Cumplimiento

Los clientes de Google y los organismos reguladores cuentan con que nuestros controles de seguridad, privacidad y cumplimiento se verifiquen de manera independiente. Para cumplir con estas expectativas, Google se somete a diversas auditorías independientes de terceros de forma periódica. Durante este proceso, un auditor independiente examina los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. Las soluciones de Google se someten a auditorías periódicas para comprobar que se cumplen los siguientes estándares:

• SOC 1^™ (SSAE-18/ISAE-3402): Google Workspace y Google Cloud Platform
• SOC 2^™: Google Workspace y Google Cloud Platform 
• SOC 3^™: Google Workspace y Google Cloud Platform
• ISO 27001: Google Workspace y Google Cloud Platform
• ISO 27017: Google Workspace y Google Cloud Platform
• ISO 27018: Google Workspace y Google Cloud Platform
• ISO 27701: Google Workspace y Google Cloud Platform
• HIPAA: Google Workspace y Google Cloud Platform
• FedRAMP: Google Workspace y Google Cloud Platform

Los informes SOC 3 demuestran que un tercero independiente ha examinado nuestros controles. Se trata de informes profesionales en los que se evalúa si las declaraciones de la dirección de la entidad empresarial en la que se confía se ajustan a los principios y criterios de los servicios de confianza aplicables.

El certificado ISO 27001 sirve para indicar qué funciones cumplen el estándar ISO/CEI 27001:2013. Esta certificación engloba los productos de Google Workspace (y Google Workspace for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics y Analytics Premium, así como los datos que estos productos y las instalaciones especificadas contienen o recogen.

Puedes obtener una copia de estos informes de cumplimiento en la herramienta Administrador de informes de cumplimiento. Para ello, inicia sesión con tu cuenta. 

Google cuenta con una amplia cartera de clientes en Europa. Más del 50 % de nuestros clientes empresariales están ubicados fuera de Estados Unidos. Google proporciona funciones y compromisos contractuales elaborados para cumplir las leyes aplicables sobre protección de datos. Google ofrece la Adenda sobre Tratamiento de Datos de Cloud (CDPA) para Google Workspace y Google Cloud.

• Aceptar la CDPA para Google Workspace
• Aceptar la CDPA para Google Cloud

Además de nuestra certificación ISO 27001 y nuestras prácticas de protección de datos, que se someten a auditorías independientes por parte de terceros, así como de nuestras prácticas de privacidad y nuestros compromisos contractuales, que se someten a un proceso para verificar que cumplen el estándar ISO/IEC 27018:2014, ofrecemos a nuestros clientes varias opciones para cumplir los reglamentos de protección de datos de la UE.

El RGPD de la UE protege los datos personales de los residentes del Espacio Económico Europeo (EEE), y solo permite en determinadas circunstancias la transferencia de sus datos personales a países que no pertenezcan al EEE y que no se consideran que proporcionen medidas adecuadas para la protección de datos. El RGPD del Reino Unido y la ley federal suiza de protección de datos establecen restricciones similares. El uso de Cláusulas Contractuales Tipo aprobadas es una forma de cumplir estas restricciones.

Google Cloud incorpora estas Cláusulas Contractuales Tipo en la Adenda sobre Tratamiento de Datos de Cloud (CDPA) y en los DPST. En caso de que no haya una solución de transferencia alternativa, estas cláusulas protegen automáticamente los datos personales de los clientes en Europa, Oriente Medio y África (EMEA). Los clientes que no residan en EMEA deberán certificar en la consola de administración si están sujetos a la legislación europea de protección de datos para que se apliquen las Cláusulas Contractuales Tipo a sus datos en caso de que no haya una solución de transferencia alternativa.

Almacenar tus datos fuera de un país concreto no significa necesariamente que los gobiernos no puedan acceder a ellos, ya que los gobiernos pueden mantener la capacidad de forzar la divulgación de información fuera de sus fronteras. Por ese motivo, en Google abogamos por una reforma de la ley de vigilancia. Nosotros no facilitamos a los Gobiernos acceso a nuestros sistemas ni les permitimos que instalen equipos con los que puedan acceder a los datos de los usuarios. Para obtener más información sobre cómo se gestionan las solicitudes gubernamentales de datos, consulta el informe sobre protecciones en transferencias internacionales de datos con Google Cloud y el Informe de Transparencia de Google.

