Cumplimiento

Estamos orgullosos de cumplir con normativas de distintos lugares del mundo y de diferentes sectores como la sanidad y la educación. Puedes usar nuestros servicios con la confianza de que Google te proporciona las herramientas y las medidas de control que necesitas para satisfacer tus requisitos de cumplimiento.

Para responder a algunas de las muchas preguntas que recibimos, hemos creado esta sección de preguntas frecuentes y un sitio web de seguridad de G Suite complementario. Esperamos que te ayuden a resolver las dudas que puedas tener acerca de la postura de Google en estas cuestiones de suma importancia. No olvides acceder a la página Privacidad y Condiciones para consultar información acerca de la privacidad de los usuarios finales y obtener herramientas a este respecto.

Si quieres ponerte en contacto con nuestro equipo para denunciar un uso inadecuado, en este artículo encontrarás información sobre cómo hacerlo. 

¿Cómo puedo verificar la seguridad de G Suite y Google Cloud Platform?

Los clientes de Google y los responsables de normativas asumen que nuestros controles de seguridad, privacidad y cumplimiento se verifican de manera independiente. Para demostrarlo, Google se somete a diversas auditorías de terceros de forma periódica. Esto significa que un auditor independiente ha examinado los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. Las soluciones de Google se someten a auditorías periódicas para comprobar que se cumplen los siguientes estándares:

¿Puedo obtener una copia de estos certificados e informes de auditoría? ¿Dónde puedo descargar el informe de auditoría SOC3? ¿Dónde puedo consultar el certificado ISO 27001 de Google?

Los informes SOC3 demuestran que nuestros controles han sido examinados por un contable independiente. Se trata de un informe profesional en el que se evalúa si las declaraciones de la dirección de la entidad empresarial en la que se confía se ajustan a los principios y criterios de los servicios de confianza aplicables. Consulta los informes SOC3 de G Suite y SOC3 de Google Cloud Platform.

Los certificados ISO 27001 de Google Cloud Platform e ISO 27001 de G Suite demuestran el alcance funcional de la norma ISO/IEC 27001:2013, que engloba las ofertas G Suite (y G Suite para Centros Educativos), Google Cloud Platform, Google Plus, Google Now, Google Analytics y Analytics Premium, así como los datos que estas ofertas y las instalaciones especificadas contienen o recogen.

¿Cómo cumple Google los requisitos de protección de datos de Europa?

Google cuenta con una amplia cartera de clientes en Europa. Más del 50 % de nuestros clientes empresariales están ubicados fuera de Estados Unidos. Google proporciona capacidades y compromisos contractuales elaborados para cumplir con las recomendaciones sobre la protección de datos del Grupo de Trabajo del Artículo 29. Google permite adherirse a las Cláusulas Contractuales Tipo de la UE, así como a una Adenda sobre Tratamiento de Datos de G Suite y a una Adenda sobre Tratamiento de Datos de Google Cloud Platform. 

Para aceptar nuestra Adenda sobre Tratamiento de Datos, sigue estas instrucciones:

Inicia sesión en la consola de administración. Haz clic en Perfil de empresa > Perfil.

En la sección Condiciones adicionales de seguridad y privacidad, junto a Adenda sobre Tratamiento de Datos, haz clic en Revisar y aceptar. Haz clic en Acepto.

Junto a Cláusulas Contractuales Tipo de la UE, haz clic en Revisar y aceptar. Haz clic en Acepto.

Nuestras prácticas de protección de datos se someten a auditorías independientes por parte de terceros y también tenemos la certificación ISO 27001. Asimismo, nuestras prácticas de privacidad y nuestros compromisos contractuales se someten a un proceso para comprobar que cumplen con la normativa ISO/IEC 27018:2014. Además, nuestros clientes tienen varias opciones para cumplir con las normativas de protección de datos de la UE.

¿Las leyes de protección de datos de la UE no obligan a que los datos personales se almacenen en la UE o en el Espacio Económico Europeo (EEE)?

La Directiva sobre Protección de Datos de la Comisión Europea, aprobada por la Unión Europea en 1995, es una normativa importante sobre la privacidad de la información. Esta directiva restringe el movimiento de los datos de la UE a países externos que no cumplan el estándar de "adecuación" de la UE en lo que se refiere a la protección de la privacidad. Tratar datos personales estrictamente dentro de la UE es una forma de cumplir con esta directiva. Sin embargo, hay otras opciones de cumplimiento con las que no es necesario que los datos se ubiquen en la UE. Por ejemplo, pueden utilizarse cláusulas contractuales tipo aprobadas por la Comisión Europea.

