O Google Cloud e o Regulamento Geral de Proteção de Dados (GDPR)

Introdução

Regulamento Geral de Proteção de Dados (GDPR)

Em 25 de maio de 2018, entrará em vigor a legislação europeia de proteção de dados mais significativa dos últimos 20 anos. O EU General Data Protection Regulation (GDPR, na sigla em inglês) substituirá a 1995 EU Data Protection Directive. O GDPR fortalece os direitos individuais sobre os dados pessoais e busca unificar as leis de proteção de dados em toda a Europa, independentemente de onde os dados forem processados.

Saiba que o Google tem o compromisso de cumprir o GDPR em todos os serviços do Google Cloud. Também nos empenhamos em ajudar nossos clientes a cumprir o GDPR durante todo o processo por meio das garantias de proteção de privacidade e segurança integradas aos nossos serviços e contratos ao longo dos anos.

O que você pode fazer

Quais são suas responsabilidades como cliente?

Os clientes do G Suite1 e do Google Cloud Platform atuarão normalmente como controladores de todos os dados pessoais fornecidos ao Google e associados ao uso que eles fazem dos serviços do Google. O controlador de dados determina as finalidades e os meios do processamento de dados pessoais. Esse processamento é feito pelo processador de dados em nome do controlador. O Google é um processador de dados que processa dados pessoais em nome do controlador de dados que usa o G Suite ou o Google Cloud Platform.

Os controladores de dados são responsáveis pela implementação de medidas técnicas e organizacionais adequadas para garantir e demonstrar que todo o processamento de dados é feito em conformidade com o GDPR. As obrigações dos controladores são relacionadas a princípios como legalidade, imparcialidade e transparência, limitação às finalidades, minimização dos dados e precisão, assim como ao cumprimento dos direitos das pessoas em relação aos dados delas.

Se você for um controlador de dados, poderá encontrar orientações relativas às suas responsabilidades no GDPR verificando regularmente o website da sua autoridade de proteção de dados central ou nacional sob o GDPR, conforme aplicável2, bem como conferindo as publicações de associações de proteção de dados, como a Associação Internacional de Profissionais de Privacidade (IAPP).

Busque também aconselhamento jurídico independente para saber sobre a sua situação e as suas obrigações em relação ao GDPR, já que somente um advogado é capaz de fornecer aconselhamento jurídico personalizado para o seu caso. Leve em consideração que nenhuma informação veiculada neste website destina-se a fornecer aconselhamento jurídico e nem deve ser usada como substituto para tal.

Por onde começar?

Como um cliente atual ou futuro do Google Cloud, este é um ótimo momento para começar a se preparar para o GDPR. Leve estas dicas em consideração:

  • Conheça as disposições do GDPR, principalmente os pontos em que elas diferem das obrigações vigentes relativas à proteção de dados.
  • Considere criar um inventário atualizado dos dados pessoais que você usa. Use algumas das nossas ferramentas para identificar e classificar dados.
  • Reveja seus controles, políticas e processos atuais para avaliar se eles atendem aos requisitos do GDPR e crie um planejamento para suprir eventuais lacunas.
  • Pense em como aproveitar os recursos de proteção de dados existentes no Google Cloud como parte da sua própria estrutura de compliance. Faça uma análise dos materiais de auditoria e certificação de terceiros do G Suite ou do Google Cloud Platform para ver como eles poderiam ajudar nessa tarefa.
  • Monitore as orientações atualizadas sobre a regulamentação assim que elas forem disponibilizadas e consulte um advogado para receber aconselhamento jurídico aplicável especificamente às circunstâncias da sua empresa.

1 O G Suite inclui o G Suite for Business e o G Suite for Education.

2 Recomendamos que você procure aconselhamento jurídico independente para determinar a autoridade de proteção de dados central ou nacional indicada para o seu caso.

O QUE ESTAMOS FAZENDO

Compromissos do G Suite e do Google Cloud Platform 
com o GDPR

Dentre outras coisas, é necessário que os controladores de dados usem somente processadores de dados que forneçam garantias suficientes para implementar as medidas técnicas e organizacionais adequadas, de forma que o processamento atenda aos requisitos do GDPR. Veja aqui alguns aspectos a serem considerados ao fazer sua avaliação dos serviços do G Suite e do Google Cloud Platform.

EXPERTISE, CONFIABILIDADE E RECURSOS

Conhecimento especializado sobre proteção de dados

O Google emprega profissionais de segurança e privacidade que estão entre os maiores especialistas em segurança de informação, aplicativos e redes do mundo. Essa equipe tem a tarefa de preservar os sistemas de defesa da empresa, desenvolver processos de análise de segurança, criar uma infraestrutura de segurança e implementar as políticas de segurança do Google.

