Anexo de Tratamiento de Datos de Cloud (Clientes)

1. Información general

Este Anexo describe las obligaciones de las partes, incluyendo las leyes aplicables de privacidad, seguridad de datos y protección de datos, con respecto al tratamiento y la seguridad de los Datos del Cliente (como se define a continuación). Este Anexo entrará en vigor en la Fecha de Entrada en Vigor del Anexo (como se define a continuación) y reemplazará cualquier término previamente aplicable al tratamiento y la seguridad de los Datos del Cliente. Los términos en mayúscula utilizados pero no definidos en este Anexo tienen el significado que se les atribuye en el Acuerdo.

2. Definiciones

2.1 En este Anexo:

• “Fecha de Entrada en Vigor del Anexo” significa la fecha en la que el Cliente aceptó, o las partes acordaron de otro modo, este Anexo.
• “Controles de Seguridad Adicionales” significa recursos, características, funcionalidades y controles de seguridad que el Cliente puede usar a su elección y según lo determine, incluyendo la Consola de Administración, cifrado, registro y monitoreo, administración de identidad y acceso, escaneo de seguridad y firewalls.
• “Acuerdo” significa el contrato en virtud del cual Google ha acordado proporcionar los Servicios correspondientes al Cliente.
• “Ley de Privacidad Aplicable” significa, según corresponda al tratamiento de Datos Personales del Cliente, cualquier ley o reglamento nacional, federal, de la Unión Europea, estatal, provincial o de otro tipo sobre privacidad, seguridad de datos o protección de datos. 

• “Servicios Auditados” significa los Servicios vigentes en ese momento indicados como dentro del alcance de la certificación o informe correspondiente en https://cloud.google.com/security/compliance/services-in-scope. Google no puede eliminar cualquier Servicio de esta URL a menos que se haya interrumpido de acuerdo con el Acuerdo aplicable.
• “Certificaciones de Cumplimiento” tiene el significado que se le atribuye en la Sección 7.4 (Certificaciones de Cumplimiento e Informes SOC).
• “Datos del Cliente”, si no está definido en el Acuerdo, tiene el significado que se le atribuye en el Apéndice 4 (Productos Específicos).
• “Datos Personales del Cliente” significa los datos personales contenidos en los Datos del Cliente, incluyendo cualquier categoría especial de datos personales o datos confidenciales definidos según la Ley de Privacidad Aplicable.
• “Incidente de Datos” significa una violación de la seguridad de Google que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos del Cliente en sistemas administrados o controlados de otro modo por Google.
• “EMEA” significa Europa, Oriente Medio y África.
• “GDPR de la UE” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE.
• “Ley Europea de Protección de Datos” significa, según corresponda: (a) el GDPR; o (b) la FADP Suiza.
• “Legislación Europea” significa, según corresponda: (a) la legislación de la UE o de los Estados miembros de la UE (si el GDPR de la UE se aplica al tratamiento de datos personales del cliente); (b) la ley del Reino Unido o de una parte del Reino Unido (si el GDPR del Reino Unido se aplica al tratamiento de Datos Personales del Cliente); o (c) la ley de Suiza (si la FADP Suiza se aplica al tratamiento de Datos Personales del cliente).
• “GDPR” significa, según corresponda: (a) el GDPR de la UE; o (b) el GDPR del Reino Unido.
• “Auditor Externo de Google” se refiere a un auditor externo independiente, calificado y designado por Google, cuya identidad actual Google revelará al Cliente.
• “Instrucciones” tiene el significado que se le atribuye en la Sección 5.2 (Cumplimiento con las instrucciones del Cliente).
• “Dirección de Correo Electrónico de Notificación” significa las direcciones de correo electrónico designadas por el Cliente en la Consola de Administración o en el Formulario de Pedido para recibir determinadas notificaciones de Google. 
• “Documentación de Seguridad” significa las Certificaciones de Cumplimiento y los Informes SOC.
• “Medidas de Seguridad” tiene el significado que se le atribuye en la Sección 7.1.1 (Medidas de seguridad de Google).
• “Servicios” significa los servicios aplicables descritos en el Apéndice 4 (Productos específicos).
• “Informes SOC” tiene el significado que se le atribuye en la Sección 7.4 (Certificaciones de cumplimiento e informes SOC).
• “Subencargado” significa un tercero autorizado como otro responsable en virtud de este Anexo para tratar Datos del Cliente con el fin de proporcionar partes de los Servicios y TSS (si corresponde).
• “Autoridad Supervisora” significa, según corresponda: (a) una “autoridad supervisora” tal como se define en el GDPR de la UE; o (b) el “Comisario” tal como se define en el GDPR del Reino Unido o en la FADP Suiza.
• “FADP Suiza” significa, según corresponda, la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza) (con la Ordenanza sobre la Ley Federal de Protección de Datos del 14 de junio de 1993) o la Ley Federal de Protección de Datos modificada del 25 de septiembre de 2020 (Suiza) (con la Ordenanza de la Ley Federal de Protección de Datos del 31 de agosto de 2022).
• “Vigencia” significa el periodo desde la Fecha de Entrada en Vigor del Anexo hasta el final de la prestación de los Servicios por parte de Google, incluyendo, en su caso, cualquier periodo durante el cual se pueda suspender la prestación de los Servicios y cualquier periodo posterior a la terminación durante el cual Google pueda continuar brindando los Servicios para fines transitorios.
• “GDPR del Reino Unido” significa el GDPR de la UE modificado e incorporado a la legislación del Reino Unido en virtud de la Ley de la Unión Europea del Reino Unido (Retiro) de 2018, y la legislación secundaria aplicable elaborada en virtud de esa Ley.

2.2 Los términos “datos personales”, “titular de datos”, “tratamiento”, “responsable” y “encargado” tal como se utilizan en este Anexo tienen el significado que les otorga la Ley de Privacidad Aplicable o, en ausencia de dicho significado o ley, el GDPR de la UE.

2.3 Los términos “titular de datos”, “responsable” y “encargado” incluyen “consumidor”, “empresa” y “prestador de servicios”, respectivamente, según lo exige la Ley de Privacidad Aplicable.

3. Duración

Independientemente de si el Acuerdo aplicable haya terminado o vencido, este Anexo permanecerá en vigor hasta que Google elimine todos los Datos del Cliente y vencerá automáticamente cuando se describa en este Anexo.

4. Funciones; Cumplimiento legal

4.1 Funciones de las Partes. Google es un encargado y el Cliente es un responsable o encargado, según corresponda, de los Datos personales del Cliente.

4.2 Resumen de tratamiento. El tema y los detalles del tratamiento de los Datos personales del Cliente se describen en el Apéndice 1 (Objeto y detalles del tratamiento de datos).

4.3 Cumplimiento con la Ley. Cada parte cumplirá con sus obligaciones relacionadas con el tratamiento de Datos personales del cliente según la Ley de privacidad aplicable.

4.4 Términos legales adicionales. En la medida en que el tratamiento de Datos Personales del Cliente esté sujeto a una Ley de Privacidad Aplicable descrita en el Apéndice 3 (Leyes de Privacidad Específicas), los términos correspondientes en el Apéndice 3 se aplicarán además de estos Términos Generales y prevalecerán como se describe en la Sección 14.1 (Precedencia).

5. Tratamiento de datos

5.1 Clientes Encargados. Si el Cliente es un encargado:

a. El Cliente garantiza de forma continua que el responsable del tratamiento correspondiente ha autorizado:

i. las instrucciones;

ii. la contratación por el cliente de Google como otro encargado; y

iii. la contratación por parte de Google de los Sub Encargados como se describe en la Sección 11 (Subencargados);

b. El Cliente enviará al encargado correspondiente de inmediato y sin demoras indebidas cualquier notificación proporcionada por Google según la Sección 7.2.1 (Notificación de incidente), 9.2.1 (Responsabilidad de las solicitudes) o 11.4 (Oportunidad de oponerse a los Subencargados); y

c. El Cliente podrá poner a disposición del responsable correspondiente cualquier otra información proporcionada por Google en virtud de este Anexo sobre las ubicaciones de los centros de datos de Google o los nombres, ubicaciones y actividades de los Subencargados.

5.2 Cumplimiento con las instrucciones del Cliente. El Cliente indica a Google que trate los Datos del Cliente de acuerdo con el Acuerdo aplicable (incluyendo este Anexo) y la legislación aplicable únicamente de la siguiente manera: 

a. para proporcionar, asegurar y monitorear los Servicios y TSS (en su caso); y

b. como se especifica más a través de:

i. El uso de los Servicios por parte del Cliente (incluso a través de la Consola de Administración) y TSS (si corresponde); y

ii. cualquier otra instrucción escrita proporcionada por el Cliente y reconocida por Google como instrucciones conforme a este Anexo

(colectivamente, el “Instrucciones”).

Google cumplirá con las Instrucciones a menos que lo prohíba la Legislación Europea, cuando se aplique la Ley Europea de Protección de Datos, o lo prohíba la legislación aplicable, cuando se aplique cualquier otra Ley de Privacidad Aplicable.

6. Eliminación de datos

6.1 Eliminación por el Cliente. Google permitirá al Cliente eliminar Datos del Cliente durante la Vigencia de manera consistente con la funcionalidad de los Servicios. Si el Cliente utiliza los Servicios para eliminar cualquier Dato del Cliente durante la Vigencia y esos Datos del Cliente no pueden ser recuperados por el Cliente, este uso constituirá una Instrucción a Google para eliminar los Datos del Cliente relevantes de los sistemas de Google de acuerdo con la legislación aplicable. Google cumplirá con esta Instrucción tan pronto como sea razonablemente posible y en un plazo máximo de 180 días, a menos que la Legislación Europea exija el almacenamiento, cuando se aplique la Ley Europea de Protección de Datos, o la legislación aplicable exija el almacenamiento, cuando se aplique cualquier otra Ley de Privacidad Aplicable.

6.2 Devolución o eliminación al final de la Vigencia. Si el Cliente desea conservar algún Dato del Cliente después del final de la Vigencia, puede indicarle a Google de acuerdo con la Sección 9.1 (Acceso; Rectificación; Tratamiento restringido; Portabilidad) que devuelva esos datos durante la Vigencia. Sujeto a la Sección 6.3 (Instrucción de eliminación diferida), el Cliente indica a Google que elimine todos los Datos del Cliente restantes (incluyendo las copias existentes) de los sistemas de Google al final de la Vigencia de conformidad con la legislación aplicable. Después de un periodo de recuperación de hasta 30 días a partir de esa fecha, Google cumplirá con esta Instrucción tan pronto como sea razonablemente posible y dentro de un periodo máximo de 180 días, a menos que la legislación europea exija el almacenamiento, cuando se aplique la Ley Europea de Protección de Datos, o la legislación aplicable exija almacenamiento, donde se aplique cualquier otra Ley de Privacidad Aplicable.

6.3. Instrucción de eliminación diferida. En la medida en que también se traten los Datos del Cliente cubiertos por la instrucción de eliminación descrita en la Sección 6.2 (Devolución o eliminación al final de la Vigencia), cuando venza la Vigencia aplicable según la Sección 6.2, en relación con un Acuerdo con una Vigencia continua, dicha instrucción de eliminación entrará en vigor con respecto a dichos Datos del Cliente únicamente cuando venza la Vigencia continua. Para mayor claridad, este Anexo seguirá aplicándose a dichos Datos del Cliente hasta que Google los elimine.