¿Qué requisitos impone el Gobierno de EE. UU.? Si los datos se almacenan fuera de EE. UU., ¿significa que no están sujetos a las solicitudes gubernamentales de información por parte del Gobierno de EE. UU.?

Almacenar tus datos en un país determinado no significa necesariamente que Gobiernos de otros países no puedan acceder a ellos. Que los datos estén ubicados en una jurisdicción no significa que otra no pueda obligar a que se revelen. Además, ha habido denuncias acerca de Gobiernos que han intentado pinchar las líneas de cable entre los centros de datos y diferentes ubicaciones en todo el mundo. Por ese motivo, en Google abogamos por una reforma de la ley de vigilancia. Nos negamos a facilitar a los Gobiernos acceso a nuestros sistemas, así como a proporcionarles equipos con los que puedan acceder a los datos de los usuarios. Para obtener más información sobre cómo se gestionan las solicitudes gubernamentales de datos, consulta el Informe de transparencia de Google.

¿Dónde almacena Google mis datos?

Los datos se almacenan en la red de centros de datos de Google. Google cuenta con varios centros de datos repartidos por distintas zonas geográficas. Los clústeres de equipos de Google se han diseñado para ofrecer la máxima resistencia y redundancia, así como para eliminar puntos únicos de fallo y minimizar las posibles consecuencias de los errores más habituales que pueden darse en los equipos y de los riesgos medioambientales.

¿Puedo almacenar datos de atención sanitaria en los sistemas de Google?

Con G Suite, nuestros clientes cumplen con la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA) de 1996. Los clientes que estén sujetos a esta ley y quieran utilizar G Suite para tratar información médica protegida deben firmar un contrato de colaboración empresarial con Google. Los administradores de organizaciones que usen G Suite, G Suite para Centros Educativos y G Suite para Administraciones Públicas pueden solicitar un contrato de colaboración empresarial antes de utilizar los servicios de Google para tratar información médica protegida. Google ofrece un contrato de colaboración empresarial que abarca los servicios de Gmail, Google Calendar, Google Drive y Google Vault. Los clientes de Google Cloud Platform pueden obtener contratos de colaboración empresarial de Compute Engine, Cloud Storage, Cloud SQL y BigQuery.

¿Cumplen los productos de Google los requisitos de privacidad necesarios para que los utilicen estudiantes y menores de edad?

Más de 40 millones de estudiantes confían en G Suite para Centros Educativos. Este servicio cumple con la ley de privacidad y derechos educativos de la familia (Family Educational Rights and Privacy Act, FERPA) de EE. UU., y nuestro compromiso con este cumplimiento se incluye en los contratos. Por contrato, requerimos a las instituciones que utilizan G Suite para Centros Educativos que obtengan el consentimiento de los padres para poder utilizar nuestro servicio de conformidad con la ley de protección de la privacidad infantil online (Children’s Online Privacy Protection Act, COPPA) de EE. UU., de forma que estos centros se ajusten a los requisitos establecidos en dicha ley.

¿Pueden usar Google las administraciones públicas de EE. UU.?

La ley federal de protección de la información (Federal Information Security Management Act, FISMA) de EE. UU., en vigor desde el 2002, regula la protección de datos de los sistemas de información de los organismos federales y se aplica a cualquier sistema de información que usen u operen organismos federales estadounidenses, o bien contratistas u otras organizaciones en nombre del Gobierno. 

El programa federal de gestión de autorizaciones y riesgo (Federal Risk and Authorization Management Program, FedRAMP) de EE. UU. implementa la ley FISMA en los organismos federales estadounidenses que usan servicios de cloud computing. FedRAMP es el estándar de cumplimiento de seguridad en la nube que los organismos federales exigen.

G Suite, G Suite para Centros Educativos, G Suite para Organizaciones sin Ánimo de Lucro, G Suite para Administraciones Públicas y Google App Engine han recibido una autorización para operar conforme a FedRAMP en el nivel de impacto moderado FIPS 199, el nivel estándar de información controlada no clasificada.

Mi organización gestiona datos de tarjetas de pago y está sujeta a la normativa PCI DSS. ¿Qué herramientas ofrece Google para ayudarme a seguir cumpliendo este estándar?