O Google também emprega uma grande equipe de advogados e especialistas em compliance e políticas públicas, responsáveis por garantir a conformidade do Google em questão de privacidade e segurança.

Essas equipes interagem com clientes, representantes empresariais e autoridades competentes para moldar os serviços do G Suite e do Google Cloud Platform com o objetivo de ajudar nossos clientes a atender às necessidades de compliance.

COMPROMISSOS COM A PROTEÇÃO DE DADOS

Contratos de processamento de dados

Nossos contratos de processamento de dados para o G Suite e o Google Cloud Platform expressam com clareza nossos compromissos de privacidade com os clientes. Desenvolvemos esses termos ao longo dos anos com base no feedback dos nossos clientes e regulamentadores.

Recentemente, atualizamos esses termos para refletir especificamente o GDPR e disponibilizamos os termos atualizados com antecedência para facilitar a avaliação de conformidade e a preparação dos clientes para o GDPR ao usar os serviços do Google Cloud.

Nossos clientes podem adotar esses termos atualizados de processamento de dados por meio do processo de aceite descrito em aqui para a Emenda sobre processamento de dados do G Suite e em aqui para os Termos de processamento e segurança de dados do GCP. Os termos atualizados entrarão em vigor a partir de 25 de maio de 2018, quando o GDPR for implementado.

Processamento de acordo com as instruções

Quaisquer dados que um cliente e os usuários dele colocarem em nossos sistemas somente serão processados de acordo com as instruções do cliente, conforme descrito nos nossos contratos atualizados de processamento de dados e nos contratos atualizados de acordo com o GDPR.

Compromissos de confidencialidade de funcionários

Todos os funcionários do Google precisam assinar um acordo de confidencialidade e concluir treinamentos obrigatórios de confidencialidade e privacidade, assim como nosso treinamento de Código de conduta. O Código de conduta do Google trata especificamente das responsabilidades e do comportamento esperado em relação à proteção de informações.

Uso de subprocessadores

As empresas do Grupo Google realizam diretamente a maior parte das atividades de processamento de dados necessárias para fornecer os serviços do G Suite e do Google Cloud Platform. No entanto, designamos alguns fornecedores terceiros para ajudar no suporte a esses serviços. Cada fornecedor passa por um processo de seleção rigoroso. Isso é feito para garantir que eles tenham o conhecimento técnico necessário e possam oferecer o nível de segurança e privacidade adequado.

Disponibilizamos informações sobre os subprocessadores do Grupo Google responsáveis pelo suporte aos serviços do G Suite e do Google Cloud Platform, assim como dos subprocessadores terceirizados envolvidos nesses serviços. Além disso, incluímos compromissos relacionados a subprocessadores em nossos contratos de processamento de dados atuais e atualizados.

SEGURANÇA DOS SERVIÇOS

De acordo com o GDPR, o controlador e o processador precisam implementar medidas técnicas e organizacionais adequadas para garantir o nível de segurança adequado ao risco.

O Google gerencia uma infraestrutura global projetada para oferecer segurança de ponta em todo o ciclo de vida do processamento de informações. Essa infraestrutura é desenvolvida para proporcionar implantações de serviços seguras, armazenamento de dados seguro com proteção da privacidade do usuário final, comunicações seguras entre serviços, comunicação privada e segura com clientes na Internet e operações seguras feitas por administradores. O G Suite e o Google Cloud Platform funcionam nessa infraestrutura.

Projetamos a segurança da nossa infraestrutura em camadas complementares, desde a segurança física dos data centers até as proteções de segurança para hardware e software e os processos que usamos para oferecer suporte à segurança operacional. Essa proteção em camadas cria uma base sólida de segurança para tudo que fazemos. Uma descrição detalhada da nossa segurança de infraestrutura pode ser encontrada no nosso artigo sobre o design de segurança da infraestrutura do Google.

Disponibilidade, integridade e resiliência

Os componentes da nossa plataforma são projetados pelo Google para que sejam extremamente redundantes. Os data centers do Google são distribuídos geograficamente para minimizar os efeitos de interrupções regionais, como desastres naturais e falhas locais, sobre produtos globais. Em caso de falha de hardware, software ou rede, os serviços são deslocados de uma instalação para outra de maneira imediata e automática. Dessa forma, as operações podem continuar sem interrupções. Nossa infraestrutura altamente redundante ajuda os clientes a se protegerem contra a perda de dados.

