Cumplimiento

Estamos orgullosos de poder decir que cumplimos con normativas de distintos lugares del mundo y de diferentes sectores como la sanidad y la educación. Puedes usar nuestros servicios con la garantía de que Google te proporciona las herramientas y las medidas de control que necesitas para satisfacer tus requisitos de cumplimiento.

Para responder a algunas de las muchas preguntas que recibimos, hemos creado esta sección de preguntas frecuentes y un sitio web de seguridad de G Suite complementario. Esperamos que te ayuden a resolver las dudas que puedas tener acerca de la postura de Google en estas cuestiones de suma importancia. No olvides acceder a la página Privacidad y Condiciones para consultar las herramientas y la información relativas a la privacidad de los usuarios finales.

Si quieres denunciar un uso inadecuado a nuestro equipo, en este artículo encontrarás más información sobre cómo debes hacerlo. 

¿Cómo puedo verificar la seguridad de G Suite y Google Cloud Platform?

Los clientes de Google y los responsables de normativas cuentan con que nuestros controles de seguridad, privacidad y cumplimiento se verifican de manera independiente. Para garantizarlo, Google se somete a diversas auditorías de terceros de forma periódica. Esto significa que un auditor independiente ha examinado los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. Las soluciones de Google se someten a auditorías periódicas para comprobar que se cumplen los siguientes estándares:

  • SOC1 (SSAE-16/ISAE-3402): G Suite, Google Compute Engine, Google Cloud Storage y Google App Engine
  • SOC2: G Suite, Google Compute Engine, Google Cloud Storage y Google App Engine
  • SOC3: G Suite, Google Compute Engine, Google Cloud Storage y Google App Engine
  • ISO27001: G Suite y Google Cloud Platform
  • ISO27017: G Suite y Google Cloud Platform
  • ISO27018: G Suite y Google Cloud Platform
  • HIPAA: G Suite, Google Compute Engine, Google Cloud Storage, Google Big Query y Google Cloud SQL
  • FISMA: Google App Engine y G Suite
  • FedRAMP: Google App Engine y G Suite
¿Puedo obtener una copia de estos certificados e informes de auditoría? ¿Dónde puedo descargar el informe de auditoría SOC3? ¿Dónde puedo consultar el certificado ISO27001 de Google?

El informe SOC3 demuestra que nuestros controles han sido examinados por una agencia independiente. Se trata de un informe profesional en el que se evalúa si las declaraciones de la dirección de la entidad empresarial en la que se confía se ajustan a los Principios y Criterios de los Servicios de Confianza aplicables. El informe de auditoría SOC3 completo también se puede descargar. El estándar ISO27001 examina los servicios cubiertos por la certificación ISO/IEC 27001:2005, que abarca las ofertas de G Suite (y G Suite para Centros Educativos), Google Cloud Platform, Google Plus, Google Now, Google Analytics y Analytics Premium, así como los datos que estas ofertas y las instalaciones indicadas contienen o recopilan.

¿Cómo cumple Google los requisitos de protección de datos de Europa?

Google cuenta con una amplia cartera de clientes en Europa. Más del 50 % de nuestros clientes empresariales están ubicados fuera de Estados Unidos. Google proporciona capacidades y compromisos contractuales que permiten cumplir con las recomendaciones para la protección de datos del Grupo de Trabajo del Artículo 29. Google permite adherirse a las cláusulas del contrato modelo de la UE y a una Adenda sobre Tratamiento de Datos.

Para habilitar nuestra Adenda sobre Tratamiento de Datos, sigue estas instrucciones:

Inicia sesión en la consola de administración. Haz clic en Perfil de empresa > Perfil.

En la sección Condiciones adicionales de seguridad y privacidad, junto a Adenda sobre Tratamiento de Datos, haz clic en Revisar y aceptar. Haz clic en Acepto.

Junto a Cláusulas del Contrato Modelo de la UE, haz clic en Revisar y aceptar. Haz clic en Acepto.

Nuestras prácticas de protección de datos se someten a auditorías independientes por parte de terceros y también disponemos de nuestra certificación ISO 27001. Asimismo, nuestras prácticas de privacidad y nuestros compromisos contractuales se someten a un proceso para comprobar que cumplen con ISO/IEC 27018:2014. Además de lo anterior, nuestros clientes tienen varias opciones para cumplir con las normativas de protección de datos de la UE.

¿Las leyes de protección de datos de la UE no obligan a que los datos personales se almacenen en la UE o en el Espacio Económico Europeo (EEE)?

