¿Mi empresa incumple el RGPD al utilizar los servicios de Google?
Google es una multinacional tecnológica mundialmente conocida por ofrecer servicios en la nube (SaaS) a particulares y empresas. Los servicios de Google contemplan desde sistemas operativos para smartphones y otros dispositivos, hasta herramientas de ofimática, correo electrónico o almacenamiento en la nube. Gracias a su escalabilidad y fácil manejo, estos servicios son cada vez más utilizados por las empresas españolas.
Transferencias internacionales
Google es una empresa situada en California, Estados Unidos. Este país es conocido por disponer de unas leyes de privacidad más laxas que las europeas, lo que supone un escoyo para las transferencias internacionales de datos. Si bien a lo largo de los años se han desarrollado distintos mecanismos legales para legitimar estas transferencias internacionales (como Privacy Shield, o el por ahora vigente EU-USA Data Privacy Framework) parece que estos acuerdos siempre terminan siendo invalidados por el Tribunal de Justicia de la Unión Europea, al considerar este tribunal que no aportan las garantías suficientes de cumplimiento.
Sin embargo, en la actualidad los servicios de Google no se encuentran amparados en estos acuerdos, sino en las cláusulas contractuales tipo adoptadas por la Comisión Europea, ofreciendo así un marco estable y garantista. Sin embargo, para que la relación contractual entre Google y sus clientes se vea amparada en estas cláusulas contractuales tipo, es indispensable que las empresas contraten los servicios de Google dirigidos a profesionales (como Google Suite).
Garantías durante el tratamiento de los datos
Google debe ofrecer las mismas garantías de protección de datos que las que ofrezca cualquier proveedor situado dentro del Espacio Económico Europeo. Según sus términos legales, las principales medidas de seguridad que ofrece esta entidad son:
- Encriptado de la información: los datos personales son encriptados tanto en tránsito como en reposo. Según el informe técnico sobre encriptado de Google (https://storage.googleapis.com/gfw-touched-accounts-pdfs/google-encryption-whitepaper-gsuite.pdf), utilizan distintos tipos de cifrado según el hardware utilizado.
- Confidencialidad del personal: la empresa afirma en sus términos legales que todo el personal con acceso a datos ha aceptado un acuerdo de confidencialidad y que recibe formación relativa a sus obligaciones y deberes en materia de privacidad durante el desarrollo de su trabajo. Además, la empresa dispone de un Código de Conducta conocido por todo el personal.
- Subencargados del tratamiento: Google afirma que todos sus proveedores involucrados en los servicios que presta han celebrado acuerdos de privacidad actualizados y conforme a la normativa europea de protección de datos.
- Disponibilidad: Los centros de datos de Google están diseñados y distribuidos para minimizar los efectos de las interrupciones regionales del servicio. Se realizan pruebas anualmente de los protocolos de recuperación con el objeto de comprobar su efectividad. Además, cumple con los principales estándares de seguridad, como la ISO 27001 (gestión de la seguridad de la información), la ISO 27017 (seguridad en la nube), o la ISO 27018 (privacidad en la nube).
Es legítimo utilizar los servicios de Google
En definitiva, las empresas europeas pueden utilizar los servicios de Google sin riesgo de incumplimiento de la normativa de protección de datos, si bien es imprescindible que se contraten aquellos servicios dirigidos a un uso profesional, pues son los únicos que regulan contractualmente la transferencia internacional de datos y aportan las garantías de seguridad adecuadas.
Si necesitas ayuda para cumplir con estas normativas y garantizar la protección de datos en tu empresa, no dudes en ponerte en contacto con nosotros. En Microlab nos dedicamos a ayudar a las empresas a cumplir con la normativa de protección de datos, desarrollando el aviso legal, la política de privacidad, el uso de cookies, las comunicaciones, el alojamiento, etc.