7. Seguridad de los datos

7.1 Medidas de seguridad, controles y asistencia de Google.

7.1.1 Medidas de seguridad de Google. Google implementará y mantendrá medidas técnicas, organizativas y físicas para proteger los Datos del Cliente contra destrucción, pérdida, alteración, divulgación o acceso no autorizado, accidental o ilegal, como se describe en el Apéndice 2 (Medidas de seguridad) (las “Medidas de Seguridad”). Las Medidas de Seguridad incluyen medidas para cifrar los Datos del Cliente; para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de Google; para ayudar a restaurar el acceso oportuno a los Datos del Cliente después de un incidente; y para pruebas periódicas de eficacia. Google puede actualizar las Medidas de Seguridad de tiempo en tiempo, siempre que dichas actualizaciones no resulten en una reducción material de la seguridad de los Servicios.

7.1.2 Acceso y cumplimiento. Google hará lo siguiente:

a. autorizar a sus empleados, contratistas y Subencargados a acceder a los Datos del Cliente únicamente en la medida estrictamente necesaria para cumplir con las Instrucciones;

b. tomar las medidas adecuadas para garantizar el cumplimiento de las Medidas de Seguridad por parte de sus empleados, contratistas y Subencargados en la medida aplicable a su alcance de desempeño; y

c. garantizar que todas las personas autorizadas para tratar los Datos del Cliente tengan la obligación de confidencialidad.

7.1.3 Controles de seguridad adicionales. Google pondrá controles de seguridad adicionales a disposición para:

a. permitir al Cliente tomar medidas para proteger los Datos del Cliente; y

b. proporcionar al Cliente información sobre cómo proteger, acceder y utilizar los Datos del Cliente.

7.1.4 Asistencia de seguridad de Google. Google (teniendo en cuenta la naturaleza del tratamiento de los Datos personales del Cliente y la información disponible para Google) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones (o, cuando el Cliente sea un encargado, las del responsable correspondiente) relacionadas con la seguridad y las violaciones de datos personales. bajo la Ley de Privacidad Aplicable, mediante:

a. la implementación y mantenimiento las Medidas de Seguridad de acuerdo con la Sección 7.1.1 (Medidas de seguridad de Google);

b. la puesta a disposición de controles de seguridad adicionales de acuerdo con la Sección 7.1.3 (Controles de seguridad adicionales);

c. el cumplimiento con los términos de la Sección 7.2 (Incidentes de datos);

d. la puesta a disposición de la Documentación de Seguridad de acuerdo con la Sección 7.5.1 (Revisiones de la documentación de seguridad) y proporcionando la información contenida en el Acuerdo aplicable (incluyendo este Anexo); y

e. si las subsecciones (a) a (d) anteriores son insuficientes para que el Cliente (o el responsable correspondiente) cumpla con dichas obligaciones, a solicitud del Cliente, brindándole cooperación y asistencia adicional razonable.

7.2 Incidentes de datos.

7.2.1 Notificación de incidente. Google notificará al Cliente de inmediato y sin demoras indebidas después de tener conocimiento de un Incidente de datos, y tomará de inmediato medidas razonables para minimizar los daños y proteger los Datos del Cliente.

7.2.2 Detalles del incidente de datos. La notificación de Google de un Incidente de Datos describirá: la naturaleza del Incidente de Datos, incluyendo los recursos del Cliente afectados; las medidas que Google ha tomado o planea tomar para abordar el Incidente de Datos y mitigar su riesgo potencial; las medidas, si las hubiera, que Google recomienda que el Cliente tome para abordar el Incidente de Datos; y detalles de un punto de contacto donde se puede obtener más información. Si no es posible proporcionar toda esa información al mismo tiempo, la notificación inicial de Google contendrá la información disponible en ese momento y se proporcionará más información sin demora indebida a medida que esté disponible.

7.2.3 Ausencia de evaluación de los Datos del Cliente por Google. Google no tiene la obligación de evaluar los Datos del Cliente para identificar información sujeta a requisitos legales específicos.

7.2.4 Ausencia de reconocimiento de culpa por Google. La notificación o respuesta de Google a un Incidente de Datos conforme a esta Sección 7.2 (Incidentes de datos) no se interpretará como un reconocimiento por de Google de cualquier falla o responsabilidad con respecto al Incidente de Datos.

7.3 Responsabilidades y evaluación de seguridad del Cliente.

7.3.1 Responsabilidades de seguridad del cliente. Sin perjuicio de las obligaciones de Google en virtud de las Secciones 7.1 (Medidas de seguridad, controles y asistencia de Google) y 7.2 (Incidentes de datos), y en otras partes del Acuerdo aplicable, el Cliente es responsable del uso de los Servicios y del almacenamiento de cualquier copia de los Datos del Cliente fuera de los sistemas de Google o de los Subencargados de Google, incluyendo:

a. el uso de los Servicios y Controles de Seguridad Adicionales para garantizar un nivel de seguridad adecuado al riesgo de los Datos del Cliente;

b. la protección de las credenciales, los sistemas y los dispositivos de autenticación de la cuenta que el Cliente utiliza para acceder a los Servicios; y

c. la realización de copias de seguridad o conservar copias de sus Datos del Cliente, según corresponda.

7.3.2 Evaluación de seguridad del Cliente. El Cliente acepta que los Servicios, las Medidas de Seguridad, los Controles de Seguridad Adicionales y los compromisos de Google en virtud de esta Sección 7 (Seguridad de datos) brindan un nivel de seguridad apropiado al riesgo de los Datos del Cliente (teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del tratamiento de Datos del Cliente, así como los riesgos para las personas).

7.4 Certificaciones de cumplimiento e informes SOC. Google mantendrá al menos lo siguiente para los Servicios auditados para verificar la eficacia continua de las Medidas de Seguridad:

a. certificados para ISO 27001 y cualquier certificación adicional descrita en el Apéndice 4 (Productos específicos) (las “Certificaciones de Cumplimiento”); y

b. Informes SOC 2 y SOC 3 elaborados por el auditor externo de Google y actualizados anualmente en función de una auditoría realizada al menos una vez cada 12 meses (el“Informes SOC”).

Google puede agregar estándares en cualquier momento. Google puede reemplazar una Certificación de Cumplimiento o un Informe SOC por una alternativa equivalente o mejorada.

7.5 Revisiones y Auditorías de Cumplimiento.

7.5.1 Revisiones de Documentación de Seguridad. Para demostrar el cumplimiento por parte de Google de sus obligaciones en virtud de este Anexo, Google pondrá la Documentación de Seguridad a disposición del Cliente para que la revise y, si el Cliente es un encargado, le permitirá solicitar acceso a los Informes SOC para el responsable correspondiente de acuerdo con la Sección 7.5.3 (Términos comerciales adicionales para revisiones y auditorías).

7.5.2 Derechos de auditoría del Cliente.

a. Auditoría del Cliente. Google, si así lo exige la Ley de Privacidad Aplicable, permitirá que el Cliente o un auditor independiente designado por el Cliente realice auditorías (incluyendo inspecciones) para verificar el cumplimiento por parte de Google de sus obligaciones en virtud de este Anexo de conformidad con la Sección 7.5.3 (Términos comerciales adicionales para revisiones y auditorías). Durante una auditoría, Google cooperará razonablemente con el Cliente o su auditor como se describe en esta Sección 7.5 (Revisiones y auditorías de cumplimiento).

b. Revisión independiente del Cliente. El Cliente puede realizar una auditoría para verificar el cumplimiento por parte de Google de sus obligaciones en virtud de este Anexo revisando la Documentación de Seguridad (que refleja el resultado de las auditorías realizadas por el auditor externo de Google).

7.5.3 Términos comerciales adicionales para revisiones y auditorías.

a. El cliente debe comunicarse con el Equipo de Protección de Datos en Cloud de Google para solicitar:

i. acceso a los Informes SOC para un responsable relevante según la Sección 7.5.1 (Revisiones de la documentación de seguridad); o

ii. una auditoría según la Sección 7.5.2(a) (Auditoría del Cliente).

b. Tras una solicitud del Cliente conforme a la Sección 7.5.3(a), Google y el Cliente discutirán y acordarán de antemano lo siguiente: 

i. controles de seguridad y confidencialidad aplicables a cualquier acceso a los Informes SOC por parte de un responsable relevante según la Sección 7.5.1 (Revisiones de la documentación de seguridad); y

ii. la fecha de inicio razonable, el alcance y la duración de los controles de seguridad y confidencialidad aplicables a cualquier auditoría según la Sección 7.5.2(a) (Auditoría del Cliente).

c. Google puede cobrar una tarifa (basada en los costos razonables de Google) por cualquier auditoría según la Sección 7.5.2(a) (Auditoría del Cliente). Google proporcionará al Cliente más detalles sobre cualquier tarifa aplicable y la base de su cálculo, antes de dicha auditoría. El Cliente será responsable de los honorarios cobrados por cualquier auditor designado por el Cliente para ejecutar dicha auditoría.

d. Google puede objetar por escrito a un auditor designado por el Cliente para realizar cualquier auditoría según la Sección 7.5.2(a) (Auditoría del Cliente) si el auditor, en la opinión razonable de Google, no está adecuadamente calificado o no es independiente, es un competidor de Google, o de otra manera manifiestamente inadecuado. Cualquier objeción de este tipo por parte de Google requerirá que el Cliente designe a otro auditor o realice la auditoría él mismo.

e. Cualquier solicitud del Cliente en virtud del Apéndice 3 (Leyes de privacidad específicas) o el Apéndice 4 (Productos específicos) para acceder a cualquier Informe SOC para un responsable relevante o para auditorías también estará sujeta a esta Sección 7.5.3 (Términos comerciales adicionales para revisiones y auditorías).

8. Evaluaciones y consultas de impacto

Google (teniendo en cuenta la naturaleza del tratamiento y la información disponible para Google) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones (o, cuando el Cliente sea un encargado, las del responsable correspondiente) relacionadas con evaluaciones de protección de datos, evaluaciones de riesgos, consultas reglamentarias previas o procedimientos equivalentes conforme a la Ley de Privacidad Aplicable:

a. poniendo a disposición Controles de Seguridad Adicionales de acuerdo con la Sección 7.1.3 (Controles de Seguridad Adicionales) y la Documentación de Seguridad disponible de acuerdo con la Sección 7.5.1 (Revisiones de la Documentación de Seguridad);

b. proporcionando la información contenida en el Acuerdo aplicable (incluyendo este Anexo); y

c. si las subsecciones (a) y (b) anteriores son insuficientes para que el Cliente (o el responsable correspondiente) cumpla con dichas obligaciones, a solicitud del Cliente, brindándole cooperación y asistencia adicional razonable.

9. Acceso; Derechos del titular; Exportación de datos

9.1 Acceso; Rectificación; Tratamiento restringido; Portabilidad. Durante la Vigencia, Google permitirá al Cliente, de manera consistente con la funcionalidad de los Servicios, acceder, rectificar y restringir el tratamiento de los Datos del Cliente, incluso a través de la funcionalidad de eliminación proporcionada por Google como se describe en la Sección 6.1 (Eliminación por el Cliente), y exportar Datos del Cliente. Si el Cliente se da cuenta de que alguno de los Datos Personales del Cliente es inexacto o está desactualizado, el Cliente será responsable de utilizar dicha funcionalidad para rectificar o eliminar esos datos si así lo exige la Ley de Privacidad Aplicable. 

9.2 Solicitudes de titulares.

9.2.1 Responsabilidad de las solicitudes. Durante la Vigencia, si el Equipo de Protección de Datos en Cloud de Google recibe una solicitud de un titular que se relaciona con los Datos Personales del Cliente e identifica al Cliente, Google hará lo siguiente:

a. aconsejar al titular que envíe su solicitud al Cliente;

b. notificar de inmediato al Cliente; y

c. no responder de otra manera a la solicitud de ese titular sin la autorización del Cliente.

El Cliente será responsable de responder a dicha solicitud, incluyendo, cuando sea necesario, mediante el uso de la funcionalidad de los Servicios.