Los datos se almacenan en la red de centros de datos de Google. Google cuenta con varios centros de datos repartidos por distintas zonas geográficas. Los clústeres de equipos de Google se han diseñado para ofrecer la máxima resistencia y redundancia, así como para eliminar los puntos únicos de fallo y minimizar las posibles consecuencias de los errores más habituales de los equipos y los riesgos medioambientales.

Con Google Workspace, nuestros clientes pueden cumplir la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA) de 1996. Los clientes que estén sujetos a la ley HIPAA y quieran usar Google Workspace con información médica protegida deben firmar un contrato de colaboración empresarial con Google. Los administradores de organizaciones que usen Google Workspace, Google Workspace for Education y Google Workspace for Government pueden solicitar un contrato de colaboración empresarial antes de utilizar los servicios de Google con información médica protegida. Para ver la lista de las funciones de Google Workspace que cumplen con la ley HIPAA, consulta esta página.

Millones de estudiantes confían en Google Workspace for Education. Google Workspace for Education cumple la ley de privacidad y derechos educativos de la familia de EE. UU. (Family Educational Rights and Privacy Act, FERPA), y nuestro compromiso con este cumplimiento se incluye en nuestros contratos. Por contrato, requerimos a los centros educativos que usan Google Workspace for Education que obtengan el consentimiento parental para poder utilizar nuestro servicio de conformidad con la ley de protección de la privacidad infantil online de EE. UU. (Children’s Online Privacy Protection Act, COPPA), de forma que estos centros se ajusten a los requisitos establecidos en dicha ley.

La ley federal de protección de la información de Estados Unidos (Federal Information Security Management Act, FISMA), en vigor desde el 2002, regula la seguridad de los datos de los sistemas de información de los organismos federales y afecta a cualquier sistema de información que usen u operen organismos federales estadounidenses, o bien contratistas u otras organizaciones que actúen en nombre del Gobierno. 

El programa federal de gestión de autorizaciones y riesgo de EE. UU. (Federal Risk and Authorization Management Program, FedRAMP) implementa la ley FISMA para los organismos federales estadounidenses que usan servicios de cloud computing. FedRAMP es el estándar de cumplimiento de seguridad en la nube que exigen los organismos federales.

Google Workspace, incluidos Google Workspace, Google Workspace for Education, Google Workspace para Organizaciones sin Ánimo de Lucro, Google Workspace for Government y Google App Engine, ha recibido una autorización para operar conforme a FedRAMP en el nivel de impacto moderado de FIPS 199, el nivel estándar para tratar información controlada no clasificada.

La normativa de seguridad de datos del sector de las tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS) es un conjunto de políticas y requisitos técnicos definidos para sistemas que almacenan o procesan información de tarjetas de pago. Google Cloud Platform se ha sometido a un examen por parte de un asesor de seguridad cualificado (Qualified Security Assessor, QSA), que ha concluido que esta aplicación cumple con la normativa de seguridad de datos (Data Security Standards, DSS) del sector de las tarjetas de pago (Payment Card Industry, PCI). Con el informe sobre cumplimiento elaborado por este asesor de seguridad cualificado, Google confirma que los desarrolladores de aplicaciones pueden usar esta plataforma para crear y ejecutar sus propias soluciones seguras y en cumplimiento con la normativa. Google Workspace no se ha diseñado para procesar ni para almacenar transacciones de tarjetas de crédito. Por lo tanto, los clientes pueden configurar sistemas de control para impedir que se envíen desde Google Workspace correos electrónicos que contengan información de tarjetas de crédito. Esta medida ayuda a que nuestros clientes sigan cumpliendo la normativa PCI DSS. 

Google Cloud Platform se somete a una auditoría de terceros anual para certificar que productos concretos cumplen la normativa PCI DSS. Esto significa que estos servicios proporcionan una infraestructura en la que los clientes pueden crear sus propios servicios o aplicaciones que almacenan, tratan o transmiten datos de titulares de tarjetas. Es importante tener en cuenta que los clientes siguen siendo responsables de asegurarse de que sus aplicaciones cumplen la normativa PCI DSS. Para obtener información sobre cómo usar Google Cloud Platform para implementar el estándar PCI DSS en tu aplicación, consulta la página Cumplimiento de las Normas de seguridad de datos de la PCI.

