Cumplimiento

Estamos orgullosos de cumplir con normativas de distintos lugares del mundo y de diferentes sectores como la sanidad y la educación. Puedes usar nuestros servicios con la confianza de que Google te proporciona las herramientas y las medidas de control que necesitas para satisfacer tus requisitos de cumplimiento.

Para responder a algunas de las muchas preguntas que recibimos, hemos creado esta sección de preguntas frecuentes y un sitio de seguridad de Google Workspace complementario. Esperamos que estos recursos te ayuden a resolver las dudas que puedas tener sobre cuál es la postura de Google ante estas cuestiones de suma importancia. Recuerda que en la página Privacidad y Términos puedes consultar información acerca de la privacidad de los consumidores y obtener herramientas a este respecto.

Si quieres ponerte en contacto con nuestro equipo para denunciar un uso inadecuado, en este artículo encontrarás información sobre cómo hacerlo. 

¿Cómo puedo verificar la seguridad de Google Workspace y de Google Cloud Platform?

Los clientes de Google y los organismos reguladores cuentan con que nuestros controles de seguridad, privacidad y cumplimiento se verifiquen de manera independiente. Para cumplir con estas expectativas, Google se somete a diversas auditorías de terceros de forma periódica. Durante este proceso, un auditor independiente examina los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. Las soluciones de Google se someten a auditorías periódicas para comprobar que se cumplen los siguientes estándares:

  • SOC 1 (SSAE-18/ISAE-3402): Google Workspace y Google Cloud Platform
  • SOC 2: Google Workspace y Google Cloud Platform 
  • SOC 3: Google Workspace y Google Cloud Platform
  • ISO 27001: Google Workspace y Google Cloud Platform
  • ISO 27017: Google Workspace y Google Cloud Platform
  • ISO 27018: Google Workspace y Google Cloud Platform
  • ISO 27701: Google Workspace y Google Cloud Platform
  • HIPAA: Google Workspace y Google Cloud Platform
  • FedRAMP: Google Workspace y Google Cloud Platform
¿Puedo obtener una copia de estos certificados e informes de auditoría? ¿Dónde puedo descargar el informe de auditoría SOC 3? ¿Dónde puedo consultar el certificado ISO 27001 de Google?

Los informes SOC 3 demuestran que un contable independiente ha examinado nuestros controles. Se trata de informes profesionales en los que se evalúa si las declaraciones de la dirección de la entidad empresarial en la que se confía se ajustan a los principios y criterios de los servicios de confianza aplicables.

Los certificados ISO 27001 sirven para indicar qué funciones cumplen el estándar ISO/CEI 27001:2013. Esta certificación engloba las ofertas de Google Workspace (y Google Workspace for Education), Google Cloud Platform, Google Plus, Google Now, Google Analytics y Analytics Premium, así como los datos que estas ofertas y las instalaciones especificadas contienen o recogen.

Puedes obtener una copia de estos informes de cumplimiento en la herramienta Administrador de informes de cumplimiento. Para ello, inicia sesión con tu cuenta. 

¿Cómo cumple Google los requisitos de protección de datos de Europa?

Google cuenta con una amplia cartera de clientes en Europa. Más del 50 % de nuestros clientes empresariales están ubicados fuera de Estados Unidos. Google proporciona funciones y compromisos contractuales elaborados para cumplir las recomendaciones sobre protección de datos del Grupo de Trabajo del Artículo 29. Google permite adherirse a la Adenda sobre Tratamiento de Datos (DPA) de Google Workspace y a los Términos de Seguridad y de Tratamiento de Datos (DPST) de Google Cloud Platform. Google Cloud ofrece a nuestros clientes cláusulas contractuales tipo (CCT) que ya están incorporadas en nuestros DPST y DPA.

Para aceptar nuestra Adenda sobre Tratamiento de Datos, sigue estas instrucciones:

Nuestras prácticas de protección de datos se someten a auditorías independientes por parte de terceros y también tenemos la certificación ISO 27001. Asimismo, nuestras prácticas de privacidad y nuestros compromisos contractuales se someten a un proceso para verificar que cumplen el estándar ISO/IEC 27018:2014. Además, nuestros clientes tienen varias opciones para cumplir las normativas de protección de datos de la UE.