9.2.2 Asistencia para solicitudes de titulares ​​de Google. Google (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Cliente) ayudará al Cliente a cumplir sus obligaciones (o, cuando el Cliente sea un encargado, las del responsable correspondiente) según la Ley de Privacidad Aplicable para responder a las solicitudes de ejercicio de los derechos del titular mediante :

a. la puesta a disposición controles de seguridad adicionales de acuerdo con la Sección 7.1.3 (Controles de seguridad adicionales);

b. el cumplimiento con las Secciones 9.1 (Acceso; Rectificación; Tratamiento restringido; Portabilidad) y 9.2.1 (Responsabilidad de las solicitudes); y

c. si las subsecciones (a) y (b) anteriores son insuficientes para que el Cliente (o el responsable correspondiente) cumpla con dichas obligaciones, a solicitud del Cliente, brindándole cooperación y asistencia adicional razonable.

10. Ubicaciones de tratamiento de datos

10.1 Instalaciones de almacenamiento y tratamiento de datos. Sujeto a los compromisos de ubicación de datos de Google según los Términos Específicos del Servicio y los compromisos de transferencia de datos según el Apéndice 3 (Leyes de privacidad específicas), si corresponde, los Datos del Cliente pueden tratarse en cualquier país donde Google o sus Subencargados tengan instalaciones.

10.2 Información del centro de datos. Las ubicaciones de los centros de datos de Google se describen en el Apéndice 4 (Productos específicos).

11. Subencargados

11.1 Consentimiento para la participación del subencargado. El Cliente autoriza específicamente la participación de Google como Subencargados de aquellas entidades divulgadas como se describe en la Sección 11.2 (Información sobre los Subencargados) a partir de la Fecha de Entrada en Vigor del Anexo. Además, sin perjuicio de la Sección 11.4 (Oportunidad de oponerse a los subencargados), el Cliente generalmente autoriza la contratación por parte de Google de otros terceros como subencargados (“Nuevos Subencargados”).

11.2 Información sobre Subencargados. Los nombres, ubicaciones y actividades de los Subencargados se describen en el Apéndice 4 (Productos específicos).

11.3 Requisitos para la contratación del Subencargado. Al contratar a cualquier Subencargado, Google hará lo siguiente:

a. garantizar mediante un contrato escrito que:

i. el Subencargado únicamente accede y utiliza los Datos del Cliente en la medida necesaria para cumplir con las obligaciones que se le subcontratan, y lo hace de conformidad con el Acuerdo aplicable (incluyendo este Anexo); y

ii. si así lo exigen las Leyes de Privacidad Aplicables, las obligaciones de protección de datos descritas en este Anexo se imponen al Subencargado (como se puede describir con más detalle en el Apéndice 3 (Leyes de privacidad específicas)); y

b. seguirá siendo totalmente responsable de todas las obligaciones subcontratadas y de todos los actos y omisiones del Subencargado.

11.4 Oportunidad de objetar a los Subencargados.

a. Cuando Google contrate a un nuevo Subencargado durante la Vigencia, Google, al menos 30 días antes de que el nuevo Subencargado comience a tratar cualquier dato del cliente, notificará al Cliente sobre la contratación (incluyendo el nombre, la ubicación y las actividades del nuevo Subencargado).

b. El Cliente puede, dentro de los 90 días posteriores a haber sido notificado de la contratación de un Nuevo Subencargado, objetar terminando inmediatamente el Acuerdo aplicable por conveniencia:

i. de conformidad con la disposición de terminación por conveniencia de ese Acuerdo; o

ii. si no existe tal disposición, notificándolo a Google.

12. Equipo de Protección de Datos de Cloud; Registros de tratamiento

12.1 Equipo de Protección de Datos de Cloud. El Equipo de Protección de Datos en Cloud de Google brindará asistencia rápida y razonable con cualquier consulta del Cliente relacionada con el tratamiento de Datos del Cliente en virtud del Acuerdo aplicable y se puede contactar con él como se describe en la sección Avisos del Acuerdo aplicable o en el Apéndice 4 (Productos específicos).

12.2 Registros de tratamiento de Google. Google conservará la documentación adecuada de sus actividades de tratamiento según lo exige la Ley de Privacidad Aplicable. En la medida en que cualquier Ley de Privacidad Aplicable requiera que Google recopile y mantenga registros de cierta información relacionada con el Cliente, el Cliente utilizará la Consola de Administración u otros medios identificados en el Apéndice 4 (Productos específicos) para proporcionar dicha información y mantenerla precisa y actualizada. Google puede poner dicha información a disposición de los reguladores competentes, incluyendo una Autoridad de Supervisión, si así lo exige la Ley de Privacidad Aplicable.

12.3 Solicitudes del responsable. Durante la Vigencia, si el Equipo de Protección de Datos en Cloud de Google recibe una solicitud o instrucción de un tercero que afirma ser un responsable de los Datos Personales del Cliente, Google le recomendará al tercero que se comunique con el Cliente.

13. Notificaciones

Las notificaciones en virtud de este Anexo (incluyendo las notificaciones de cualquier incidente de datos) se enviarán a la Dirección de Correo Electrónico de Notificación. El Cliente es responsable de utilizar la Consola de Administración para garantizar que su Dirección de Correo Electrónico de Notificación permanezca actualizada y válida.

14. Interpretación

14.1 Precedencia. En la medida de cualquier conflicto entre:

a. El Apéndice 3 (Leyes de privacidad específicas) y el resto del Anexo (incluyendo el Apéndice 4 (Productos específicos)), prevalecerá el Apéndice 3; y

b. El Apéndice 4 (Productos específicos) y en el resto del Anexo (excluyendo el Apéndice 3), prevalecerá el Apéndice 4; y

c. Este Anexo y el resto del Acuerdo, este Anexo prevalecerá.

Para mayor claridad, si el Cliente tiene más de un Acuerdo, este Anexo modificará cada uno de los Acuerdos por separado.

14.2 Referencias de sección. A menos que se indique lo contrario, las referencias a las secciones en cualquier Apéndice de este Anexo se refieren a secciones de los Términos Generales del Anexo.

Objeto

La prestación por parte de Google de los Servicios y TSS (si corresponde) al Cliente.

Duración del tratamiento

La Vigencia más el periodo desde el final de la Vigencia hasta la eliminación de todos los Datos del Cliente por parte de Google de conformidad con este Anexo.

Naturaleza y finalidad del tratamiento

Google tratará los Datos Personales del Cliente con el fin de proporcionar los Servicios y TSS (si corresponde) al Cliente de acuerdo con este Anexo.

Categorías de datos

Datos relacionados con personas proporcionados a Google a través de los Servicios, por (o bajo la dirección de) el Cliente o por sus Usuarios Finales.

Titulares

Los titulares ​​incluyen las personas sobre las cuales el Cliente o sus Usuarios Finales proporcionan datos a Google a través de los Servicios (o bajo sus instrucciones).

A partir de la Fecha de Entrada en Vigor del Anexo, Google implementará y mantendrá las Medidas de Seguridad descritas en este Apéndice 2.

1. Seguridad del centro de datos y de la red

(a) Centros de datos.

Infraestructura. Google mantiene centros de datos distribuidos geográficamente. Google almacena todos los datos de producción en centros de datos físicamente seguros.

Redundancia. Los sistemas de infraestructura se han diseñado para eliminar puntos únicos de falla y minimizar el impacto de los riesgos ambientales anticipados. Los circuitos duales, conmutadores, redes u otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios están diseñados para permitir que Google realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupción. Todos los equipos e instalaciones ambientales cuentan con procedimientos de mantenimiento preventivo documentados que detallan el proceso y la frecuencia de desempeño de acuerdo con las especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo de los equipos del centro de datos se programa mediante un proceso de cambio estándar según los procedimientos documentados.

Energía. Los sistemas de energía eléctrica del centro de datos están diseñados para ser redundantes y mantenibles sin afectar las operaciones continuas, las 24 horas del día, los 7 días de la semana. En la mayoría de los casos, se proporciona una fuente de energía primaria y otra alternativa, cada una con la misma capacidad, para los componentes críticos de la infraestructura del centro de datos. La energía de respaldo es proporcionada por varios mecanismos, como las baterías de las fuentes de alimentación ininterrumpida (UPS, por sus siglas en inglés), que brindan una protección de energía consistentemente confiable durante cortes de energía, apagones, sobrevoltaje, subvoltaje y condiciones de frecuencia fuera de tolerancia. Si se interrumpe la energía de la red pública, la energía de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a plena capacidad, por hasta 10 minutos hasta que los sistemas del generador de respaldo tomen el control. Los generadores de respaldo son capaces de arrancar automáticamente en segundos para proporcionar suficiente energía eléctrica de emergencia para hacer funcionar el centro de datos a plena capacidad, generalmente durante un período de días.

Sistemas operativos de servidor. Los servidores de Google utilizan una implementación basada en Linux personalizada para el entorno de la aplicación. Los datos se almacenan mediante algoritmos patentados para aumentar la seguridad y la redundancia de los datos.

Calidad del código. Google emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para proporcionar los Servicios y mejorar los productos de seguridad en entornos de producción.

Continuidad de negocios. Google ha diseñado, planifica y prueba periódicamente sus programas de recuperación ante desastres y planificación de la continuidad del negocio.

(b) Redes y transmisión.

Transmisión de datos. Los centros de datos suelen estar conectados a través de enlaces privados de alta velocidad para proporcionar una transmisión de datos rápida y segura entre centros de datos. Esto está diseñado para evitar que los datos se lean, copien, alteren o eliminen sin autorización durante la transferencia o el transporte electrónico o mientras se graban en medios de almacenamiento de datos. Google transfiere datos a través de protocolos estándar de Internet.

Superficie de ataque externo. Google emplea múltiples capas de dispositivos de red y detección de intrusiones para proteger su superficie de ataque externo. Google considera posibles vectores de ataque e incorpora tecnologías apropiadas diseñadas específicamente en sistemas externos.

Detección de intrusiones. La detección de intrusiones tiene como objetivo proporcionar información sobre las actividades de ataque en curso y proporcionar información adecuada para responder a los incidentes. La detección de intrusiones de Google implica: (i) controlar estrictamente el tamaño y la composición de la superficie de ataque de Google mediante medidas preventivas; (ii) emplear controles de detección inteligentes en los puntos de entrada de datos; y (iii) emplear tecnologías que remedien automáticamente determinadas situaciones peligrosas.

Respuesta a incidentes. Google monitorea una variedad de canales de comunicación para detectar incidentes de seguridad y el personal de seguridad de Google reaccionará con prontitud ante los incidentes conocidos.

Tecnologías de cifrado. Google pone a disposición el cifrado HTTPS (también conocido como conexión SSL o TLS). Los servidores de Google admiten el intercambio de claves criptográficas Diffie-Hellman de curva elíptica efímera firmado con RSA y ECDSA. Estos métodos de secreto directo perfecto (PFS) ayudan a proteger el tráfico y minimizar el impacto de una clave comprometida o un avance criptográfico.

2. Controles de acceso y del sitio

(a) Controles de Sitio.

Operación de seguridad del centro de datos en el sitio. Los centros de datos de Google mantienen una operación de seguridad in situ responsable de todas las funciones de seguridad del centro de datos físico las 24 horas del día, los 7 días de la semana. El personal de operaciones de seguridad en el sitio monitorea las cámaras de circuito cerrado de televisión (CCTV) y todos los sistemas de alarma. El personal de operaciones de seguridad en el sitio realiza patrullas internas y externas del centro de datos con regularidad.

