¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Google Workspace es la suite de productividad en la nube de Google con Gmail, Drive, Docs y Meet. Como responsable del tratamiento, debe suscribir un DPA y garantizar las transferencias a EE.UU. mediante CCT.
Google Workspace es la suite de productividad en la nube de Google: Gmail, Drive, Docs, Sheets, Slides, Calendar, Meet, Chat, Forms, Sites y Vault. Para los clientes de la UE el contratante es Google Ireland Limited, que actúa como responsable del tratamiento (para la relación administrativa) y como encargado (para los datos del cliente almacenados en el tenant). Google LLC en Estados Unidos es el principal subencargado.
Dentro de la suite, el usuario autenticado tiene cookies de sesión y seguridad de Google en google.com y en el dominio del workspace (SID, HSID, SSID, APISID, SAPISID, OSID, _GRECAPTCHA). Cuando el editor incrusta contenido de Google en un sitio público (Forms, Sites, Maps embed, YouTube, presentaciones publicadas), esas mismas cookies se depositan en el navegador del visitante antes incluso del consentimiento. Esto activa la obligación de consentimiento previo del art. 5(3) ePrivacy y la decisión del EDPS contra el Parlamento Europeo (10 de enero de 2022) confirma que las inserciones públicas de contenido Google están dentro del ámbito.
Para el uso interno por empleados y cuentas, la base jurídica es el contrato laboral o de servicio y el interés legítimo del responsable en la operación de su SI. Para interacciones con terceros (formularios, invitaciones, llamadas Meet con invitados externos), el editor se apoya en consentimiento, necesidad precontractual o interés legítimo según el caso. El DPA de Google Workspace debe firmarse por el cliente; incluye las CCT (módulo 3) y el aviso sobre medidas suplementarias introducidas tras Schrems II.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Google LLC está certificada en el Data Privacy Framework UE Estados Unidos desde el 8 de julio de 2023, lo que proporciona base de adecuación para las transferencias. Los clientes pueden elegir la UE como región principal de datos en reposo, pero el procesamiento transitorio (antispam, antimalware, telemetría) y las copias de seguridad pueden cruzar Estados Unidos y otras regiones. El editor debe realizar una evaluación de impacto de transferencias, documentar las medidas suplementarias (cifrado del lado del cliente CSE de Google Workspace, registros Access Transparency, Access Approvals) y revisarla anualmente. La autoridad bávara sancionó en 2024 a un municipio bávaro por no evaluar las medidas suplementarias pese al DPF.
Firme el DPA de Google Workspace y acepte las CCT módulo 3. Active la región de datos UE y el Client Side Encryption (CSE) para contenidos de alto riesgo. Configure Access Transparency y Access Approvals para auditar el acceso del soporte de Google. Desactive Workspace Labs y servicios adicionales (Bard, funciones de IA) no cubiertos por el mismo DPA. Liste Google Workspace y sus subencargados en su registro de actividades de tratamiento (art. 30 RGPD) y en la política de privacidad. Realice una EIPD cuando trate datos especialmente sensibles (salud, RRHH, jurídico).
Alternativas soberanas o europeas son Microsoft 365 con EU Data Boundary, BlueMind, Tutanota, Proton Business y la francesa Onlyoffice DocSpace. Para el sector público en Francia, la asociación S3NS (Thales y Google) ofrece Workspace bajo una marca de confianza controlada por un actor francés.
Websites using Google Workspace must obtain user consent under GDPR regulations.
DPIA considerations
Una EIPD es recomendable para despliegues de Google Workspace que tratan categorías especiales (RR.HH., salud), grandes volúmenes o usan funciones de IA (Gemini). Documente flujos, plazos, subencargados y garantías Schrems II.
Sample consent text
Nuestra organización utiliza Google Workspace (Gmail, Drive, Docs, Calendar, Meet) operado por Google Ireland Limited como responsable y encargado del tratamiento para el EEE. Hemos firmado el contrato de encargo de Google Workspace y seleccionado la región UE para el almacenamiento. Algunas operaciones transitorias y las copias de seguridad pueden realizarse en Estados Unidos u otras regiones de Google al amparo del Data Privacy Framework y de las Cláusulas Contractuales Tipo. Si nos contacta a través de un formulario compartido, un calendario o una videoconferencia, sus datos se procesan bajo estas garantías. Puede ejercer sus derechos de acceso, rectificación y supresión en cualquier momento.