Google Vault es un complemento para Google Workspace que permite conservar, archivar, buscar y exportar correos electrónicos de tu organización para satisfacer los requisitos de descubrimiento electrónico y de cumplimiento. Vault es un servicio totalmente basado en la Web, por lo que no es necesario instalar ni mantener ningún software. Con Vault, puedes hacer lo siguiente:

• Conservar datos durante el tiempo que sea necesario.
• Eliminar datos cuando ya no se necesiten.
• Buscar, retener y exportar datos de interés.

Para obtener más información, consulta el artículo ¿Qué es Google Vault?.

El reglamento sobre el tráfico internacional de armas (International Traffic in Arms Regulation, ITAR) es un conjunto de reglamentos del gobierno de EE. UU. que regula la exportación e importación de aquellos artículos y servicios relacionados con la defensa que están incluidos en la lista de municiones de Estados Unidos (United States Munitions List, USML). Google no admite el uso de sus servicios con datos controlados por el reglamento ITAR.

El RGPD es un objeto legislativo complejo. Para obtener más información sobre la estrategia de Google Cloud con respecto al RGPD, consulta los recursos de la página Google Cloud y el Reglamento General de Protección de Datos (RGPD). En lo que respecta a las restricciones de transferencia de datos impuestas por el RGPD, Google Cloud incluye Cláusulas Contractuales Tipo en la CDPA y en los DPST. Si no hay ninguna solución de transferencia alternativa, estas cláusulas protegerán automáticamente los datos personales de los clientes de Europa, Oriente Medio y África (EMEA), así como los datos personales de los clientes de fuera de EMEA que se certifiquen a través de la consola de administración de Google que están sujetos a la ley europea de protección de datos.

Google ofrece los servicios de Google Workspace a organizaciones de acuerdo con los Términos del Servicio de Google Workspace y la Adenda sobre Tratamiento de Datos de Cloud. Las aplicaciones para consumidores que ofrece Google directamente a los usuarios finales están sujetas a los Términos del Servicio y la Política de Privacidad de Google. Las aplicaciones de Google Workspace y las versiones para consumidores de estas aplicaciones comparten un gran número de funciones. No obstante, en los servicios de Google Workspace hay ajustes con los que los administradores de una organización pueden controlar la configuración de seguridad y privacidad de las aplicaciones de su organización.

No. Nuestra Adenda sobre Tratamiento de Datos de Cloud, incluidas las Cláusulas Contractuales Tipo, solo está disponible para los clientes que usan Google Workspace. Las versiones para consumidores de las aplicaciones de Google Workspace están sujetas a los Términos del Servicio y a la Política de Privacidad de Google.

Ponte en contacto con tu asesor legal para conocer tus obligaciones concretas sobre privacidad y protección de datos y determinar qué modelo se ajusta más a tus necesidades de cumplimiento.

Nos comprometemos a crear productos que sean seguros de forma predeterminada, privados desde el diseño y que permitan a los usuarios tener el control. Aunque nuestras políticas no permiten que los menores que aún no tienen la edad de consentimiento creen una cuenta de Google estándar, nos hemos esforzado mucho para crear experiencias de producto enriquecedoras diseñadas específicamente para niños, adolescentes y familias.  

Te animamos a que busques asesoramiento jurídico para evaluar las obligaciones relacionadas con el código de diseño apropiado para los niños del Reino Unido (Age Appropriate Design Code, AADC) y otros reglamentos sobre la privacidad infantil. 

En el caso de las cuentas de Google Workspace Business y Enterprise, es responsabilidad del administrador del dominio determinar si algún usuario de su dominio está sujeto al AADC. Si es así, nuestra recomendación es desactivar todos los servicios adicionales en las cuentas de los usuarios menores de 18 años. El motivo es que los planes de Google Workspace Business y Enterprise son cuentas de empresa. En la actualidad, los servicios adicionales a los que se accede a través de este tipo de cuentas no tienen funciones de privacidad específicas para los niños. No sucede lo mismo con las cuentas de Google Workspace for Education, ya que los dominios de Google Workspace for Education tienen implementado el ajuste de acceso determinado por la edad. Consulta más información en el artículo Controlar por edad el acceso a los servicios de Google.