Procedimientos de acceso al centro de datos. Google mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos están ubicados en instalaciones que requieren acceso con llave de tarjeta electrónica, con alarmas que están vinculadas a la operación de seguridad en el sitio. Todos los que ingresan al centro de datos deben identificarse y mostrar prueba de identidad ante las operaciones de seguridad en el sitio. Solo los empleados, contratistas y visitantes autorizados pueden ingresar a los centros de datos. Sólo los empleados y contratistas autorizados pueden solicitar acceso con tarjeta electrónica a estas instalaciones. Las solicitudes de acceso a la clave de la tarjeta electrónica del centro de datos deben realizarse a través de correo electrónico y requieren la aprobación del gerente del solicitante y del director del centro de datos. Todos los demás participantes que requieran acceso temporal al centro de datos deben: (i) obtener la aprobación previa de los administradores del centro de datos para el centro de datos específico y las áreas internas que desean visitar; (ii) registrarse en las operaciones de seguridad del sitio; y (iii) hacer referencia a un registro de acceso al centro de datos aprobado que identifique al individuo como aprobado.

Dispositivos de seguridad del centro de datos en el sitio. Los centros de datos de Google emplean un sistema de control de acceso de autenticación dual que está vinculado a un sistema de alarma. El sistema de control de acceso monitorea y registra la tarjeta electrónica de cada individuo y cuándo accede a las puertas perimetrales, envío y recepción, y otras áreas críticas. El sistema de control de acceso registra la actividad no autorizada y los intentos fallidos de acceso y los investiga, según corresponda. El acceso autorizado a todas las operaciones comerciales y centros de datos está restringido según las zonas y las responsabilidades laborales del individuo. Los cortafuegos de los centros de datos están alarmados. Las cámaras de seguridad están operativas tanto dentro como fuera de los centros de datos. El posicionamiento de las cámaras ha sido diseñado para cubrir áreas estratégicas que incluyen, entre otras, el perímetro, las puertas del edificio del centro de datos y el envío/recepción. El personal de operaciones de seguridad en el sitio administra el equipo de monitoreo, grabación y control de cámaras de seguridad. Hay cables seguros en todos los centros de datos conectados al equipo de cámaras de seguridad. Las cámaras graban in situ mediante grabadoras de vídeo digitales las 24 horas del día, los 7 días de la semana. Los registros de vigilancia se conservan hasta por 30 días según la actividad.

(b) Control de acceso.

Personal de seguridad de infraestructura. Google tiene y mantiene una política de seguridad para su personal y requiere capacitación en seguridad como parte del paquete de capacitación para su personal. El personal de seguridad de la infraestructura de Google es responsable del monitoreo continuo de la infraestructura de seguridad de Google, la revisión de los Servicios y la respuesta a incidentes de seguridad.

Control de acceso y gestión de privilegios. Los Administradores y Usuarios Finales del Cliente deben autenticarse a través de un sistema de autenticación central o mediante un sistema de inicio de sesión único para poder utilizar los Servicios.

Procesos y políticas de acceso a datos internos – Política de acceso. Los procesos y políticas internos de acceso a datos de Google están diseñados para evitar que personas y sistemas no autorizados obtengan acceso a los sistemas utilizados para tratar los Datos del Cliente. Google diseña sus sistemas para (i) permitir que únicamente personas autorizadas accedan a los datos a los que están autorizadas a acceder; y (ii) garantizar que los Datos del Cliente no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante el tratamiento, el uso y después del registro. Los sistemas están diseñados para detectar cualquier acceso inadecuado. Google emplea un sistema de gestión de acceso centralizado para controlar el acceso del personal a los servidores de producción y únicamente proporciona acceso a un número limitado de personal autorizado. Los sistemas de autenticación y autorización de Google utilizan certificados SSH y claves de seguridad, y están diseñados para proporcionar a Google mecanismos de acceso seguros y flexibles. Estos mecanismos están diseñados para otorgar únicamente derechos de acceso aprobados a los hosts del sitio, registros, datos e información de configuración. Google requiere el uso de identificaciones de usuario únicas, contraseñas seguras, autenticación de dos factores y listas de acceso cuidadosamente monitoreadas para minimizar el potencial de uso no autorizado de la cuenta. El otorgamiento o modificación de derechos de acceso se fundamenta en: las responsabilidades laborales del personal autorizado; requisitos de deberes laborales necesarios para realizar tareas autorizadas; y una base de necesidad de saber. La concesión o modificación de los derechos de acceso también debe ser conforme a las políticas internas de acceso a datos y formación de Google. Las aprobaciones se gestionan mediante herramientas de flujo de trabajo que mantienen registros de auditoría de todos los cambios. El acceso a los sistemas se registra para crear un registro de auditoría para la rendición de cuentas. Cuando se emplean contraseñas para la autenticación (por ejemplo, iniciar sesión en estaciones de trabajo), se implementan políticas de contraseñas que siguen al menos las prácticas estándar de la industria. Estos estándares incluyen restricciones sobre la reutilización de contraseñas y una seguridad de contraseña suficiente. Para acceder a información extremadamente sensible (por ejemplo, datos de tarjetas de crédito), Google utiliza tokens de hardware.

3. Datos

(a) Almacenamiento, aislamiento y registro de datos. Google almacena datos en un entorno multiusuario en servidores propiedad de Google. Sujeto a instrucciones en contrario (por ejemplo, en forma de selección de ubicación de datos), Google replica los Datos del Cliente entre múltiples centros de datos dispersos geográficamente. Google también aísla lógicamente los Datos del Cliente. El cliente tendrá control sobre políticas específicas de intercambio de datos. Esas políticas, de acuerdo con la funcionalidad de los Servicios, permitirán al Cliente determinar las configuraciones para compartir productos aplicables a sus Usuarios finales para propósitos específicos. El Cliente puede optar por utilizar la función de registro que Google pone a disposición a través de los Servicios.

(b) Discos Retiradoss y Política de Borrado de Discos. Los discos que contienen datos pueden experimentar problemas de rendimiento, errores o fallas de hardware que los lleven a ser retirados de servicio (“Disco Retirado”). Cada Disco Retirado está sujeto a una serie de procesos de destrucción de datos (la “Política de Borrado de Discos”) antes de abandonar las instalaciones de Google, ya sea para su reutilización o destrucción. Los Discos Retirados se borran en un proceso de varios pasos y al menos dos validadores independientes los verifican completos. Los resultados del borrado se registran mediante el número de serie del Disco Retirado para su seguimiento. Finalmente, el Disco Retirado borrado se libera al inventario para su reutilización y redistribución. Si, debido a una falla del hardware, el Disco Retirado no se puede borrar, se almacena de forma segura hasta que se pueda destruir. Cada instalación es auditada periódicamente para monitorear el cumplimiento de la Política de Borrado de Discos.

4. Seguridad del personal

El personal de Google debe comportarse de manera coherente con los lineamientos de la empresa en materia de confidencialidad, ética comercial, uso apropiado y estándares profesionales. Google lleva a cabo verificaciones de antecedentes razonablemente adecuadas en la medida en que lo permita la ley y de acuerdo con la legislación laboral y las regulaciones legales locales aplicables.

El personal de Google debe suscribir un acuerdo de confidencialidad y debe acusar recibo y cumplir con las políticas de confidencialidad y privacidad de Google. El personal recibe capacitación de seguridad. El personal que maneja los Datos del Cliente debe completar requisitos adicionales apropiados para su función (por ejemplo, certificaciones). El personal de Google no tratará los Datos del Cliente sin autorización.

5. Seguridad del Subencargado

Antes de incorporar a los Subencargados, Google lleva a cabo una auditoría de las prácticas de seguridad y privacidad de los Subencargados para garantizar que proporcionen un nivel de seguridad y privacidad apropiado para su acceso a los datos y el alcance de los servicios que están comprometidos a brindar. Una vez que Google haya evaluado los riesgos presentados por el Subencargado, sujeto a los requisitos descritos en la Sección 11.3 (Requisitos para la participación del Subencargado), el Subencargado deberá celebrar los términos apropiados del contrato de seguridad, confidencialidad y privacidad.

Los términos de cada subsección de este Apéndice 3 se aplican únicamente cuando la ley correspondiente se aplica al tratamiento de Datos Personales del Cliente.

Ley Europea de Protección de Datos

1. Definiciones adicionales.

• “País Adecuado” significa:

(a) para datos tratados ​​sujetos al GDPR de la UE: el Espacio Económico Europeo, o un país o territorio reconocido como garante de una protección adecuada según el GDPR de la UE;

(b) para datos tratados ​​sujetos al GDPR del Reino Unido: el Reino Unido, o un país o territorio reconocido como que garantiza una protección adecuada según el GDPR del Reino Unido y la Ley de Protección de Datos de 2018; o

(c) para datos tratados ​​sujetos a la FADP Suiza: Suiza, o un país o territorio que esté: (i) incluido en la lista de estados cuya legislación garantiza una protección adecuada según lo publicado por el Comisionado Federal Suizo de Protección de Datos e Información, en su caso; o (ii) reconocido como garantía de protección adecuada por el Consejo Federal Suizo en el marco del FADP suizo;

en cada caso, salvo sobre la base de un marco facultativo de protección de datos.

• “Solución de Transferencia Alternativa” significa una solución, distinta de SCC, que permite la transferencia legal de datos personales a un tercer país de acuerdo con la Ley Europea de Protección de Datos, por ejemplo, un marco de protección de datos reconocido que garantiza que las entidades participantes brinden la protección adecuada.
• “SCC de Clientes” significa las SCC (Responsable a Encargado), las SCC (Encargado a Encargado) o las SCC (Encargado a Responsable), según corresponda.
• “SCC” se refiere a las SCC del Cliente o SCC (Encargado a Encargado, Exportador de Google), según corresponda.
• “SCC (Responsable a Encargado)” significa los términos en: https://cloud.google.com/terms/sccs/eu-c2p
• “SCC (Encargado a Responsable)” significa los términos en: https://cloud.google.com/terms/sccs/eu-p2c
• “SCC (Encargado a Encargado )” significa los términos en: https://cloud.google.com/terms/sccs/eu-p2p
• “SCC (Encargado a Encargado, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/sccs/eu-p2p-google-exporter

2. Notificaciones de instrucciones. Sin perjuicio de las obligaciones de Google según la Sección 5.2 (Cumplimiento de las instrucciones del Cliente) o cualquier otro derecho u obligación de cualquiera de las partes según el Acuerdo aplicable, Google notificará inmediatamente al Cliente si, en opinión de Google:

a. La ley europea prohíbe a Google cumplir con una Instrucción;

b. una Instrucción no cumple con la Ley Europea de Protección de Datos; o

c. De lo contrario, Google no podrá cumplir una Instrucción,

en cada caso, a menos que dicha notificación esté prohibida por la Legislación Europea.

Si el Cliente es un encargado, enviará inmediatamente al responsable correspondiente cualquier notificación proporcionada por Google en virtud de esta sección.

3. Derechos de auditoría del cliente. Google permitirá al Cliente o a un auditor independiente designado por el Cliente realizar auditorías (incluyendo inspecciones) como se describe en la Sección 7.5.2(a) (Auditoría del Cliente). Durante dicha auditoría, Google pondrá a disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud de este Anexo y contribuirá a la auditoría como se describe en la Sección 7.5 (Revisiones y auditorías de cumplimiento) y esta sección.

