15Feb

¿Mi empresa incumple el RGPD al utilizar los servicios de Google?

Google es una multinacional tecnológica mundialmente conocida por ofrecer servicios en la nube (SaaS) a particulares y empresas. Los servicios de Google contemplan desde sistemas operativos para smartphones y otros dispositivos, hasta herramientas de ofimática, correo electrónico o almacenamiento en la nube. Gracias a su escalabilidad y fácil manejo, estos servicios son cada vez más utilizados por las empresas españolas.

Transferencias internacionales

Google es una empresa situada en California, Estados Unidos. Este país es conocido por disponer de unas leyes de privacidad más laxas que las europeas, lo que supone un escoyo para las transferencias internacionales de datos. Si bien a lo largo de los años se han desarrollado distintos mecanismos legales para legitimar estas transferencias internacionales (como Privacy Shield, o el por ahora vigente EU-USA Data Privacy Framework) parece que estos acuerdos siempre terminan siendo invalidados por el Tribunal de Justicia de la Unión Europea, al considerar este tribunal que no aportan las garantías suficientes de cumplimiento.

Sin embargo, en la actualidad los servicios de Google no se encuentran amparados en estos acuerdos, sino en las cláusulas contractuales tipo adoptadas por la Comisión Europea, ofreciendo así un marco estable y garantista. Sin embargo, para que la relación contractual entre Google y sus clientes se vea amparada en estas cláusulas contractuales tipo, es indispensable que las empresas contraten los servicios de Google dirigidos a profesionales (como Google Suite).

Garantías durante el tratamiento de los datos

Google debe ofrecer las mismas garantías de protección de datos que las que ofrezca cualquier proveedor situado dentro del Espacio Económico Europeo. Según sus términos legales, las principales medidas de seguridad que ofrece esta entidad son:

  • Encriptado de la información: los datos personales son encriptados tanto en tránsito como en reposo. Según el informe técnico sobre encriptado de Google (https://storage.googleapis.com/gfw-touched-accounts-pdfs/google-encryption-whitepaper-gsuite.pdf), utilizan distintos tipos de cifrado según el hardware utilizado.
  • Confidencialidad del personal: la empresa afirma en sus términos legales que todo el personal con acceso a datos ha aceptado un acuerdo de confidencialidad y que recibe formación relativa a sus obligaciones y deberes en materia de privacidad durante el desarrollo de su trabajo. Además, la empresa dispone de un Código de Conducta conocido por todo el personal.
  • Subencargados del tratamiento: Google afirma que todos sus proveedores involucrados en los servicios que presta han celebrado acuerdos de privacidad actualizados y conforme a la normativa europea de protección de datos.
  • Disponibilidad: Los centros de datos de Google están diseñados y distribuidos para minimizar los efectos de las interrupciones regionales del servicio. Se realizan pruebas anualmente de los protocolos de recuperación con el objeto de comprobar su efectividad. Además, cumple con los principales estándares de seguridad, como la ISO 27001 (gestión de la seguridad de la información), la ISO 27017 (seguridad en la nube), o la ISO 27018 (privacidad en la nube).

Es legítimo utilizar los servicios de Google

En definitiva, las empresas europeas pueden utilizar los servicios de Google sin riesgo de incumplimiento de la normativa de protección de datos, si bien es imprescindible que se contraten aquellos servicios dirigidos a un uso profesional, pues son los únicos que regulan contractualmente la transferencia internacional de datos y aportan las garantías de seguridad adecuadas.

Si necesitas ayuda para cumplir con estas normativas y garantizar la protección de datos en tu empresa, no dudes en ponerte en contacto  con nosotros. En Microlab nos dedicamos a ayudar a las empresas a cumplir con la normativa de protección de datos, desarrollando el aviso legal, la política de privacidad, el uso de cookies, las comunicaciones, el alojamiento, etc.

Share this post

Related Posts

La situación actual respecto al control horario mediante datos biométricos

En los últimos años el criterio de la Agencia Española...

11/04/2024
¿Cuándo es obligatorio designar un delegado de protección de datos en una empresa?

La Agencia Española de Protección de Datos (AEPD) ha sancionado...

22/06/2023
¿Puede la empresa monitorizar el PC de los empleados?

En la era digital en la que vivimos, es común...

20/07/2023
¿Puedo enviar publicidad a contactos obtenidos de las redes sociales?

Las acciones de marketing online son la vía más utilizada...

23/03/2023
¿Es legal fichar con huella digital en el trabajo?

El control horario en el trabajo es una práctica común...

18/05/2023
Tribunal Estrasburgo
El Tribunal de Estrasburgo ampara a un empleado vigilado por la empresa

El Tribunal de Derechos Humanos de Estrasburgo ampara a un...

05/05/2022
denuncia policia
Apercibida la Dirección General de Policía por el uso del teléfono particular de un agente

El pasado junio de 2021, en una concentración convocada por...

20/10/2022
Suplantación de identidad online
Suplantación de identidad online

La suplantación de identidad online es un riesgo que real...

02/06/2022
Normativa en zona videovigilada en materia de protección de datos
Normativa en zona videovigilada en materia de protección de datos

Los sistemas de videovigilancia son una solución de seguridad en...

09/09/2022
La importancia de cumplir la normativa en materia de cookies

Recientemente la Agencia Española de Protección de Datos (AEPD) ha...

22/12/2022