¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Google Workspace es la suite de productividad en la nube de Google con Gmail, Drive, Docs y Meet. Como responsable del tratamiento, debe suscribir un DPA y garantizar las transferencias a EE.UU. mediante CCT.
Google Workspace (anteriormente G Suite) es la suite de productividad en la nube de Google para empresas, que incluye Gmail, Google Drive, Docs, Sheets, Slides, Meet y otros servicios. Las organizaciones utilizan Google Workspace como plataforma principal de comunicación y colaboración para sus empleados. Como servicio en la nube estadounidense, Google Workspace está sujeto a requisitos especiales del RGPD en materia de encargo del tratamiento y transferencias a terceros países.
Google Workspace procesa contenidos de correo electrónico, entradas de calendario, documentos, mensajes de chat, datos de videollamadas, direcciones IP, información de dispositivos y metadatos de uso de los empleados. Según la configuración, datos de contactos externos como nombres y emails de clientes también pueden almacenarse en sistemas de Google. Google instala diversas cookies de autenticación (SID, HSID, SSID, NID) y cookies funcionales.
Como responsable del tratamiento, debe suscribir un acuerdo de encargado del tratamiento (DPA) con Google antes de usar Google Workspace para el tratamiento de datos personales. Google proporciona el Cloud Data Processing Addendum (CDPA), que debe aceptarse en la consola de administración de Google en Cuenta e información legal. El DPA debe describir las finalidades, categorías de interesados, tipo de datos y medidas de seguridad.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Google opera una infraestructura global de centros de datos y puede procesar datos en instalaciones de EE.UU. Google ha incorporado CCT en el DPA. Para clientes de Workspace Business Plus y Enterprise, Google ofrece una opción de residencia de datos que permite mantener los datos principales en la UE. Google está además certificado en el Marco de Privacidad de Datos UE-EE.UU. Aun así, los accesos de soporte desde EE.UU. deben documentarse en el registro de transferencias.
Acepte el CDPA de Google en la consola de administración. Configure la región de almacenamiento de datos en UE si su suscripción lo permite. Cree un registro de actividades de tratamiento con Google Workspace como encargado. Realice una evaluación de impacto relativa a la protección de datos. Informe a los empleados sobre el tratamiento de sus datos según los arts. 13 y 14 del RGPD. Configure plazos de conservación y automatismos de eliminación para cuentas de empleados. Revise periódicamente los informes de transparencia y actualizaciones de seguridad de Google.
Websites using Google Workspace must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda encarecidamente una EIPD para la mayoría de implementaciones de Google Workspace, ya que grandes volúmenes de datos personales se procesan en un servicio en la nube de EE.UU.
Sample consent text
El cumplimiento del RGPD para Google Workspace se basa en un acuerdo de procesamiento de datos con Google. Para uso externo con clientes o contactos, aplican obligaciones de información separadas según el art. 13 RGPD.
Third-party domains contacted
accounts.google.comdocs.google.comdrive.google.comcalendar.google.commeet.google.comapis.google.comworkspace.google.commail.google.comchat.google.comadmin.google.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| NID | preferences | 6 months | Stores user preferences such as language and search result display settings across Google services. |
| _Secure-ENID | preferences | 13 months | Remembers user preferences and settings. Serves a similar function to NID with enhanced security attributes. |
| SIDCC | security | Session / 1 year | Security cookie used to verify login integrity and protect user authentication data from unauthorised access. |
| __Secure-1PSIDCC | security | 1 year | First party security cookie verifying the authenticity of the user session and protecting against CSRF attacks. |
| SAPISID | authentication | 2 years | Enables Google to identify the signed in user and their associated Google account across Google services and embedded widgets. |
| 1P_JAR | analytics | 1 month | Collects website statistics and tracks conversion rates for Google services and advertising measurement. |
| CONSENT | functionality | 20 years | Stores the user's cookie consent state for Google services, recording whether the user has accepted or declined cookie usage. |
| HSID | security | 2 years | Security cookie used in combination with SID to verify Google account identity and prevent fraudulent use of login credentials. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Google Workspace instala varias cookies, entre ellas NID y _Secure-ENID para almacenar preferencias de usuario (6 a 13 meses), SIDCC y __Secure-3PSIDCC para seguridad y autenticación, y HSID, SSID, APISID y SAPISID como tokens de autenticación para el inicio de sesión seguro.
Depende del contexto. Para uso organizacional interno por parte de empleados no suele requerirse consentimiento, ya que la ejecución del contrato o el interés legítimo sirve como base jurídica. Para el widget de Google Workspace incrustado en sitios web públicos, las cookies pueden requerir consentimiento.
La base jurídica varía según el caso de uso. Para funciones de productividad básicas de empleados se aplica la ejecución del contrato (art. 6.1.b) o el interés legítimo (art. 6.1.f). Para servicios opcionales o funciones de marketing puede ser necesario el consentimiento según el art. 6.1.a.
Sí. Google opera infraestructura global y puede procesar datos en instalaciones de EE.UU. Google ha incorporado CCT en el acuerdo de procesamiento de datos (CDPA) y está certificado en el Marco de Privacidad de Datos UE-EE.UU. Para clientes Enterprise está disponible una opción de residencia de datos en la UE.
Se recomienda encarecidamente una Evaluación de Impacto para la mayoría de despliegues de Google Workspace y normalmente es obligatoria según el art. 35 del RGPD. Los tratamientos de datos de empleados, comunicaciones con clientes y documentos confidenciales en un servicio de nube de EE.UU. cumplen los criterios de activación de EIPD.
Acepte el CDPA de Google en la consola de administración. Configure la región de almacenamiento en la UE, realice una EIPD y cree un registro de actividades de tratamiento. Informe a empleados y contactos externos según los arts. 13 y 14 del RGPD sobre el tratamiento de sus datos a través de Google Workspace.
Para organizaciones que buscan minimizar las transferencias internacionales de datos, las alternativas incluyen Nextcloud (autoalojable, código abierto), Collabora Online (basado en la UE), ProtonMail Business (Suiza) y Open-Xchange (empresa alemana) con almacenamiento de datos en la UE.
Su política de privacidad debe listar todas las cookies instaladas por widgets de Google Workspace incrustados con nombres, finalidades y duraciones. Indique Google Ireland Limited como encargado del tratamiento en la UE, Google LLC (EE.UU.) como subencargado y referencie el CDPA y las CCT como garantías adecuadas.