4. Transmisión de datos.

4.1 Transmisiones restringidas. Las partes reconocen que la Ley Europea de Protección de Datos no requiere SCC ni una Solución de Transferencia Alternativa para que los Datos Personales del Cliente sean tratados o transferidos a un País Adecuado. Si los Datos Personales del Cliente se transfieren a cualquier otro país y la Ley Europea de Protección de Datos se aplica a las transferencias (según lo certificado por el Cliente en virtud de la Sección 4.2 (Certificación por clientes no pertenecientes a EMEA) de estos términos de la Ley Europea de Protección de Datos, si su dirección de facturación está fuera de EMEA ) (“Transmisiones Restringidas”), entonces:

a. si Google ha adoptado una Solución de Transmisión Alternativa para cualquier Transmisión Restringida, Google informará al Cliente sobre la solución relevante y se asegurará de que dichas Transmisiones Restringidas se realicen de acuerdo con ella; o

b. si Google no ha adoptado una Solución de Transmisión Alternativa para cualquier Transmisión Restringida, o informa al Cliente que Google ya no adoptará una Solución de Transmisión Alternativa para cualquier Transmisión Restringida (sin adoptar una Solución de Transmisión Alternativa de reemplazo):

i. si la dirección de Google está en un país adecuado:

A. las SCC (Encargado a Encargado, Exportador de Google) se aplicarán con respecto a dichas Transmisiones Restringidas de Google a Subencargados; y

B. además, si la dirección de facturación del Cliente no está en un País Adecuado, se aplicarán las SCC (Encargado a Responsable) (independientemente de si el Cliente es responsable o encargado) con respecto a dichas Transmisiones Restringidas entre Google y el Cliente; o

ii. si la dirección de Google no está en un País Adecuado, se aplicarán las SCC (Responsable a Encargado) o SCC (Encargado a Encargado) (según si el Cliente es responsable o encargado) con respecto a dichas Transmisiones Restringidas entre Google y Cliente.

4.2 Certificación por de clientes no pertenecientes a EMEA. Si la dirección de facturación del Cliente no perteneciente a EMEA y el tratamiento de los Datos Personales del Cliente está sujeto a la Ley Europea de Protección de Datos, a menos que el Apéndice 4 (Productos específicos) de este Anexo indique lo contrario, el Cliente certificará como tal e identificará su autoridad supervisora ​​competente a través de la Consola de Administración para los Servicios aplicables.

4.3 Información sobre Transmisiones Restringidas. Google proporcionará al Cliente información relevante sobre Transmisiones Restringidas, Controles de Seguridad Adicionales y otras medidas de protección complementarias:

a. como se describe en la Sección 7.5.1 (Revisiones de la documentación de seguridad);

b. en cualquier ubicación adicional descrita en el Apéndice 4 (Productos específicos); y

c. en relación con la adopción por parte de Google de una Solución de Transmisión Alternativa, en https://cloud.google.com/terms/alternative-transfer-solution.

4.4 Auditorías de SCC. Si las SCC del Cliente se aplican como se describe en la Sección 4.1 (Transmisiones Restringidas) de estos términos de la Ley Europea de Protección de Datos, Google permitirá al Cliente (o a un auditor independiente designado por el Cliente) realizar auditorías como se describe en esas SCC y, durante una auditoría, poner a disposición toda la información requerida por esas SCC, ambas de conformidad con la Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías).

4.5 Notificaciones de SCC. El Cliente enviará al responsable correspondiente de inmediato y sin demoras indebidas cualquier notificación que haga referencia a cualquier SCC.

4.6 Terminación por riesgo de transmisión de datos. Si el Cliente concluye, basándose en su uso actual o previsto de los Servicios, que no se proporcionan las salvaguardias adecuadas para los Datos Personales del Cliente transferidos, entonces el Cliente puede terminar inmediatamente el Acuerdo aplicable de acuerdo con la disposición de terminación de ese Acuerdo por conveniencia o, si no hay dicha disposición, notificándolo a Google.

4.7 Sin modificación de las SCC. Nada en el Acuerdo (incluyendo este Anexo) tiene como objetivo modificar o contradecir cualquier SCC ni perjudicar los derechos o libertades fundamentales de los titulares según la Ley Europea de Protección de Datos.

4.8 Precedencia de las SCC. En la medida de cualquier conflicto o inconsistencia entre las SCC del Cliente (que se incorporan por referencia en este Anexo) y el resto del Acuerdo (incluyendo este Anexo), prevalecerán las SCC del Cliente.

5. Requisitos para la contratación de Subencargados. La Ley Europea de Protección de Datos exige que Google garantice mediante un contrato escrito que las obligaciones de protección de datos descritas en este Anexo, tal como se menciona en el Artículo 28(3) del GDPR, si corresponde, se imponen a cualquier Subencargado contratado por Google.

CCPA

1. Definiciones adicionales.

• “CCPA”, por sus siglas en inglés, significa la Ley de Privacidad del Consumidor de California de 2018, según sus modificaciones, incluyendo la Ley de Derechos de Privacidad de California de 2020, junto con todas las regulaciones de implementación.
• “Datos Personales del Cliente” incluye “información personal”.
• Los términos “negocio”, “objetivo comercial”, “consumidor”, “información personal”, “tratamiento”, “venta”, “vender”, “prestador de servicios” y “compartir” tienen los significados que se les otorga en la CCPA.

2. Prohibiciones. Sin perjuicio de las obligaciones de Google en virtud de la Sección 5.2 (Cumplimiento de las instrucciones del Cliente), con respecto al tratamiento de Datos Personales del Cliente de conformidad con la CCPA, Google, a menos que la CCPA permita lo contrario:

a. no venderá o compartirá Datos Personales del Cliente;

b. no conservará, utilizará o divulgará Datos Personales del Cliente:

i. que no sea para fines comerciales según la CCPA en nombre del Cliente y para el propósito específico de realizar los Servicios y TSS (si corresponde); o

ii. fuera de la relación comercial directa entre Google y el Cliente; o

c. no combinará o actualizará los Datos Personales del Cliente con información personal que Google recibe de un tercero o en nombre de este o recopila de sus propias interacciones con el consumidor.

3. Cumplimiento. Sin perjuicio de las obligaciones de Google según la Sección 5.2 (Cumplimiento de las instrucciones del Cliente) o cualquier otro derecho u obligación de cualquiera de las partes según el Acuerdo aplicable, Google notificará al Cliente si, en opinión de Google, Google no puede cumplir con sus obligaciones según la CCPA, a menos que dicha notificación está prohibida por la legislación aplicable.

4. Intervención del Cliente. Si Google notifica al Cliente sobre cualquier uso no autorizado de los Datos Personales del Cliente, incluso según la Sección 3 (Cumplimiento) de esta subsección o la Sección 7.2.1 (Notificación de incidente), el Cliente puede tomar medidas razonables y apropiadas para detener o remediar dicho uso no autorizado:

a. tomar cualquier medida recomendada por Google de conformidad con la Sección 7.2.2 (Detalles del incidente de datos), si corresponde; o

b. ejercer sus derechos según la Sección 7.5.2(a) (Auditoría del cliente) o 9.1 (Acceso; Rectificación; Tratamiento restringido; Portabilidad).

Turquía

1. Transmisiones de Datos.

1.1 Si la dirección de facturación del Cliente está en Turquía y el Cliente acepta los términos adicionales que Google pone a disposición por separado en relación con las transferencias de Datos personales del Cliente en virtud de la Ley turca de Protección de Datos Personales N.°6698 del 7 de abril de 2016, esos términos complementarán este Anexo.

1.2 Si el Cliente concluye, basándose en su uso actual o previsto de los Servicios, que no se proporcionan las salvaguardias adecuadas para los Datos personales del Cliente transferidos, entonces el Cliente puede terminar inmediatamente el Acuerdo aplicable de acuerdo con la disposición de terminación de ese Acuerdo por conveniencia o, si hay no exista tal disposición, notificándolo a Google.

Israel

1. Definición adicional.

• “Ley Israelí de Protección de Privacidad” significa la Ley Israelí de Protección de Privacidad de 1981 y cualquier reglamento promulgado en virtud de la misma.

2. Términos equivalentes. Cualquier término equivalente a “responsable”, “datos personales”, “tratamiento” y “encargado”, tal como se utiliza en este Anexo, tiene el significado que se le atribuye en la Ley Israelí de Protección de la Privacidad.

3. Derechos de auditoría del Cliente. Google permitirá al Cliente o a un auditor independiente designado por el Cliente realizar auditorías (incluyendo inspecciones) como se describe en la Sección 7.5.2(a) (Auditoría del Cliente).

Los términos de cada subsección de este Apéndice 4 se aplican únicamente con respecto al tratamiento de Datos del Cliente por parte de los Servicios correspondientes.

Google Cloud Platform

1. Definiciones adicionales.

• “Cuenta”, si no se define en el Acuerdo, significa la cuenta de Google Cloud Platform del Cliente.
• “Datos del Cliente”, si no se define en el Acuerdo, significa los datos proporcionados a Google por el Cliente o los Usuarios Finales a través de Google Cloud Platform bajo la Cuenta, y los datos que el Cliente o los Usuarios Finales derivan de esos datos a través del uso de Google Cloud Platform.
• “Google Cloud Platform” significa los servicios de Google Cloud Platform descritos en https://cloud.google.com/terms/services, excluyendo cualquier Oferta de Terceros.
• “Ofertas de Terceros”, si no se define en el Acuerdo, significa (a) servicios, software, productos y otras ofertas de terceros que no están incorporados en Google Cloud Platform o Software, (b) ofertas identificadas en la sección “Términos de terceros” de las Términos Específicas del Servicio del Acuerdo, y (c) sistemas operativos de terceros.

2. Certificaciones de Cumplimiento. Las Certificaciones de Cumplimiento para los Servicios Auditados de Google Cloud Platform también incluirán certificados para ISO 27017 e ISO 27018 y una Declaración de Cumplimiento PCI DSS.

3. Ubicaciones de los centros de datos. Las ubicaciones de los centros de datos de Google Cloud Platform se describen en https://cloud.google.com/about/locations/.

4. Información sobre Subencargados. Los nombres, ubicaciones y actividades de los Subencargados de Google Cloud Platform se describen en https://cloud.google.com/terms/subprocessors.

5. Equipo de Protección de Datos de Cloud. Puede contactar con el Equipo de Protección de Datos de Google Cloud Platform en https://support.google.com/cloud/contact/dpo.

6. Información sobre Transferencias Restringidas. Información adicional relevante sobre Transmisiones Restringidas, controles de seguridad adicionales y otras medidas de protección complementarias está disponible en nube.google.com/privacy/.

7. Términos Específicos del Servicio.

Solución Bare Metal (Google Cloud Platform)

La Solución Bare Metal proporciona acceso no virtualizado a recursos de infraestructura subyacentes y, por diseño, tiene ciertas características distintivas.

1.Modificaciones. Este Anexo se modifica de la siguiente manera con respecto a la Solución Bare Metal:

• La definición de “Auditor Externo de Google” se reemplaza por la siguiente:
  • ”Auditor Externo de Google” significa un auditor externo calificado e independiente designado por Google o un Subencargado de Soluciones Bare Metal, cuya identidad actual en ese momento Google revelará al Cliente si así lo solicita.
• Se eliminan los siguientes términos:
  • De la Sección 7.1.1 (Medidas de seguridad de Google), la frase “cifrar datos personales”;
  • Del Apéndice 2 (Medidas de seguridad), las subsecciones de la Sección 1(a) tituladas “Sistemas operativos de servidor” y “Continuidad del negocio”;
  • Del Apéndice 2, las subsecciones de la Sección 1(b) tituladas “Superficie de ataque externo”, “Detección de intrusiones” y “Tecnologías de cifrado”; y
  • Del Apéndice 2, las siguientes frases de la Sección 3(a):
    • Google almacena datos en un entorno multiusuario en servidores propiedad de Google. Sujeto a instrucciones contrarias del Cliente (por ejemplo, en forma de selección de ubicación de datos), Google replica los Datos del Cliente entre múltiples centros de datos dispersos geográficamente.

2. Certificaciones de Cumplimiento e Informes SOC. Google o su Subencargado mantendrán al menos lo siguiente (o una alternativa equivalente o mejorada) para la Solución Bare Metal para verificar la eficacia continua de las Medidas de Seguridad:

a. un certificado para ISO 27001 y una Declaración de Cumplimiento PCI DSS (el “Certificaciones de Cumplimiento de BMS”); y

b. los informes SOC 1 y SOC 2 se actualizan anualmente en función de una auditoría realizada al menos una vez cada 12 meses (el “Informes SOC de BMS”).

