¿Cuándo?
En mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (GDPR), una normativa que sustituirá a la actual y que comenzará a aplicarse a partir del 25 de Mayo del año 2018. Este periodo de dos años tenía como objetivo permitir a las empresas y a las instituciones prepararse para la entrada en vigor de la nueva normativa, pero, ¿Qué pasa si mi empresa aún no está preparada? ¿En qué consiste esta nueva legislación?
Definiciones
Para entender esta nueva normativa empecemos con su principio básico: El consentimiento formal del usuario sobre la recogida y el almacenamiento de sus datos personales.
Como apunte, os recordamos que en el caso de España, el organismo regulador y controlador, encargado de hacer cumplir esta normativa es La Agencia Española de Protección de Datos (AEPD). Otro apunte importante, es la definición que atribuye la normativa a los datos personales, para lo que acudimos al Artículo 4, Definiciones: “a efectos del presente Reglamento se entenderá por «datos personales» toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”. (ART 4, definición 1ª)
¿Qué ayuda ofrece Google para cumplir con el GDPR?
Para empezar, Google ofrece a los usuarios controles y herramientas para gestionar la privacidad y seguridad de sus datos desde “Mi cuenta´’. Asimismo, mediante una serie de compromisos con la privacidad y seguridad, el usuario puede saber qué datos se recopilan, cómo se utilizan y qué control sobre los mismos tiene. Cumpliendo así el principio básico de la normativa.
En cuanto a las empresas que utilizan Workspace, las cuentas Business y Enterprise permiten a las empresas adaptarse y cumplir con mayor facilidad el GDPR (te recomendamos que eches un vistazo al White Paper de Google Cloud para el GDPR y leas nuestro documento de seguridad en la nube con Workspace). Estas licencias cumplen con los siguientes requisitos, que la normativa exige mantener a las empresas:
1.- Los conocimientos, la fiabilidad y los recursos de un experto.
Los tres son requisitos indispensables, especificados en la ley. Google cuenta con un nutrido grupo de expertos en seguridad, que se dedican a mantener la seguridad pasiva de la plataforma, desarrollar estrictos procesos de evaluación de seguridad (avalados por certificados como el ISO 27017), mejorar la infraestructura de seguridad e implementarla en la consola de administración de Google Workspace. Google también cuenta con un equipo de abogados especialistas que se encargan de mantener la herramienta al día con las normativas y leyes vigentes.
2.- Compromiso en protección de datos
El compromiso con la protección de datos se basa en estos tres ejes: Los Contratos de tratamiento de datos, el Tratamiento basado en instrucciones, y el Compromiso de confidencialidad del personal de Google.
3.- Seguridad de los servicios
Según el GDPR, el controlador de los datos y el encargado de su tratamiento debe implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo. Google cuenta con una infraestructura global diseñada para ofrecer una seguridad puntera durante todo el ciclo de tratamiento de la información (la implementación de servicios, el almacenamiento de datos con medidas de privacidad para el usuario final, las comunicaciones entre servicios, las comunicaciones seguras y privadas con los clientes a través de Internet y las operaciones seguras de los administradores).
4.- Devolución y eliminación de datos: “El derecho al olvido”
Con Workspace los administradores pueden gestionar la eliminación de los datos de sus clientes mediante políticas de retención configurables con Google Vault. Además, Google elimina todos los datos relevantes del cliente de sus servidores en un máximo de 180 días después de dar de baja el servicio o bajo demanda.
5.- Asistencia al responsable
Los responsables de los datos pueden utilizar la Consola de Administración de Workspace para acceder a ellos, rectificarlos, eliminarlos o restringir su acceso. “El Reglamento General de Protección de Datos (GDPR) otorga ciertos derechos a las personas a quienes se refieren los datos, por lo que los controladores de los datos encontrarán esta funcionalidad muy útil para responder a las peticiones de estas personas y cumplir sus obligaciones” (Google, White paper GDPR)
6.- Transferencias internacionales de datos.
El GDPR ofrece varios mecanismos para facilitar la transferencia de datos personales fuera de la Unión Europea (UE). Estos mecanismos se han establecido para comprobar que el nivel de protección sea el adecuado o para garantizar la implementación de las medidas de seguridad pertinentes a la hora de transferir los datos personales a un país que no pertenezca a la UE. Este nivel de seguridad se puede alcanzar mediante las cláusulas contractuales tipo. Es posible ratificar que el nivel de protección es el adecuado mediante decisiones de constatación como las del marco Escudo de la privacidad (Privacy Shield) UE-EE. UU. (https://www.privacyshield.gov/welcome)
En los contratos actuales de Google sobre el tratamiento de datos, se comprometen a mantener un mecanismo que facilite la transferencia de datos personales fuera de la UE, tal y como se estipula en la Directiva de Protección de Datos. Además, Google ofrece un compromiso correspondiente a partir del 25 de mayo del 2018 (inclusive).
7.- Estándares y certificaciones:
Los organismos reguladores pretenden que las empresas lleven a cabo controles propios en materia de seguridad, privacidad y cumplimiento. Las licencias de Google Workspace se someten con regularidad a varias auditorías externas para poder ofrecer estas garantías:
- ISO 27001 (seguridad en la gestión de la información, equipo de Google)
- ISO 27017 (fiabilidad y funcionalidad de los mecanismos de seguridad)
- ISO 27018 (privacidad de los datos)
- SSAE16/ISAE 3402 (SOC 2/3) Los marcos de trabajo de auditoría SOC 2 (controles de organizaciones de servicios) y SOC 3 del instituto estadounidense de contables públicos certificados (AICPA).
Responsabilidad en el cumplimiento
Debes tener en cuenta que aunque os respaldan las garantías de G suite, si tu empresa utiliza desarrollos propios u otros servicios informáticos (ERP, CRM, softwares de marketing online, etc…), deberéis ajustarlos para que cumplan los artículos y requisitos de la ley. El reglamento es amplio y es obligación de las empresas conocer y cumplir con la legislación.
Cómo nos ayuda CloudImpulsion con el cumplimiento de la normativa
En conclusión, G Suite es una herramienta muy completa, y por utilizar las versiones Business o Enterprise estamos cumpliendo con la mayoría de requisitos del GDPR. No obstante, el uso que demos a la herramienta depende de nosotros.
Por eso, y para ayudarte a trabajar de manera correcta con la plataforma, desde CloudImpulsion os ofrecemos un servicio de consultoría contínua, i+D y gestión de incidencias e informes de auditoría periódicos, para detectar fallos en el uso de permisos y políticas; todo ésto por tener contratado el servicio de soporte con nosotros.
Gracias al soporte se os garantiza que utilizáis las herramientas de G Suite de manera correcta y para y cómo lo que fueron concebidas. Además, como vuestros Partners de confianza os ofrecemos, como siempre:
- Newsletters periódicas con novedades y material de uso
- Manuales de uso y buenas prácticas para que podáis consultar siempre que los necesitéis
- Área de clientes exclusiva donde podéis encontrar los contratos y documentos relacionados con nuestra relación partner-cliente, recursos para G Suite y mucho más.
Por último, sólo queda recordarte que, si necesitas ayuda con la consola de administración o las herramientas de descubrimiento electrónico y seguridad, cuentas con el respaldo del equipo de CloudImpulsion. Somos expertos en consultoría estratégica, transformación digital y gestión del cambio. Acompañamos a las empresas en la implementación y adopción de las nuevas tecnologías y en su desarrollo, respondiendo a las necesidades y desafíos de todo tipo de empresas y sectores.