La directiva sobre protección de datos de la Comisión Europea es una normativa importante sobre la privacidad de la información aprobada por la Unión Europea en 1995. Esta directiva restringe el movimiento de los datos de la UE a países externos que no cumplan el estándar de "adecuación" de la UE para la protección de la privacidad. Realizar el tratamiento de los datos personales estrictamente dentro de la UE es una forma de cumplir con esta directiva. Sin embargo, hay otras opciones de cumplimiento para las que no es necesario que los datos se ubiquen en la UE como, por ejemplo, utilizar las cláusulas del contrato modelo aprobadas por la Comisión Europea.

¿Cuáles son los requisitos que establece el Gobierno de EE. UU.? Si los datos se almacenan fuera de EE. UU., ¿significa que estos no están sujetos a las solicitudes gubernamentales de información por parte del Gobierno de EE. UU.?

Almacenar tus datos en un país determinado no los protege necesariamente del acceso a los mismos por parte de los Gobiernos de otros países. La ubicación de los datos en una jurisdicción no significa que otra no pueda obligar a que se revelen. Además, existen denuncias de intentos de algunos Gobiernos de pinchar las líneas de cable entre los centros de datos y diferentes ubicaciones en todo el mundo. Por ese motivo, en Google abogamos por una reforma de la ley de vigilancia. Nos negamos a facilitar que los Gobiernos accedan a nuestros sistemas o instalen equipos que les permitan consultar los datos de los usuarios. Para obtener más información sobre cómo se gestionan las solicitudes gubernamentales de datos, consulta el Informe de transparencia de Google.

¿Dónde almacena Google mis datos?

Los datos se almacenan en la red de centros de datos de Google. Google cuenta con varios centros de datos repartidos por distintas zonas geográficas. Los clústeres de equipos de Google se han diseñado para ofrecer la máxima resistencia y redundancia, así como eliminar los puntos únicos de fallo y minimizar las posibles consecuencias de los errores más habituales de los equipos y los riesgos medioambientales.

¿Puedo almacenar datos de atención sanitaria en los sistemas de Google?

Con G Suite, nuestros clientes cumplen con la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA) de 1996. Los clientes que estén sujetos a esta ley y quieran utilizar G Suite para tratar información sanitaria protegida deben firmar un contrato de colaboración empresarial con Google. Los administradores de dominios de G Suite, G Suite para Centros Educativos y G Suite para Administraciones Públicas pueden solicitar un contrato de colaboración empresarial antes de utilizar los servicios de Google para tratar información sanitaria protegida. El contrato que ofrece Google abarca estos servicios: Gmail, Google Calendar, Google Drive y Google Vault. Los clientes de Google Cloud Platform pueden recibir un contrato de colaboración empresarial para Compute Engine, Cloud Storage, Cloud SQL y BigQuery.

¿Cumplen los productos de Google los requisitos de privacidad necesarios para estudiantes y menores de edad?

Más de 40 millones de estudiantes confían en G Suite para Centros Educativos. Este servicio cumple con la ley de privacidad y derechos educativos de la familia (Family Educational Rights and Privacy Act, FERPA) de EE. UU., y nuestro compromiso con este cumplimiento se incluye en los contratos. Por contrato, requerimos a los centros educativos que utilizan G Suite para Centros Educativos que obtengan el consentimiento de los padres para poder utilizar nuestro servicio de conformidad con la ley de protección de la privacidad infantil online (Children’s Online Privacy Protection Act, COPPA) de EE. UU., de forma que estos centros se ajusten a los requisitos establecidos en dicha ley.

¿Pueden usar Google las administraciones públicas de EE. UU.?

La ley federal de protección de la información (Federal Information Security Management Act, FISMA) de EE. UU. del 2002 regula la protección de datos de los sistemas de información de los organismos federales y se aplica a cualquier sistema de información que usen u operen organismos federales estadounidenses, o bien contratistas u otras organizaciones en nombre del Gobierno. 

El programa federal de gestión de autorizaciones y riesgo (Federal Risk and Authorization Management Program, FedRAMP) de EE. UU. implementa la ley FISMA en los organismos federales estadounidenses que usan servicios de cloud computing. FedRAMP es el estándar de cumplimiento de seguridad en la nube que los organismos federales exigen.

G Suite, incluidos G Suite para Centros Educativos, G Suite para Organizaciones sin Ánimo de Lucro y G Suite para Administraciones Públicas, así como Google App Engine, han recibido la autorización para operar conforme a FedRAMP en el nivel de impacto moderado de FIPS 199, que es el nivel estándar del tratamiento de la información controlada no clasificada.

Mi organización gestiona datos de tarjetas de pago y está sujeta a la normativa PCI DSS. ¿Qué herramientas ofrece Google para ayudarme a seguir cumpliendo este estándar?