La normativa de seguridad de datos del sector de las tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS) es un conjunto de políticas y requisitos técnicos definidos para sistemas que almacenan o procesan información de tarjetas de pago. Google Cloud Platform se ha sometido a un examen por parte de un asesor de seguridad cualificado (Qualified Security Assessor, QSA), que ha concluido que esta aplicación cumple con la normativa de seguridad de datos (Data Security Standards, DSS) del sector de las tarjetas de pago (Payment Card Industry, PCI). Con el informe sobre cumplimiento elaborado por este asesor de seguridad cualificado, Google confirma que los desarrolladores de aplicaciones pueden usar esta plataforma para crear y ejecutar sus propias soluciones seguras y en cumplimiento con la normativa. G Suite no se ha diseñado para procesar ni para almacenar transacciones de tarjetas de crédito. Por lo tanto, los clientes pueden configurar sistemas de control para impedir que se envíen desde G Suite correos electrónicos que contengan datos de tarjetas de crédito. Esta medida ayuda a que nuestros clientes sigan cumpliendo con el estándar PCI DSS. 

¿Qué herramientas de descubrimiento electrónico puede usar mi organización para satisfacer los requisitos legales y de cumplimiento?

Google Vault es un complemento para G Suite que te permite conservar, archivar, buscar y exportar los correos electrónicos de tu organización para cumplir los requisitos de cumplimiento y de descubrimiento electrónico. Vault es un servicio totalmente basado en la Web, por lo que no es necesario instalar ni mantener ningún software. Con Vault, puedes:

¿Puedo usar los servicios de Google con datos controlados por las normativas sobre el tráfico internacional de armas (International Traffic in Arms Regulation, ITAR)?

ITAR es un conjunto de normativas del Gobierno de EE. UU. que regula la exportación e importación de aquellos artículos y servicios relacionados con la defensa que están incluidos en la lista de municiones de Estados Unidos (United States Munitions List, USML). Google no admite el uso de sus servicios con datos controlados por las normativas ITAR.

¿Cómo cumplen los servicios en la nube de Google con el Reglamento General de Protección de Datos (RGPD) de la UE?

El Reglamento General de Protección de Datos de la UE sustituye a la Directiva sobre Protección de Datos de la UE de 1995. El RGPD refuerza los derechos que los individuos tienen sobre sus datos personales y su objetivo es unificar las leyes de protección de datos en toda la Unión Europea, independientemente de dónde se traten dichos datos.

Puedes confiar en que Google se compromete a cumplir el RGPD en los servicios G Suite y Google Cloud Platform. También nos comprometemos a ayudar a nuestros clientes a cumplir el RGPD proporcionándoles las sólidas medidas de protección de privacidad y seguridad que hemos integrado en nuestros servicios y contratos a lo largo de los años.

Entre otros aspectos, los responsables del tratamiento de datos tienen la obligación de utilizar únicamente encargados del tratamiento de datos que proporcionen garantías suficientes para implementar las medidas técnicas y organizativas que crean apropiadas de modo que el tratamiento de los datos cumpla los requisitos del RGPD.

Las Condiciones del Tratamiento de los Datos de G Suite y Google Cloud Platform reflejan claramente nuestro compromiso con la privacidad de los clientes. Hemos desarrollado estas condiciones a lo largo de los años basándonos en las sugerencias de nuestros clientes y los organismos reguladores, y las hemos actualizado para reflejar específicamente los cambios del RGPD.

Para obtener más información, visita nuestro sitio web sobre el RGPD.

¿Cuál es la diferencia entre G Suite y las versiones para consumidores de sus aplicaciones?

Google ofrece los servicios de G Suite a organizaciones de acuerdo con las condiciones de servicio de G Suite y la Adenda sobre Tratamiento de Datos. En cambio, las aplicaciones para consumidores se ofrecen a los usuarios finales de acuerdo con las condiciones del servicio y la política de privacidad de Google. Las aplicaciones de G Suite y las versiones para consumidores de estas aplicaciones comparten un gran número de funciones. No obstante, en los servicios de G Suite hay ajustes con los que los administradores de una organización pueden controlar la configuración de seguridad y privacidad de las aplicaciones de su organización.

¿Ofrece Google la Adenda sobre Tratamiento de Datos de G Suite en las versiones para consumidores de las aplicaciones de este servicio?

No, solo ofrecemos las Condiciones de Tratamiento de los Datos de G Suite, como la Adenda sobre Tratamiento de Datos y las cláusulas contractuales tipo, a los clientes que usan G Suite. Las versiones para consumidores de las aplicaciones de G Suite se ofrecen de acuerdo con las condiciones del servicio y la política de privacidad de Google.

Ponte en contacto con tu asesor legal para conocer tus obligaciones sobre privacidad y protección de datos y determinar qué modelo se ajusta más a tus necesidades de cumplimiento.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?