Testes

O Google realiza testes de recuperação de desastres anualmente para oferecer às equipes de infraestrutura e aplicação uma plataforma comum para testar planos de comunicações, cenários de failover, transição operacional e outras respostas de emergência. Todas as equipes que participam do exercício de recuperação de desastres desenvolvem planos de teste e análises "post mortem" que registram os resultados e as lições aprendidas.

Criptografia

O Google usa criptografia para proteger dados em trânsito e em repouso. Os dados em trânsito para o G Suite são protegidos com o uso do HTTPS, ativado por padrão para todos os usuários. Os serviços do G Suite e do Google Cloud Platform criptografam o conteúdo dos clientes armazenado em repouso com um ou mais mecanismos de criptografia, sem que eles precisem tomar nenhuma providência. Uma descrição detalhada de como criptografamos os dados pode ser encontrada no nosso artigo sobre criptografia.

Controles de acesso

Para os funcionários do Google, os direitos e níveis de acesso baseiam-se nos respectivos cargos e funções. Aplicamos o conceito de privilégio mínimo: somente terá acesso aos dados quem tiver a necessidade de acessá-los. Assim, os privilégios de acesso correspondem às responsabilidades definidas. As solicitações para acesso adicional seguem um processo formal que envolve o pedido e a aprovação de um proprietário, gerente ou outros executivos de sistema ou de dados, conforme estabelecido pelas políticas de segurança do Google.

Gerenciamento de vulnerabilidades

Verificamos as vulnerabilidades de software usando uma combinação entre ferramentas disponíveis no mercado e ferramentas internas personalizadas, testes de invasão intensivos automatizados e manuais, processos de controle de qualidade, análises para verificação de segurança de software e auditorias externas. Também recorremos à comunidade de pesquisa de segurança em geral e valorizamos a ajuda dela na identificação de vulnerabilidades no G Suite, no Google Cloud Platform e em outros produtos do Google. Nosso Vulnerability Reward Program incentiva os pesquisadores a informar problemas de design e implementação que possam colocar os dados dos clientes em risco.

Segurança do produto: G Suite

Os clientes do G Suite podem aproveitar os recursos e as configurações do produto para proteger ainda mais os dados pessoais contra processamentos não autorizados e ilegais:

Para saber mais, acesse https://gsuite.google.com/security

(em inglês).

Segurança de produto: GCP

Os clientes do GCP podem aproveitar os recursos e as configurações do produto para proteger os dados pessoais ainda mais contra o processamento não autorizado ou ilegal:

Para saber mais, acesse https://cloud.google.com/security/.

Retorno e exclusão de dados

Os administradores podem exportar os dados do cliente por meio da funcionalidade dos serviços do G Suite ou do Google Cloud Platform a qualquer momento durante o período de vigência do contrato. Por vários anos, incluímos os compromissos de exportação de dados em nossos termos de processamento de dados e continuaremos a adicioná-los depois da implementação do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês). Também trabalharemos continuamente para melhorar a robustez dos recursos de exportação de dados nos serviços do G Suite e em cada um dos serviços do Google Cloud Platform (consulte a documentação do Google Cloud Platform para mais informações).

Você também pode excluir os dados do cliente por meio da funcionalidade dos serviços do G Suite ou do Google Cloud Platform a qualquer momento. Quando o Google receber de você uma instrução para a exclusão total (que acontece, por exemplo, quando não é mais possível recuperar da "lixeira" um e-mail que você havia excluído), ele excluirá os dados relevantes do cliente de todos os sistemas dentro de um período máximo de 180 dias, a menos que obrigações de retenção sejam aplicáveis.

Assistência ao controlador

Direitos do titular dos dados

Os controladores de dados podem usar os consoles administrativos e a funcionalidade dos serviços do G Suite e do Google Cloud Platform para ajudar a acessar, corrigir e restringir o processamento ou excluir quaisquer dados inseridos em nossos sistemas pelos próprios controladores e pelos usuários deles. Com essa funcionalidade, os controladores de dados poderão cumprir as obrigações e responder a solicitações de titulares de dados que quiserem exercer os direitos de acordo com o GDPR.

Equipe de proteção de dados

Nossos clientes do G Suite e do Google Cloud Platform têm uma equipe dedicada para a qual consultas relativas à proteção de dados são direcionadas.

Notificações de incidentes

Por muitos anos, o G Suite e o Google Cloud Platform forneceram compromissos contratuais em relação a notificações de incidentes. Você continuará recebendo notificações imediatas sobre incidentes que envolvam seus dados de cliente, de acordo com os termos de incidentes com dados em nossos contratos atuais e nos termos atualizados que serão aplicados a partir de 25 de maio de 2018, quando o GDPR entrar em vigor.