3. Revisiones de Documentación de Seguridad. Para demostrar el cumplimiento por parte de Google de sus obligaciones en virtud de este Anexo, Google pondrá las Certificaciones de cumplimiento de BMS y los Informes SOC de BMS a disposición del Cliente para que los revise y, si el Cliente es un encargado, le permitirá solicitar acceso para el responsable correspondiente a los Informes SOC de BMS de acuerdo con la Sección 7.5.3 (Términos comerciales adicionales para revisiones y auditorías).

4. Obligaciones del Cliente. Sin limitar las obligaciones expresas de Google relacionadas con la Solución Bare Metal, el Cliente tomará medidas razonables para proteger y mantener la seguridad de los Datos del Cliente y cualquier otro contenido almacenado o tratado a través de la Solución Bare Metal.

5. Descargo de responsabilidad. Sin perjuicio de cualquier disposición en contrario en el Acuerdo (incluyendo este Anexo), Google no es responsable de nada de lo siguiente en relación con la Solución Bare Metal:

a. seguridad no física, como controles de acceso, cifrado, firewalls, protección antivirus, detección de amenazas y análisis de seguridad;

b. registro y seguimiento;

c. mantenimiento o soporte no relacionado con el hardware;

d. copia de seguridad de datos, incluida cualquier configuración de redundancia o alta disponibilidad; o

e. políticas o procedimientos de continuidad del negocio y recuperación ante desastres.

El Cliente es el único responsable de proteger (aparte de la seguridad física de los servidores de Bare Metal Solution), registrar y monitorear, mantener, respaldar y realizar copias de seguridad de cualquier sistema operativo, Datos del Cliente, software y aplicaciones que el Cliente utilice, cargue o aloje en Solución de Bare Metal.

Cloud NGFW (Google Cloud Platform)

La edición de Cloud NGFW titulada “Cloud NGFW Enterprise” (“CNE”) está diseñada para mitigar los riesgos de ciberseguridad y, como tal, tiene ciertas características distintivas.

1. Modificaciones. Se modifica el Anexo como sigue con respecto a la CNE:

• Las Secciones 6.1 (Eliminación por el Cliente) y 6.2 (Devolución o eliminación al final de la Vigencia) no impedirán que Google o los Subencargados conserven cualquier archivo o captura de paquetes de tráfico de red enviados para fines de TSS y designados por CNE como una amenaza a la seguridad, siempre que el archivo o la captura de paquetes de tráfico de red no incluye Datos Personales del Cliente.

Google Distributed Cloud Edge (Google Cloud Platform)

Google Distributed Cloud Edge (“GDCE”) no se implementa en un centro de datos de Google y, por diseño, tiene ciertas características distintivas.

1. Modificaciones. Este Anexo se modifica de la siguiente manera con respecto a GDCE:

• Las referencias a “los sistemas de Google” se reemplazan por “el Equipo”.
• La Sección 6.2 (Devolución o eliminación al final de la Vigencia) se reemplaza por lo siguiente:
  • 6.2 Devolución o eliminación al final de la Vigencia. El Cliente indica a Google que elimine todos los Datos del Cliente restantes (incluyendo las copias existentes) del Equipo al final de la Vigencia de conformidad con la legislación aplicable. Si el Cliente desea conservar algún Dato del Cliente después del final de la Vigencia, puede exportar o hacer copias de dichos datos antes del final de la Vigencia. Google cumplirá con las Instrucciones de esta Sección 6.2 tan pronto como sea razonablemente posible y en un plazo máximo de 180 días, a menos que la Legislación Europea exija el almacenamiento, cuando se aplique la Ley Europea de Protección de Datos, o la legislación aplicable exija el almacenamiento, cuando se aplique cualquier otra Ley de Privacidad Aplicable.

• Se agregan las siguientes palabras al final de la Sección 10.1 (Instalaciones de tratamiento y almacenamiento de datos): “o donde se encuentra la ubicación del Cliente”.
• La Sección 1 (Centro de datos y seguridad de la red) del Apéndice 2 (Medidas de seguridad) se reemplaza por lo siguiente:
  • 1. Máquinas locales y seguridad de la red

Máquinas locales. Los Datos del Cliente se almacenan únicamente en el Equipo que se implementará en una Ubicación del Cliente.

Sistemas operativos de servidor. Los servidores de Google utilizan una implementación basada en Linux personalizada para el entorno de la aplicación. Google emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para proporcionar GDCE y mejorar los productos de seguridad en los entornos de producción de GDCE.

Tecnologías de cifrado. Google pone a disposición el cifrado HTTPS (también conocido como conexión SSL o TLS) y permite el cifrado de datos en tránsito. Los servidores de Google admiten el intercambio de claves criptográficas Diffie-Hellman de curva elíptica efímera firmado con RSA y ECDSA. Estos métodos de secreto directo perfecto (PFS, por sus siglas en inglés) ayudan a proteger el tráfico y minimizar el impacto de una clave comprometida o un avance criptográfico. Google también ofrece cifrado de datos en reposo, utilizando al menos AES128 o similar. GDCE tiene una integración CMEK; más información se puede encontrar en https://cloud.google.com/kms/docs/cmek.

Conexión a Cloud VPN. Google permite al Cliente habilitar y configurar una interconexión sólida y cifrada entre el Equipo y la Nube Privada Virtual del Cliente mediante Cloud VPN a través de una conexión VPN IPSEC.

Almacenamiento vinculado. El almacenamiento de Datos del Cliente está vinculado al servidor. En caso de robo o copia de un disco en reposo, el contenido de dicho disco será irrecuperable fuera del servidor.

• Se eliminan las Secciones 2 (Controles de acceso y sitio) y 3 (Datos) del Apéndice 2 (Medidas de Seguridad).

2. Disposiciones inaplicables. Cualquier obligación de Google en el Acuerdo (incluyendo este Anexo) o declaraciones en la documentación de seguridad asociada (incluyendo los documentos técnicos) que dependan del funcionamiento de un centro de datos de Google por parte de Google no se aplican a GDCE.

Múltiples Nubes administradas por Google (Google Cloud Platform)

Los servicios de múltiples nubes administrados por Google implican infraestructura de terceros y, por diseño, tienen ciertas características distintivas.

1. Definición adicional.

• “Modificación al tratamiento de datos de MCS administrado por Google” significa los términos en https://cloud.google.com/terms/mcs-data-processing-terms.

2. Términos de Tratamiento de datos en Múltiples Nubes. La Modificación al tratamiento de datos de MCS administrado por Google complementa y modifica este Anexo con respecto a los Servicios de Múltiples Nubes administrados por Google para Google Cloud Platform.

Motor VMware de Google Cloud (Google Cloud Platform)

Es posible que Google no tenga acceso al entorno VMware del Cliente ni pueda cifrar datos personales en el entorno VMware del Cliente.

Volúmenes de NetApp (Google Cloud Platform)

1. Modificaciones. Este Anexo se modifica de la siguiente manera con respecto a los volúmenes de NetApp:

• La definición de “Auditor Externo de Google” se reemplaza por la siguiente:
  • “Auditor Externo de Google” significa un auditor externo calificado e independiente designado por Google o un Subencargado de volúmenes de NetApp, cuya identidad actual Google revelará al Cliente si así lo solicita.
• La Sección 3(a) (Almacenamiento, aislamiento y registro de datos) del Apéndice 2 (Medidas de seguridad) se reemplaza por lo siguiente:
  • (a) Almacenamiento, aislamiento y registro de datos. Google almacena datos en un entorno multiusuario en servidores propiedad de NetApp, Inc. Sujeto a instrucciones en contrario (por ejemplo, en forma de selección de ubicación de datos), Google replica los Datos del Cliente entre múltiples centros de datos dispersos geográficamente. Google también aísla lógicamente los Datos del Cliente. El Cliente tendrá control sobre políticas específicas de intercambio de datos. Esas políticas, de acuerdo con la funcionalidad de los Servicios, permitirán al Cliente determinar las configuraciones para compartir productos aplicables a sus Usuarios Finales para propósitos específicos. El Cliente puede optar por utilizar la función de registro que Google pone a disposición a través de los Servicios.

2. Certificaciones de cumplimiento e informes SOC. Google o su Subencargado obtendrán al menos lo siguiente (o una alternativa equivalente o mejorada) para los Volúmenes de NetApp:

a. un certificado para ISO 27001 y una Declaración de Cumplimiento PCI DSS (las “Certificaciones de Cumplimiento de NetApp”); y

b. Informes SOC 1 y SOC 2 actualizados anualmente en base a una auditoría realizada al menos una vez cada 12 meses (el “Informes SOC de NetApp”).

3. Revisiones de documentación de seguridad. Para demostrar el cumplimiento por parte de Google de sus obligaciones en virtud de este Anexo, Google pondrá a disposición del Cliente todas las Certificaciones de Cumplimiento de NetApp y los Informes SOC de NetApp y, si el Cliente es un encargado, permitirá que el Cliente solicite acceso para el responsable correspondiente a los Informes SOC de NetApp. de acuerdo con la Sección 7.5.3 (Términos comerciales adicionales para revisiones y auditorías).

Google Workspace y Cloud Identity

1. Definiciones adicionales.

• “Cuenta”, si no se define en el Acuerdo, significa la cuenta de Google Workspace o Cloud Identity del Cliente.
• “Cloud Identity” cuando se compra en virtud de un Acuerdo independiente y no como parte de Google Cloud Platform o Google Workspace, significa los Servicios de Cloud Identity descritos en https://cloud.google.com/terms/identity/user-features.
• “Datos del Cliente”, si no se define en el Acuerdo, significa datos enviados, almacenados, enviados o recibidos por o en nombre del Cliente o sus Usuarios Finales a través de Google Workspace o Cloud Identity bajo la Cuenta.
• “Google Workspace” significa los servicios de Google Workspace o Google Workspace for Education descritos en https://workspace.google.com/terms/user_features.html, según corresponda.

2. Productos Adicionales. Si Google, a su discreción, pone Productos Adicionales a disposición del Cliente para su uso con Google Workspace o Cloud Identity de acuerdo con los Términos de Productos Adicionales aplicables:

a. El Cliente puede habilitar o deshabilitar Productos Adicionales a través de la Consola de Administración y no necesitará utilizar Productos Adicionales para utilizar Google Workspace o Cloud Identity; y

b. Si el Cliente opta por instalar cualquier Producto Adicional o utilizarlo con Google Workspace o Cloud Identity, los Productos Adicionales pueden acceder a los Datos del Cliente según sea necesario para interoperar con Google Workspace o Cloud Identity, según corresponda.

Para mayor claridad, este Anexo no se aplica al tratamiento de datos personales en relación con el suministro de cualquier Producto Adicional instalado o utilizado por el Cliente, incluyendo los datos personales transmitidos hacia o desde dichos Productos Adicionales.

3. Certificaciones de cumplimiento. Las certificaciones de cumplimiento para Google Workspace y Cloud Identity Audited Services también incluirán certificados para ISO 27017 e ISO 27018.

4. Ubicaciones de los centros de datos. Las ubicaciones de los centros de datos de Google Workspace y Cloud Identity se describen en https://www.google.com/about/datacenters/locations/.

5. Información sobre Subencargados. Los nombres, ubicaciones y actividades de los subencargados de Google Workspace y Cloud Identity se describen en https://workspace.google.com/intl/en/terms/subprocessors.html.

6. Equipo de Protección de Datos de Cloud. Se puede contactar al equipo de protección de datos de Google Workspace y Cloud Identity (mientras los administradores inician sesión en su cuenta de administrador) en https://support.google.com/a/contact/googlecloud_dpr.

