pessoais fora da UE. Tais condições podem ser atendidas por meio de mecanismos como cláusulas contratuais padrão.
Como seus termos refletem os requisitos do GDPR?
Por muitos anos, o Google Cloud ofereceu termos de processamento de dados que expressam claramente nosso compromisso de privacidade e segurança com os clientes. Esses termos foram desenvolvidos para refletir o GDPR. Nossos termos atualizados com o GDPR refletem especialmente as disposições do Artigo 28 do GDPR que regem o uso de um processador de dados por um controlador de dados.
O GDPR concede aos clientes o direito de auditar o Google Cloud?
De acordo com o GDPR, é necessário que os contratos entre os controladores e os processadores de dados concedam direitos de auditoria aos controladores. Nossos contratos atualizados de processamento de dados incluem direitos de auditoria para benefício dos clientes sujeitos ao GDPR.
Qual o papel dos relatórios ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 e SOC 2/3 elaborados por terceiros em compliance com o GDPR?
Nossas certificações ISO/IEC e relatórios de auditoria SOC 2/3 de terceiros podem ajudar os clientes a conduzir avaliações de risco e determinar se as devidas medidas técnicas e organizacionais foram adotadas. Nossa certificação ISO/IEC 27701 oferece maior clareza em relação às responsabilidades e aos papéis relacionados à privacidade, o que pode facilitar os esforços de compliance com as regulamentações de privacidade, incluindo o GDPR.
Como o Google Cloud oferece suporte a transferências de dados internacionais na nuvem?
O GDPR estipula vários mecanismos para facilitar transferências de dados pessoais para fora da UE. O objetivo desses mecanismos é confirmar um nível de proteção adequado ou garantir a implementação de salvaguardas apropriadas na transferência de dados pessoais para outro país.
Um nível apropriado de proteção pode ser confirmado por decisões de adequação, como as que adotam a Lei de Proteção de Informações Pessoais (APPI, na sigla em inglês) japonesa e a Lei de Proteção de Dados da Suíça.
Onde os dados pessoais forem transferidos fora da UE para países não incluídos nas decisões de adequação, nós nos comprometemos, com nossos contratos de processamento de dados, a manter um mecanismo que facilite essas transferências conforme exigido pelo GDPR. Em 2017, recebemos confirmação de compliance das autoridades de proteção de dados europeias das nossas cláusulas contratuais padrão, confirmando que nossos compromissos contratuais com o Google Workspace e o Google Cloud cumpriam os requisitos legais para Transferências de dados pessoais da UE para os terceiros países que não oferecem proteção adequada.
Agora que o Privacy Shield (Escudo de Proteção da Privacidade) foi invalidado, eu ainda posso usar o Google Cloud e atender aos requisitos do GDPR caso eu precise lidar com dados pessoais da UE?
Embora o Google continue a analisar o impacto do caso C-311/18 do Tribunal de Justiça da União Europeia (TJUE), uma coisa continua igual: o Google vai tomar as medidas corretas para garantir a manutenção de um alto nível de proteção de privacidade para cidadãos da UE.
O Google Cloud oferece cláusulas contratuais padrão (SCCs) aos nossos clientes, que serão consideradas aplicáveis automaticamente na ausência de qualquer solução de transferência alternativa disponibilizada pelo Google. Independentemente da localização dos dados, a proteção de dados continua sendo prioridade para o Google. Consulte o artigo sobre proteções para transferências de dados internacionais com o Google Cloud para mais informações.
Temos a certificação de normas internacionais reconhecidas, como ISO/IEC 27001, ISO/IEC 27018 e ISO/IEC 27017. Veja uma lista completa das ofertas de compliance do Google na Central de recursos de compliance.
Quais outras informações e recursos o Google forneceu a respeito do GDPR?
Consulte a Central de recursos de privacidade do Google Cloud e o site Empresas e dados do Google.
Onde posso encontrar outros recursos europeus de privacidade?
Consulte nossas ofertas de compliance europeia e a Central de recursos de privacidade do Cloud.
Exoneração de responsabilidade: o presente conteúdo está correto a partir de agosto de 2021 e representa o cenário corrente no momento em que foi escrito. Os sistemas e as políticas de segurança do Google podem mudar no futuro, à medida que a proteção dos clientes é aprimorada. Ao falar do Google Workspace, também falamos do Google Workspace for Education. Nos próximos meses, o Google Workspace também estará disponível para os clientes de instituições educacionais e para organizações sem fins lucrativos.
Vá além
Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.
Vá além
Inicie seu próximo projeto, veja tutoriais interativos e gerencie sua conta.
-
Precisa de ajuda para começar?Fale com a equipe de vendas
-
Trabalhe com um parceiro confiávelEncontre um parceiro
-
Continue navegandoVeja todos os produtos
-
Precisa de ajuda para começar?Fale com a equipe de vendas
-
Trabalhe com um parceiro confiávelEncontre um parceiro
-
Veja dicas e práticas recomendadasConsulte os tutoriais