Transferência de dados internacionais

O GDPR prevê vários mecanismos para facilitar transferências de dados pessoais para fora da UE. O objetivo desses mecanismos é confirmar um nível de proteção adequado ou garantir a implementação de medidas de segurança adequadas na transferência de dados pessoais para outro país.

As medidas de segurança adequadas podem ser estipuladas por cláusulas contratuais modelo. Um nível adequado de proteção pode ser confirmado por decisões de adequação como aquelas que apoiam a Privacy Shield para os Estados Unidos e a União Europeia.

Nós nos comprometemos nos termos dos contratos de processamento de dados atuais a manter um mecanismo que facilita as transferências de dados pessoais para fora da UE como exigido pela Diretiva de proteção de dados e ofereceremos o mesmo compromisso a partir de 25 de maio de 2018, quando o GDPR entrar em vigor.

A certificação do Google de acordo com a Privacy Shield para os Estados Unidos e a União Europeia e para a Suíça e os EUA inclui o G Suite e o Google Cloud Platform. Também recebemos a confirmação das autoridades europeias de proteção de dados com relação à conformidade das nossas cláusulas contratuais modelo. Isso comprova que nossos compromissos contratuais atuais para o G Suite e o Google Cloud Platform atendem totalmente aos requisitos da Diretiva de proteção de dados para estruturar juridicamente as transferências de dados pessoais da UE para o resto do mundo.

Padrões e certificações

Nossos clientes e regulamentadores esperam uma verificação independente de controles de segurança, privacidade e conformidade. Para oferecer essa qualidade, o G Suite e o Google Cloud Platform passam regularmente por diversas auditorias independentes realizadas por terceiros.

  • ISO 27001 (gestão de segurança da informação)

    A ISO 27001 é um dos padrões de segurança independentes mais conhecidos e aceitos internacionalmente. O Google recebeu o certificado da ISO 27001 para os sistemas, apps, pessoas, tecnologia, processos e data centers que compõem nossa infraestrutura comum, assim como para os produtos do G Suite e do Google Cloud Platform.

  • ISO 27017 (segurança no Google Cloud)

    A ISO 27017 é um padrão de práticas para o controle da segurança de informações com base na ISO/IEC 27002, especificamente para os serviços do Google Cloud. O Google está em conformidade com a ISO 27017 para o G Suite e o Google Cloud Platform.

  • ISO 27018 (privacidade no Google Cloud)

    A ISO 27018 é um padrão internacional de práticas para a proteção de informações de identificação pessoal (PII, na sigla em inglês) nos serviços públicos do Google Cloud. O Google está em conformidade com a ISO 27018 para o G Suite e o Google Cloud Platform.

  • SSAE16 / ISAE 3402 (SOC 2/3)

    O Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês), o o Service Organization Control 2 (SOC 2) e a estrutura de auditoria SOC 3 definem princípios de confiabilidade e critérios para segurança, disponibilidade, integridade de processamento e confidencialidade. O Google tem os relatórios de SOC 2 e SOC 3 para o Google Cloud Platform e o G Suite.

Perguntas frequentes

O que é o GDPR?
O Regulamento Geral de Proteção de Dados é a nova legislação de privacidade da UE que substituirá a Diretiva 95/46/EC sobre proteção de dados de 24 de outubro de 1995.
Quando o GDPR entrará em vigor?
O GDPR será diretamente aplicável em todos os Estados-membros da União Europeia a partir de 25 de maio de 2018.
O GDPR exige o armazenamento de dados pessoais na UE?
Não. Como o Diretiva 95/46/EC sobre proteção de dados, o GDPR estabelece determinadas condições para a transferência de dados pessoais fora da UE. Tais condições podem ser atendidas por meio de mecanismos como cláusulas contratuais modelo.
O GDPR concederá aos clientes o direito de auditar o Google Cloud?
De acordo com o GDPR, é necessário que os contratos entre os controladores e os processadores de dados concedam direitos de auditoria aos controladores. Assim, para o benefício dos nossos clientes, incluiremos direitos de auditoria nos contratos de processamento de dados atualizados disponíveis a partir de 25 de maio de 2018, quando o GDPR entrar em vigor.
Qual o papel dos relatórios de ISO 27001, ISO 27017, ISO 27018 e SOC 2/3 elaborados por terceiros de acordo com o GDPR?
Nossos relatórios de auditoria das certificações ISO e SOC 2/3 realizadas por terceiros podem ajudar os clientes a conduzir a avaliação de riscos e determinar se as medidas técnicas e organizacionais adequadas estão sendo tomadas.
Quais outras informações o Google forneceu sobre o GDPR?
Consulte o site Google Business and Data.