7. Medidas de seguridad adicionales. Para Google Workspace y Cloud Identity:

a. Google separa lógicamente los datos de cada Usuario Final de los datos de otros Usuarios Finales; y

b. Los datos de un Usuario Final autenticado no se mostrarán a otro Usuario Final (a menos que el Usuario Final anterior o un Administrador permita que se compartan los datos).

8. Información sobre transferencias restringidas. Información adicional relevante sobre transferencias restringidas, controles de seguridad adicionales y otras medidas de protección complementarias está disponible en nube.google.com/privacy/.

9. Anexo de Datos del Servicio. Si Google pone a disposición del Cliente un Anexo de Datos del Servicio opcional para su aceptación en relación con este Anexo, la disponibilidad de ese anexo opcional constituirá una “Actualización de DPA” si dicho término se define en cualquier Anexo de datos de servicio previamente ingresado por el Cliente.

10. Términos específicos del servicio.

AppSheet (Google Workspace)

1. Modificaciones. Este Anexo se modifica de la siguiente manera con respecto a AppSheet:

• El párrafo titulado “Sistemas operativos de servidor” en la Sección 1(a) del Apéndice 2 (Medidas de seguridad) se reemplaza por lo siguiente:
  • Sistemas operativos de servidor. Los servidores de Google utilizan una implementación basada en Linux personalizada para el entorno de la aplicación.

2. Ubicaciones de centros de datos adicionales. Las ubicaciones de centros de datos adicionales para AppSheet se describen en https://cloud.google.com/about/locations/.

Looker (original)

1. Definiciones adicionales.

• “Consola de Administración” significa cualquier consola de administración aplicable a cada Instancia.
• “Modificación del Tratamiento de Datos de MCS administrado por Google” significa, si corresponde, los términos en https://cloud.google.com/terms/mcs-data-processing-terms.
• “Servicios de Múltiples Nubes Administrados por Google” significa, si corresponde, servicios, productos y características específicos de Google que están alojados en la infraestructura de un proveedor de nube externo.
• “Looker (original)” significa una plataforma integrada (que incluye infraestructura basada en la nube, si corresponde, y componentes de software, incluyendo las API asociadas) que permite a las empresas analizar datos y definir métricas comerciales a través de múltiples fuentes de datos puestas a disposición por Google para el Cliente en virtud del Acuerdo. Looker (original) excluye las ofertas de terceros.
• “Prestador de Servicios Externo de Múltiples Nubes” tiene el significado que se le atribuye en la Modificación del tratamiento de datos de MCS administrado por Google.
• “Formulario de Pedido” tiene el significado otorgado en el Acuerdo, a menos que el Cliente haya comprado a través de un revendedor o un mercado en línea o esté utilizando Looker únicamente con fines de prueba o evaluación en virtud de un acuerdo de prueba o evaluación, en cuyo caso, Formulario de Pedido puede significar otro formulario escrito (correo electrónico u otro medios electrónicos permitidos) según lo autorizado por Google.

2. Modificaciones. Este Anexo se modifica de la siguiente manera con respecto a Looker (original):

• La definición de “Dirección de correo electrónico de notificación” se reemplaza por la siguiente:
  • ”Dirección de Correo Electrónico de Notificación” significa la(s) dirección(es) de correo electrónico designadas por el Cliente en el Formulario de Pedido o a través de Looker (según corresponda) para recibir ciertas notificaciones de Google.
• Las definiciones de “SCC (responsable a encargado)”, “SCC (encargado a responsable)”, “SCC (encargado a encargado)” y “SCC (encargado a encargado , exportador de Google)” en el Apéndice 3 (Leyes de privacidad específicas) se reemplaza por lo siguiente:
  • “SCC (responsable a encargado)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-c2p;
  • “SCC (encargado a responsable)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2c;
  • “SCC (encargado a encargado)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2p; y
  • “SCC (encargado a encargado, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2p-intra-group.
• Se agregan las siguientes palabras al final de la Sección 10.1 (Instalaciones de tratamiento y almacenamiento de datos): “o donde cualquier proveedor externo de servicios de múltiples nubes mantenga instalaciones”.

3. Responsabilidades adicionales de seguridad del Cliente. El Cliente es responsable de la seguridad del entorno, las bases de datos y la configuración del Cliente para Looker (original), excluyendo los sistemas administrados y controlados por Google.

4. Certificaciones de cumplimiento e informes SOC. Las Certificaciones de Cumplimiento y los Informes SOC para los Servicios Auditados de Looker (original) pueden variar según el entorno de alojamiento en el que se utilizan los Servicios relevantes. Google proporcionará detalles de las certificaciones de cumplimiento y los informes SOC disponibles para entornos de alojamiento específicos, previa solicitud.

5. Ubicaciones de los centros de datos. Las ubicaciones de los centros de datos de Looker (original) se describirán en el Formulario de Pedido correspondiente o Google las identificará de otro modo.

6. Sin certificación por parte de clientes no pertenecientes a EMEA. El Cliente no está obligado a certificar o identificar su Autoridad de Supervisión competente como se describe en la Sección 4.2 (Certificación por clientes no pertenecientes a EMEA) de los términos europeos de protección de datos en el Apéndice 3 (Leyes de privacidad específicas) para Looker (original).

7. Información sobre transmisiones restringidas. Información adicional relevante sobre transmisiones restringidas, controles de seguridad adicionales y otras medidas de protección complementarias para Looker (original) está disponible en https://docs.looker.com.

8. Información sobre Subencargados. Los nombres, ubicaciones y actividades de los Subencargados de Looker (original) se describen en:

a. https://cloud.google.com/terms/looker/privacy/lookeroriginal-subprocessors y

b. https://cloud.google.com/terms/subprocessors.

9. Múltiples Nubes Administradas por Google (Looker (original))

Los servicios de múltiples nubes administrados por Google implican infraestructura de terceros y, por diseño, tienen ciertas características distintivas.

9.1 Términos de Tratamiento de Datos en Múltiples Nubes. La Modificación del tratamiento de datos de MCS administrado por Google complementa y modifica este Anexo con respecto a los Servicios de múltiples nubes administrados por Google para Looker (original).

10. Equipo de Protección de Datos de Cloud. Puede contactar con el equipo de protección de datos de Looker (original) en https://support.google.com/cloud/contact/dpo.

11. Registros de tratamiento de Google. En la medida en que cualquier Ley de Privacidad Aplicable requiera que Google recopile y mantenga registros de cierta información relacionada con el Cliente, el Cliente proporcionará dicha información a Google cuando lo solicite y notificará a Google sobre cualquier actualización necesaria para mantener dicha información precisa y actualizada. a menos que Google solicite que el Cliente proporcione y actualice dicha información por otro medio.

12. Medidas adicionales de seguridad de la aplicación. Google implementará y mantendrá las medidas de seguridad adicionales que se describen a continuación para Looker (original):

a. Google sigue al menos las prácticas estándar de la industria para la arquitectura de seguridad. Los servidores proxy utilizados para las aplicaciones de Google ayudan a proteger el acceso a Looker al proporcionar un punto único para filtrar los ataques a través de listas de IP denegadas y limitación de la velocidad de conexión.

b. Los administradores del Cliente controlan el acceso a las aplicaciones por parte del personal de Google para brindar asistencia técnica solicitada por el Cliente o los Usuarios Finales.

Servicios SecOps

1. Definiciones adicionales.

• “Cuenta”, si no se define en el Acuerdo, significa los Servicios SecOps del Cliente o la cuenta de Google Cloud Platform, según corresponda.
• “Datos del Cliente”, si no se define en el Acuerdo, significa datos proporcionados a Google por el Cliente o los Usuarios Finales a través de los Servicios SecOps en la Cuenta o, para los Servicios de Consultoría y los Servicios Gestionados de Mandiant, en relación con la recepción de los Servicios SecOps.
• “Proveedor Contratado por el Cliente” significa un prestador de servicios (que puede incluir un encargado o subencargado) contratado directamente por el Cliente en virtud de un acuerdo separado entre el Cliente y dicho proveedor.
• “Servicios SecOps” significa los Servicios SecOps descritos en https://cloud.google.com/terms/secops/services, excluyendo cualquier oferta de terceros.
• “Ofertas de Terceros”, si no se define en el Acuerdo, significa (a) servicios, software, productos y otras ofertas de terceros que no están incorporados a los Servicios o Software de SecOps, y (b) sistemas operativos de terceros.

2. Modificaciones. Este Anexo se modifica de la siguiente manera con respecto a los Servicios SecOps:

• La definición de “Controles de Seguridad Adicionales” se reemplaza por la siguiente:
  • “Controles de Seguridad Adicionales” significa recursos de seguridad, características, funcionalidades y/o controles (si los hay) que el Cliente puede usar a su elección y/o según lo determine, incluyendo (en su caso) cifrado, registro y monitoreo, gestión de identidad y acceso, y escaneo de seguridad.
• La definición de “Servicios Auditados” se reemplaza por la siguiente:
  • “Servicios Auditados” significa los Servicios SecOps vigentes en ese momento indicados como dentro del alcance de la certificación o informe correspondiente en https://cloud.google.com/security/compliance/secops/services-in-scope. Google no puede eliminar cualquier Servicio SecOps de esta URL a menos que se haya interrumpido de acuerdo con el Acuerdo aplicable.
• Las definiciones de “SCC (responsable a encargado)”, “SCC (encargado a responsable)”, “SCC (encargado a encargado)” y “SCC (encargado a encargado, exportador de Google)” en El Apéndice 3 (Leyes de privacidad específicas) se reemplaza por lo siguiente:
  • “SCC (responsable a encargado)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-c2p;
  • “SCC (encargado a responsable)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2c;
  • “SCC (encargado a encargado)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2p; y
  • “SCC (encargado a encargado, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2p-google-exporter.

• La Sección 6.1 (Eliminación por el Cliente) se modifica para quedar como sigue:
  • 6.1 Eliminación por parte del Cliente. Google permitirá al Cliente eliminar Datos del Cliente durante la Vigencia de forma coherente con la funcionalidad de los Servicios o previa solicitud. Si el Cliente utiliza los Servicios para eliminar cualquier Dato del Cliente durante la Vigencia y esos Datos del Cliente no pueden ser recuperados por el Cliente, o si el Cliente solicita la eliminación de cualquier Dato del Cliente durante la Vigencia, este uso o solicitud (según corresponda) constituirá una Instrucción para Google para eliminar los Datos del Cliente relevantes de los sistemas de Google de acuerdo con la legislación aplicable. Google cumplirá con esta Instrucción tan pronto como sea razonablemente posible y en un plazo máximo de 180 días, a menos que la legislación europea exija el almacenamiento, cuando se aplique la Ley Europea de Protección de Datos, o la legislación aplicable exija el almacenamiento, cuando se aplique cualquier otra Ley de Privacidad Aplicable.

• La Sección 7.4 (Certificaciones de cumplimiento e informes SOC) del Anexo se modifica para quedar como sigue:
  • 7.4 Certificaciones de cumplimiento e informes SOC. Google mantendrá al menos las certificaciones e informes identificados en https://cloud.google.com/security/compliance/secops/services-in-scope para que los Servicios Auditados verifiquen la eficacia continua de las Medidas de Seguridad (“Certificaciones de cumplimiento” e “Informes SOC”).

Google puede agregar normas en cualquier momento. Google puede reemplazar una Certificación de cumplimiento o un Informe SOC por una alternativa equivalente o mejorada.

• Se modifica la Sección 9.1 (Acceso; Rectificación; Tratamiento restringido; Portabilidad) para quedar como sigue:

9.1 Acceso; Rectificación; Tratamiento restringido; Portabilidad. Durante la Vigencia, Google permitirá al Cliente, de manera coherente con la funcionalidad de los Servicios, acceder, rectificar y restringir el tratamiento de los Datos del Cliente, incluso como se describe en la Sección 6.1 (Eliminación por el Cliente), y exportar los Datos del Cliente previa solicitud. Si el Cliente se da cuenta de que alguno de sus Datos Personales es inexacto o está desactualizado, será responsable de notificar a Google y Google lo ayudará a rectificar esos datos si así lo exige la Ley de Privacidad Aplicable.

