El Reglamento Europeo de Protección de Datos (RGPD), que entró en vigor el 25 de mayo, impone el cumplimiento de nuevas obligaciones a las empresas que realizan un tratamiento de datos de los clientes. Entre estas, no podía faltar el servicio que presta Google Empresas. En este artículo te explicamos con detalle si el gigante estadounidense cumple con las obligaciones de proteger datos y cómo una consultoría te puede asesorar.
Cómo Google Empresas cumple con la normativa
El principal servicio que te ofrece Google para empresas es la Suite G, que cuenta con varias aplicaciones para las compañías. El RGPD supone una evolución con respecto a la Ley Orgánica de Protección de Datos (LOPD), sobre todo en lo referente a la autorregulación. Por otra parte, los derechos ARCO que establece la normativa estatal se mantienen y amplían los supuestos. Además, conviene no olvidar que, al tratarse de un servicio a empresas, también se regirá por la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).
Ya el año pasado Google tomó una serie de medidas en algunos servicios para adaptarse a la legislación. Por ejemplo, dejó de leer correos en su servicio de correo electrónico Gmail, técnica que utilizaba para realizar a sus usuarios ofertas de servicios adaptados a sus preferencias. En este caso, había una zona gris en la LSSICE y, en previsión de lo que determinaba el RGPD, la empresa tomó esta decisión unilateral.
En este sentido, podemos decir que el servicio sí cumple con las nuevas obligaciones por los siguientes puntos que indicamos:
1. ¿Se utilizan los datos de forma legítima?
La primera premisa del servicio de Google para las empresas es que el tratamiento y recogida de datos sea consentido, entendiendo como tal una comunicación explícita que permita que el usuario esté informado y acepte. Tradicionalmente, ha tenido la opción de regirse por la legislación estadounidense o la comunitaria, y ha optado por hacerlo por la primera, que es más garantista. Este es el motivo por el que la homologación normativa ha sido tardía.
En cualquier caso, en España hay un dictamen concluyente de la Agencia Española de Protección de Datos (AEPD), concretamente la resolución TI00153/2017. En ella, se dice que la empresa respeta los derechos del usuario en esta materia. Lo más importante es que este dictamen se refería específicamente a su Suite para empresas y a Cloud.
2. ¿Existe un sistema de protección de datos contra software malicioso?
Uno de los principios fundamentales de la nueva normativa europea es la autorregulación, lo que implica evitar los ataques informáticos de oficio y responsabilizarse de esta cuestión. Uno de los aspectos que aporta el servicio de Google es que se realizan automáticamente revisiones de estado para comprobar que no ha habido ninguna instalación de malware. Este sistema de mantenimiento por defecto te permite minimizar los riesgos de ataques o software no deseado.
En consecuencia, la compañía ya realiza un primer filtrado para evitar problemas, lo que es de agradecer cuando se realizan tareas rutinarias. La cantidad de información que se procesa es tal que se debería implementar por defecto.
3. ¿Los sistemas de cifrado son potentes?
No se trata tan solo de contar con sistemas de revisión sino de incluir protocolos que dificulten tanto la instalación de software malicioso, malware, o suplantación de identidad, phishing. En este caso concreto, las suites de Google incluyen protocolos de última generación que marcan la diferencia como, por ejemplo, los TLS y HTTPS. Otro aspecto importante radica en que la empresa ha introducido tecnologías adicionales de cifrado para las cookies.
En este caso, hay que entender que las técnicas para proteger los datos se refieren, más bien, a cuestiones internas que externas. Si una empresa sufre ataques informáticos cuando custodia datos de terceros, será la última responsable.
4. ¿Se realizan análisis periódicos para combatir vulnerabilidades?
Los análisis periódicos introducen un supuesto activo más allá del sistema de revisión automático. En este supuesto, lo que hace Google es comprobar las debilidades del sistema para solucionarlas en ese mismo momento. Hay que recordar que una de las nuevas obligaciones del RGPD consiste en notificar cualquier vulnerabilidad o incidencia que se origine de oficio a la AEPD en un plazo máximo de 48 horas.
Así, se garantizaría que tuvieras la información en el momento adecuado para poder cursar el aviso a las autoridades. El análisis activo da un paso más allá porque permite que sepas ya si hay problemas.
Conclusión
En resumen, podemos afirmar que el servicio de Google Empresas, en general, cumple con lo requerido en la nueva normativa europea. A la espera de la aprobación del Reglamento E-privacy, es una de las herramientas más completas que hay en el mercado en este aspecto. En caso de que lo necesites, un servicio de consultoría especializada te puede ayudar.