Third-party domains contacted
accounts.google.comgoogle.comworkspace.google.comdocs.google.comgoogleusercontent.comdrive.google.comgstatic.comcalendar.google.comaccounts.google.commeet.google.comapis.google.comworkspace.google.commail.google.comchat.google.comadmin.google.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| NID | preferences | 6 months | Stores user preferences such as language and search result display settings across Google services. |
| NID | Third party (.google.com) | 6 months | Stores Google account preferences and security related signals; set whenever an embedded Google Workspace component loads. |
| _Secure-ENID | preferences | 13 months | Remembers user preferences and settings. Serves a similar function to NID with enhanced security attributes. |
| CONSENT | Third party (.google.com) | 13 years (rotation) | Records the user's consent state for Google services across products. |
| SIDCC | security | Session / 1 year | Security cookie used to verify login integrity and protect user authentication data from unauthorised access. |
| SOCS | Third party (.google.com) | 13 months | Stores the user's acknowledgement of Google consent state changes. |
| __Secure-1PSIDCC | security | 1 year | First party security cookie verifying the authenticity of the user session and protecting against CSRF attacks. |
| AEC | Third party (.google.com) | 6 months | Ensures requests within a browser session are made by the user, used as anti abuse signal. |
| ANID | Third party (.google.com) | 13 months | Used by Google to deliver and personalise services for signed in users. |
| SAPISID | authentication | 2 years | Enables Google to identify the signed in user and their associated Google account across Google services and embedded widgets. |
| 1P_JAR | analytics | 1 month | Collects website statistics and tracks conversion rates for Google services and advertising measurement. |
| CONSENT | functionality | 20 years | Stores the user's cookie consent state for Google services, recording whether the user has accepted or declined cookie usage. |
| HSID | security | 2 years | Security cookie used in combination with SID to verify Google account identity and prevent fraudulent use of login credentials. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Google Workspace instala varias cookies, entre ellas NID y _Secure-ENID para almacenar preferencias de usuario (6 a 13 meses), SIDCC y __Secure-3PSIDCC para seguridad y autenticación, y HSID, SSID, APISID y SAPISID como tokens de autenticación para el inicio de sesión seguro.
Depende del contexto. Para uso organizacional interno por parte de empleados no suele requerirse consentimiento, ya que la ejecución del contrato o el interés legítimo sirve como base jurídica. Para el widget de Google Workspace incrustado en sitios web públicos, las cookies pueden requerir consentimiento.
La base jurídica varía según el caso de uso. Para funciones de productividad básicas de empleados se aplica la ejecución del contrato (art. 6.1.b) o el interés legítimo (art. 6.1.f). Para servicios opcionales o funciones de marketing puede ser necesario el consentimiento según el art. 6.1.a.
Sí. Google opera infraestructura global y puede procesar datos en instalaciones de EE.UU. Google ha incorporado CCT en el acuerdo de procesamiento de datos (CDPA) y está certificado en el Marco de Privacidad de Datos UE-EE.UU. Para clientes Enterprise está disponible una opción de residencia de datos en la UE.
Se recomienda encarecidamente una Evaluación de Impacto para la mayoría de despliegues de Google Workspace y normalmente es obligatoria según el art. 35 del RGPD. Los tratamientos de datos de empleados, comunicaciones con clientes y documentos confidenciales en un servicio de nube de EE.UU. cumplen los criterios de activación de EIPD.
Acepte el CDPA de Google en la consola de administración. Configure la región de almacenamiento en la UE, realice una EIPD y cree un registro de actividades de tratamiento. Informe a empleados y contactos externos según los arts. 13 y 14 del RGPD sobre el tratamiento de sus datos a través de Google Workspace.
Para organizaciones que buscan minimizar las transferencias internacionales de datos, las alternativas incluyen Nextcloud (autoalojable, código abierto), Collabora Online (basado en la UE), ProtonMail Business (Suiza) y Open-Xchange (empresa alemana) con almacenamiento de datos en la UE.
Su política de privacidad debe listar todas las cookies instaladas por widgets de Google Workspace incrustados con nombres, finalidades y duraciones. Indique Google Ireland Limited como encargado del tratamiento en la UE, Google LLC (EE.UU.) como subencargado y referencie el CDPA y las CCT como garantías adecuadas.
Para uso interno no se instalan cookies en su sitio web; la autenticación usa cookies de Google en accounts.google.com. Al incrustar componentes de Workspace (Forms, Docs, citas de Calendar), Google deposita NID, CONSENT, SOCS, ANID y AEC en google.com y googleusercontent.com.
No se requiere consentimiento para proporcionar Workspace al personal, justificado por el contrato de trabajo. Sí se requiere consentimiento para cualquier componente de Workspace incrustado en un sitio público, ya que deposita cookies y carga scripts de Google.
Para uso interno, ejecución de contrato (art. 6.1.b del RGPD) e interés legítimo (art. 6.1.f). Para incrustaciones públicas, consentimiento (art. 6.1.a + art. 5.3 ePrivacy / art. 22 LSSI).
Sí. Los datos de cliente se procesan en varios centros de Google, incluido EE.UU. Las transferencias están amparadas por el EU US Data Privacy Framework (desde julio de 2023) y las Cláusulas Contractuales Tipo. EU Data Regions permite mantener la mayor parte de los datos en Europa para clientes Enterprise.
Recomendada para despliegues con monitorización del personal, categorías especiales (RR.HH., salud, legal), grandes volúmenes o funciones de IA (Gemini). Documente flujos, plazos, subencargados y garantías Schrems II.
Acepte el DPA, active EU Data Regions, configure retención con Vault, restrinja aplicaciones de terceros, active acceso contextual, audite la actividad admin, inscriba a Google en el registro de actividades. Bloquee las incrustaciones tras la CMP en sitios públicos.
Microsoft 365 (EE.UU., EU Data Boundary), Zoho Workplace (India/UE), Tutanota (Alemania), Proton Mail/Drive (Suiza), Nextcloud (Alemania, autoalojado), OnlyOffice (Letonia/UE), Infomaniak Workspace (Suiza), Open Xchange (Alemania).
Liste Google como tercero para las cookies afectadas (NID, CONSENT, SOCS) cuando el componente esté incrustado. Indique el estado del EU US Data Privacy Framework. Remita a la política de privacidad de Google.