¿No obligan las leyes de protección de datos de la UE a que los datos personales se almacenen en la UE o en el Espacio Económico Europeo (EEE)?

La Directiva sobre Protección de Datos de la Comisión Europea, aprobada por la Unión Europea en 1995, es una normativa importante sobre la privacidad de la información. Esta directiva restringe el movimiento de los datos de la UE a países externos que no cumplan el estándar de "adecuación" de la UE en lo que se refiere a la protección de la privacidad. Tratar datos personales estrictamente dentro de la UE es una forma de cumplir con esta directiva. Sin embargo, hay otras opciones de cumplimiento con las que no es necesario que los datos se ubiquen en la UE. Por ejemplo, pueden utilizarse cláusulas contractuales tipo aprobadas por la Comisión Europea.

Google Cloud ofrece a nuestros clientes cláusulas contractuales tipo (CCT) que ya están incorporadas en nuestros DPST y DPA. Los clientes que quieran aceptar las CCT por separado pueden hacerlo siguiendo el proceso online que se describe en este artículo para Google Workspace y en este otro para GCP. 

¿Qué requisitos impone el Gobierno de EE. UU.? Si los datos se almacenan fuera de EE. UU., ¿significa que no están sujetos a las solicitudes gubernamentales de datos que haga el Gobierno de EE. UU.?

Almacenar tus datos en un país determinado no significa necesariamente que Gobiernos de otros países no puedan acceder a ellos. Que los datos estén ubicados en una jurisdicción no significa que otra no pueda obligar a que se revelen. Además, ha habido denuncias acerca de Gobiernos que han intentado pinchar las líneas de cable entre los centros de datos y diferentes ubicaciones en todo el mundo. Por ese motivo, en Google abogamos por una reforma de la ley de vigilancia. Nos negamos a facilitar a los Gobiernos acceso a nuestros sistemas, así como a proporcionarles equipos con los que puedan acceder a los datos de los usuarios. Para obtener más información sobre cómo se gestionan las solicitudes gubernamentales de datos, consulta el Informe de Transparencia de Google.

¿Dónde almacena Google mis datos?

Los datos se almacenan en la red de centros de datos de Google. Google cuenta con varios centros de datos repartidos por distintas zonas geográficas. Los clústeres de equipos de Google se han diseñado para ofrecer la máxima resilencia y redundancia, así como para eliminar puntos únicos de fallo y minimizar las posibles consecuencias de los errores más habituales que pueden darse en los equipos y de los riesgos medioambientales.

¿Puedo almacenar datos médicos en sistemas de Google?

Con Google Workspace, nuestros clientes pueden cumplir la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA) de 1996. Los clientes que estén sujetos a la ley HIPAA y quieran usar Google Workspace con información médica protegida deben firmar un contrato de colaboración empresarial con Google. Los administradores de organizaciones que usen Google Workspace, Google Workspace for Education y Google Workspace for Government pueden solicitar un contrato de colaboración empresarial antes de utilizar los servicios de Google con información médica protegida. Para ver la lista de productos y funciones de Google Workspace que cumplen con la ley HIPAA, consulta esta página.

¿Cumplen los productos de Google los requisitos de privacidad necesarios para que los utilicen estudiantes y menores de edad?

Más de 40 millones de alumnos confían en Google Workspace for Education. Este servicio cumple la ley de privacidad y derechos educativos de la familia de EE. UU. (Family Educational Rights and Privacy Act, FERPA), y nuestro compromiso con este cumplimiento se incluye en nuestros contratos. Por contrato, requerimos a los centros educativos que usan Google Workspace for Education que obtengan el consentimiento parental para poder utilizar nuestro servicio de conformidad con la ley de protección de la privacidad infantil online de EE. UU. (Children’s Online Privacy Protection Act, COPPA), de forma que estos centros se ajusten a los requisitos establecidos en dicha ley.

¿Pueden usar Google las administraciones públicas de EE. UU.?

La ley federal de protección de la información (Federal Information Security Management Act, FISMA) de EE. UU., en vigor desde el 2002, regula la protección de datos de los sistemas de información de los organismos federales y debe cumplirse en cualquier sistema de información que usen u operen organismos federales estadounidenses, o bien contratistas u otras organizaciones en nombre del Gobierno. 