La normativa de seguridad de datos del sector de las tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS) es un conjunto de políticas y requisitos técnicos definidos para sistemas que almacenan o procesan información de tarjetas de pago. Google Cloud Platform se ha sometido a un examen por parte de un asesor de seguridad cualificado (Qualified Security Assessor, QSA), que ha concluido que esta aplicación cumple con la normativa de seguridad de datos (Data Security Standards, DSS) del sector de las tarjetas de pago (Payment Card Industry, PCI). Con el informe sobre cumplimiento elaborado por el asesor de seguridad cualificado, Google confirma que los desarrolladores de aplicaciones pueden usar esta plataforma para crear y ejecutar sus propias soluciones seguras y ajustadas a los estándares de seguridad. G Suite no está ideado para procesar ni almacenar transacciones de tarjetas de crédito. Por lo tanto, los clientes pueden configurar controles para impedir que se envíen desde G Suite correos electrónicos que contengan datos de tarjetas de crédito. Esta medida ayuda a que nuestros clientes sigan cumpliendo con el estándar PCI DSS. En Google Drive, se puede configurar Vault para realizar auditorías para asegurarse de que no se almacena información de tarjetas de crédito.

¿Qué herramientas de descubrimiento electrónico puede usar mi organización para satisfacer los requisitos legales y de cumplimiento?

Google Vault es un complemento para G Suite que te permite conservar, archivar, buscar y exportar los correos electrónicos de tu organización para cumplir los requisitos de descubrimiento electrónico y de cumplimiento. Vault es un servicio totalmente web, por lo que no es necesario instalar ni mantener ningún software. Con Vault, puedes:

¿Puedo usar los servicios de Google con datos controlados por las normativas sobre el tráfico internacional de armas (International Traffic in Arms Regulation, ITAR)?

ITAR es un conjunto de normativas del Gobierno de EE. UU. que regula la exportación e importación de los artículos y servicios relacionados con la defensa incluidos en la lista de municiones de Estados Unidos (United States Munitions List, USML). Google no admite el uso de sus servicios con datos controlados por las normativas ITAR.

¿Cómo cumplen los servicios en la nube de Google con el Reglamento general de protección de datos (RGPD) de la UE?

El Reglamento General de Protección de Datos de la UE sustituye a la Directiva de Protección de Datos de la UE de 1995. El RGPD refuerza los derechos de las personas respecto a los datos personales que les conciernen y pretende unificar las leyes de protección de datos en toda la Unión Europea, independientemente de dónde se traten dichos datos.

Puedes confiar en que Google se compromete a cumplir el RGPD en los servicios G Suite y Google Cloud Platform. También nos comprometemos a ayudar a que nuestros clientes cumplan el RGPD proporcionándoles las sólidas medidas de protección de la privacidad y la seguridad que hemos integrado en nuestros servicios y contratos a lo largo de los años.

Entre otras cosas, los responsables del tratamiento de datos tienen la obligación de utilizar únicamente encargados del tratamiento de datos que proporcionen garantías suficientes para implementar las medidas técnicas y organizativas que crean apropiadas de modo que el tratamiento de los datos cumpla los requisitos del RGPD.

Las condiciones del tratamiento de datos de G Suite y Google Cloud Platform reflejan claramente nuestro compromiso con la privacidad de los clientes. Hemos desarrollado estas condiciones a lo largo de los años basándonos en las sugerencias de nuestros clientes y los organismos reguladores, y las hemos actualizado para reflejar específicamente los cambios del RGPD.

Para obtener más información, visita nuestro sitio web sobre el RGPD.

¿Cuál es la diferencia entre G Suite y las versiones para consumidores de sus aplicaciones?

Google ofrece los servicios de G Suite a organizaciones de acuerdo con las condiciones de servicio de G Suite y la Adenda sobre Tratamiento de Datos. En cambio, las aplicaciones para consumidores se ofrecen a los usuarios finales de acuerdo con las condiciones de servicio y la política de privacidad de Google. Las aplicaciones de G Suite y las versiones para consumidores de dichas aplicaciones comparten un gran número de funciones. No obstante, en los servicios de G Suite hay ajustes con los que los administradores de un dominio pueden controlar la configuración de seguridad y privacidad de las aplicaciones de su dominio.

¿Ofrece Google la Adenda sobre Tratamiento de Datos de G Suite en las versiones para consumidores de las aplicaciones de este servicio?

No, solo ofrecemos las condiciones de tratamiento de datos de G Suite, como la Adenda sobre Tratamiento de datos y las cláusulas del contrato modelo, a los clientes que usan G Suite. Las versiones para consumidores de las aplicaciones de G Suite se ofrecen de acuerdo con las condiciones de servicio y la política de privacidad de Google.

Quizá te interese ponerte en contacto con tu asesor legal para conocer tus obligaciones sobre privacidad y protección de datos y consultar qué modelo se ajusta más a tus necesidades de cumplimiento.

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?