El programa federal de gestión de autorizaciones y riesgo (Federal Risk and Authorization Management Program, FedRAMP) de EE. UU. representa la implementación de la ley FISMA para los organismos federales estadounidenses que usan servicios de cloud computing. FedRAMP es el estándar de cumplimiento de seguridad en la nube que exigen los organismos federales.

Google Workspace (que incluye Google Workspace, Google Workspace for Education, Google Workspace para Organizaciones Sin Ánimo de Lucro, Google Workspace for Government y Google App Engine) ha recibido una autorización para operar conforme a FedRAMP en el nivel de impacto moderado de FIPS 199, el nivel estándar para tratar información controlada no clasificada.

Mi organización gestiona datos de tarjetas de pago y está sujeta a la normativa PCI DSS. ¿Qué herramientas ofrece Google para ayudarme a seguir cumpliendo este estándar?

La normativa de seguridad de datos del sector de las tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS) es un conjunto de políticas y requisitos técnicos definidos para sistemas que almacenan o procesan información de tarjetas de pago. Google Cloud Platform se ha sometido a un examen por parte de un asesor de seguridad cualificado (Qualified Security Assessor, QSA), que ha concluido que esta aplicación cumple con la normativa de seguridad de datos (Data Security Standards, DSS) del sector de las tarjetas de pago (Payment Card Industry, PCI). Con el informe sobre cumplimiento elaborado por este asesor de seguridad cualificado, Google confirma que los desarrolladores de aplicaciones pueden usar esta plataforma para crear y ejecutar sus propias soluciones seguras y en cumplimiento con la normativa. Google Workspace no se ha diseñado para procesar ni para almacenar transacciones de tarjetas de crédito. Por lo tanto, los clientes pueden configurar sistemas de control para impedir que se envíen desde Google Workspace correos electrónicos que contengan información de tarjetas de crédito. Esta medida ayuda a que nuestros clientes sigan cumpliendo la normativa PCI DSS. 

Google Cloud Platform se somete a una auditoría de terceros anual para certificar que productos concretos cumplen la normativa PCI DSS. Esto significa que estos servicios proporcionan una infraestructura en la que los clientes pueden crear sus propios servicios o aplicaciones que almacenan, tratan o transmiten datos de titulares de tarjetas. Es importante tener en cuenta que los clientes siguen siendo responsables de asegurarse de que sus aplicaciones cumplen la normativa PCI DSS. Para obtener información sobre cómo usar Google Cloud Platform para implementar el estándar PCI DSS en tu aplicación, consulta la página Cumplimiento de las Normas de seguridad de datos de la PCI.

¿Qué herramientas de descubrimiento electrónico puede usar mi organización para ajustarse a los requisitos legales y de cumplimiento?

Google Vault es un complemento para Google Workspace que permite conservar, archivar, buscar y exportar correos electrónicos de tu organización para satisfacer los requisitos de descubrimiento electrónico y de cumplimiento. Vault es un servicio totalmente basado en la Web, por lo que no es necesario instalar ni mantener ningún software. Con Vault, puedes hacer lo siguiente:

  • Conservar datos durante el tiempo que sea necesario.
  • Eliminar datos cuando ya no se necesiten.
  • Buscar, retener y exportar datos de interés.

Para obtener más información, consulta el artículo ¿Qué es Google Vault?.

¿Puedo usar servicios de Google con datos sujetos al reglamento sobre el tráfico internacional de armas (International Traffic in Arms Regulation, ITAR)?

ITAR es un conjunto de normativas del Gobierno de EE. UU. que regula la exportación e importación de aquellos artículos y servicios relacionados con la defensa que están incluidos en la lista de municiones de Estados Unidos (United States Munitions List, USML). Google no admite el uso de sus servicios con datos controlados por las normativas ITAR.

¿Cómo cumplen los servicios en la nube de Google con el Reglamento General de Protección de Datos (RGPD) de la UE?

El RGPD de la UE sustituye a la Directiva sobre Protección de Datos de la UE de 1995. El RGPD refuerza los derechos de las personas respecto a los datos personales que les conciernen y su objetivo es unificar las leyes de protección de datos en toda la Unión Europea, independientemente de dónde se traten dichos datos.

Puedes tener la seguridad de que Google está comprometido con el cumplimiento del RGPD en los servicios de Google Workspace y Google Cloud Platform. También nos comprometemos a ayudar a nuestros clientes en el cumplimiento del RGPD proporcionándoles las férreas medidas de protección de la privacidad y la seguridad que hemos integrado en nuestros servicios y contratos a lo largo de los años.

Entre otros aspectos, los responsables del tratamiento de datos tienen la obligación de utilizar únicamente encargados del tratamiento de datos que proporcionen garantías suficientes para implementar las medidas técnicas y organizativas que crean apropiadas de modo que el tratamiento de los datos cumpla los requisitos del RGPD.

Nuestros Términos del Tratamiento de Datos de Google Workspace y Google Cloud Platform reflejan claramente nuestro compromiso con la privacidad de los clientes. Hemos ido perfilando estos términos a lo largo de los años basándonos en las sugerencias de nuestros clientes y de los organismos reguladores, y los hemos actualizado para reflejar los cambios introducidos por el RGPD.

Visita nuestro sitio sobre el RGPD para obtener más información.

¿Cuál es la diferencia entre Google Workspace y las versiones para consumidores de las aplicaciones de Google Workspace?

Google ofrece los servicios de Google Workspace a organizaciones de acuerdo con los Términos del Servicio de Google Workspace y la Adenda sobre Tratamiento de Datos. En cambio, las aplicaciones para consumidores se ofrecen a los usuarios finales de acuerdo con los Términos del Servicio y la Política de Privacidad de Google. Las aplicaciones de Google Workspace y las versiones para consumidores de estas aplicaciones comparten un gran número de funciones. No obstante, en los servicios de Google Workspace hay ajustes con los que los administradores de una organización pueden controlar la configuración de seguridad y privacidad de las aplicaciones de su organización.

¿Ofrece Google la Adenda sobre Tratamiento de Datos de Google Workspace en las versiones para consumidores de las aplicaciones de Google Workspace?

No, solo ofrecemos los Términos del Tratamiento de Datos de Google Workspace, como la Adenda sobre Tratamiento de Datos y las cláusulas contractuales tipo, a los clientes que usan Google Workspace. Las versiones para consumidores de las aplicaciones de Google Workspace se ofrecen sujetas a los Términos del Servicio y a la Política de Privacidad de Google.

Ponte en contacto con tu asesor legal para conocer tus obligaciones concretas sobre privacidad y protección de datos y determinar qué modelo se ajusta más a tus necesidades de cumplimiento.

¿Cómo cumple Google los requisitos del AADC?

Nos comprometemos a crear productos que sean seguros de forma predeterminada, privados desde el diseño y que permitan a los usuarios tener el control. Aunque nuestras políticas no permiten que los menores que aún no tienen la edad de consentimiento creen una cuenta de Google estándar, nos hemos esforzado mucho para crear experiencias de producto enriquecedoras diseñadas específicamente para niños, adolescentes y familias.  

Te animamos a que hables con tu asesor legal para evaluar las obligaciones relacionadas con el código de diseño apropiado para la edad de los niños de Reino Unido (Age Appropriate Design Code, AADC) y otras normativas sobre la privacidad infantil. 

En el caso de las cuentas de Google Workspace Business y Enterprise, es responsabilidad del administrador del dominio determinar si algún usuario de su dominio está sujeto al AADC. Si es así, nuestra recomendación es desactivar todos los servicios adicionales en las cuentas de los usuarios menores de 18 años. El motivo es que los planes de Google Workspace Business y Enterprise son cuentas de empresa. En la actualidad, los servicios adicionales a los que se accede a través de este tipo de cuentas no tienen funciones de privacidad específicas para los niños. No sucede lo mismo con las cuentas de Google Workspace for Education, ya que los dominios de Google Workspace for Education tienen implementado el ajuste de acceso determinado por la edad. Consulta más información en el artículo Controlar por edad el acceso a los servicios de Google.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?
Google Apps
Menú principal
Buscar en el Centro de ayuda
false