3. Ubicaciones de los centros de datos. Las ubicaciones de los centros de datos de los Servicios SecOps se describen en https://cloud.google.com/terms/secops/data-residency.

4. Ausencia de certificación por Clientes no pertenecientes a EMEA. El Cliente no está obligado a certificar o identificar su Autoridad de Supervisión competente como se describe en la Sección 4.2 (Certificación por clientes no pertenecientes a EMEA) de los términos Europeos de Protección de Datos en el Apéndice 3 (Leyes de privacidad específicas) para los Servicios SecOps.

5. Información sobre Subencargados. Los nombres, ubicaciones y actividades de los subencargados de los servicios SecOps se describen en https://cloud.google.com/terms/secops/subprocessors.

6. Equipo de protección de datos de Cloud. Puede ponerse en contacto con el equipo de protección de datos para los servicios SecOps en https://support.google.com/cloud/contact/dpo (y/o a través de otros medios que Google pueda proporcionar de tiempo en tiempo).

7. Registros de tratamiento de Google. En la medida en que cualquier Ley de Privacidad Aplicable requiera que Google recopile y mantenga registros de cierta información relacionada con el Cliente, el Cliente proporcionará dicha información a Google cuando lo solicite y notificará a Google sobre cualquier actualización necesaria para mantener dicha información precisa y actualizada, a menos que Google solicite que el Cliente proporcione y actualice dicha información por otro medio.

8. Términos Específicos del servicio.

Servicios de Consultoría y Servicios Gestionados de Mandiant

Los servicios de consultoría y los servicios gestionados de Mandiant brindan servicios de asesoría e implementación (que incluyen respuesta a incidentes, preparación estratégica y garantía técnica para mitigar las amenazas y reducir los riesgos relacionados con incidentes) y los servicios administrados de detección y respuesta y, por diseño, tienen ciertas características distintivas.

1. Modificaciones. El Anexo se modifica de la siguiente manera únicamente con respecto a los Servicios de Consultoría y los Servicios Gestionados de Mandiant:

• La definición de “Incidente de Datos” se complementa con lo siguiente:
• Para mayor claridad, Incidente de Datos excluye los incidentes que son objeto de los Servicios de consultoría y/o Servicios Gestionados de Mandiant, según corresponda.
• La Sección 5.2(b)(i) (Cumplimiento con las instrucciones del Cliente) se reemplaza por lo siguiente:
• i. el uso de los Servicios por el Cliente; y
• La segunda oración de la Sección 7.1.1 (Medidas de seguridad de Google) se modifica para quedar como sigue:
• Las Medidas de Seguridad pueden incluir (según corresponda) medidas para cifrar los Datos del Cliente; para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de Google; para ayudar a restaurar el acceso oportuno a los Datos del Cliente después de un incidente; y para pruebas periódicas de eficacia.
• La Sección 7.3.1(b) se modifica para decir lo siguiente:
• b. administrar, gestionar el acceso y proteger las credenciales de autenticación de la cuenta, los sistemas, el software, las redes y los dispositivos que el Cliente utiliza para recibir o autoriza a Google a acceder para proporcionar los Servicios de Consultoría y/o los Servicios Gestionados de Mandiant, según corresponda;
• Se añaden nuevas Secciones 7.3.1(d) y (e) de la siguiente manera:
• d. minimizar la cantidad de Datos del Cliente proporcionados por o en nombre del Cliente a Google; y
• e. en la medida en que el acceso de Google a los Datos del Cliente esté dentro del control del Cliente, revocando ese acceso cuando Google haya completado los Servicios de Consultoría y/o los Servicios Gestionados de Mandiant, según corresponda.
• El Apéndice 2 (Medidas de seguridad) se reemplaza por el siguiente:
• Apéndice 2: Medidas técnicas y organizativas adicionales

1. Entorno controlado por el Cliente. Google únicamente accederá y tratará los Datos del Cliente proporcionados por el Cliente o en su nombre a Google a través de una cuenta o entorno controlado o aprobado por el Cliente.

2. Procesos y Políticas de Acceso a Datos – Política de Acceso. Los procesos y políticas de acceso a datos de Google están diseñados para evitar que personas y/o sistemas no autorizados obtengan acceso a los sistemas utilizados para tratar los Datos del Cliente. Google (i) únicamente permite que las personas accedan a los datos a los que están autorizadas a acceder; y (ii) toma medidas para garantizar que los datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante el tratamiento y el uso. La concesión o modificación de derechos de acceso por parte de Google se basa en la provisión por parte del Cliente a Google de acceso de usuario final a su cuenta o entorno.

3. Seguridad del Personal. El personal de Google debe comportarse de manera coherente con los lineamientos de la empresa en materia de confidencialidad, ética comercial, uso apropiado y estándares profesionales. Google lleva a cabo verificaciones de antecedentes razonablemente apropiadas en la medida en que lo permita la ley y de acuerdo con la legislación laboral y las regulaciones legales locales aplicables.

El personal debe suscribir un acuerdo de confidencialidad y debe acusar recibo y cumplir con las políticas de confidencialidad y privacidad de Google. El personal recibe capacitación en materia de seguridad. El personal que maneja los Datos del Cliente debe completar requisitos adicionales apropiados para su función (por ejemplo, certificaciones). El personal de Google no tratará los Datos del Cliente sin autorización.

4. Medidas de Seguridad Adicionales. Google y el Cliente pueden aceptar medidas de seguridad adicionales en el Formulario de Pedido correspondiente, incluyendo cualquier Declaración de Trabajo adjunta, para los Servicios de Consultoría y/o Servicios Gestionados de Mandiant, según corresponda.

2. Proveedor contratado por el Cliente. Para mayor claridad, y sin limitar las obligaciones de Google según la Sección 7 (Seguridad de datos) o la 11 (Subencargados), el Apéndice 2 (Medidas de seguridad) no describe las medidas o controles de seguridad implementados o proporcionados por el Cliente o los Proveedores contratados por el Cliente.

Servicios de Implementación

1. Definiciones adicionales.

• “Datos del Cliente” significa datos a los que el Cliente autoriza al personal de Google a acceder en los Sistemas Administrados por el Cliente.
• “Sistemas Administrados por el Cliente” significa lo siguiente, tal como lo utiliza el Cliente para recibir Servicios de Implementación: (a) instancias administradas por el Cliente de los Servicios de Google Cloud o servicios en la nube de terceros; y (b) cualquier hardware o software alojado o administrado en el entorno local del Cliente.
• "Servicios de Google Cloud" significa cualquier Servicio descrito en este Apéndice 4 (Productos Específicos), distintos de los Servicios de Implementación, los Servicios de Consultoría de Mandiant y los Servicios Administrados de Mandiant.
• “Personal de Google” significa empleados y contratistas de Google que participan en la prestación de Servicios de Implementación.
• “Servicios de Implementación” significa servicios de asesoramiento, consultoría e implementación proporcionados por empleados y contratistas de Google en apoyo de los Servicios de Google Cloud como se describe en el Contrato, incluyendo un Formulario de Pedido o una Orden de Trabajo.

2. Modificaciones. Esta Adenda se modifica de la siguiente manera con respecto a los Servicios de Implementación:

• Se elimina la definición de “Controles de Seguridad Adicionales”.
• La definición de “Incidente de Datos” se reemplaza por la siguiente:
  • “Incidente de Datos” significa un incumplimiento de la Sección 7.1 (Medidas de Seguridad de Google, Controles y Asistencia) por parte del personal de Google, que da lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos Personales del Cliente, de forma accidental o ilegal.
• Sujeto al resto de esta sección, el término “Datos del Cliente” se reemplaza por “Datos Personales del Cliente” cuando se utiliza (a) en la Sección 2 (Definiciones) en la definición de “Subprocesador” y (b) en otras secciones de esta Adenda. Para mayor claridad, otras definiciones de la Sección 2 (Definiciones) permanecen sin modificaciones.
• La Sección 3 (Duración) se reemplaza por la siguiente:
  • 3. Duración. Independientemente de si el Contrato aplicable ha terminado o ha expirado, esta Adenda permanecerá en vigor hasta que Google deje de tener acceso a los Datos Personales del Cliente y expirará automáticamente cuando lo haga.
• La Sección 6 (Eliminación de Datos) se reemplaza por la siguiente:
  • 6. Eliminación de Datos. Al final de la Vigencia, el Cliente (a) determinará si eliminar cualquier Dato Personal del Cliente y (b) será responsable de dicha eliminación.
• La segunda oración de la Sección 7.1.1 (Medidas de Seguridad de Google) se reemplaza por lo siguiente:
  • “Las Medidas de Seguridad pueden incluir (según corresponda) medidas para cifrar los Datos del Cliente; para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de Google; para ayudar a restaurar el acceso oportuno a los Datos del Cliente después de un incidente; y para pruebas periódicas de eficacia”.
• Se elimina la Sección 7.1.3 (Controles de Seguridad Adicionales), junto con todas las demás referencias a esa sección.
• La Sección 9.1 (Acceso; Rectificación; Procesamiento Restringido; Portabilidad) se reemplaza por la siguiente:
  • 9.1 Acceso; Rectificación; Procesamiento Restringido; Portabilidad. El Cliente será responsable de utilizar la funcionalidad de los Sistemas Administrados por el Cliente para acceder, rectificar y restringir el procesamiento de los Datos Personales del Cliente, incluso si el Cliente tiene conocimiento de que alguno de los Datos Personales del Cliente es inexacto o está desactualizado y la Ley de Privacidad Aplicable le exige rectificar o eliminar esos datos.
• La Sección 11.4 (Oportunidad de Oponerse a los Subprocesadores) se reemplaza por lo siguiente:
  • 11.4 Oportunidad de Oponerse a los Subprocesadores. Cuando se contrate a un Nuevo Subprocesador durante la Vigencia, Google notificará al Cliente sobre la contratación del Nuevo Subprocesador antes de que procese los Datos Personales del Cliente. El Cliente puede oponerse al Nuevo Subprocesador notificando a Google y, si el Cliente lo hace, las partes trabajarán de buena fe para determinar una alternativa mutuamente aceptable.
• El Apéndice 1 (Objeto y Detalles del Tratamiento de Datos) se modifica como sigue:
  • Se sustituye el apartado “Duración del Tratamiento” por el siguiente:
    • Duración del Tratamiento. La Vigencia más (si corresponde) el período desde el final de la Vigencia hasta la expiración del acceso de Google a los Datos Personales del Cliente.
  • Las palabras “proporcionadas a Google a través de los Servicios” en las secciones “Categorías de Datos” y “Titulares de los Datos” se reemplazan por “puestas a disposición de Google en relación con los Servicios”.

• El Apéndice 2 (Medidas de Seguridad) se reemplaza por el siguiente:
  • Apéndice 2: Medidas de seguridad

1. Sistemas Administrados por el Cliente. El Personal de Google solo accederá y procesará los Datos Personales del Cliente en los Sistemas Administrados por el Cliente. Si esos sistemas incluyen los Servicios de Google Cloud, el uso de los Servicios de Google Cloud por parte del Cliente continúa regido por el contrato aplicable a esos servicios.

2. Control de Acceso. Los procesos y políticas internas de acceso a datos de Google están diseñados para prevenir que personas y sistemas no autorizados obtengan acceso a los servicios de Google Cloud utilizados para procesar datos personales. Las políticas de Google (i) solo permiten que el Personal de Google acceda a los datos a los que está autorizado a acceder; y (ii) requieren que el Personal de Google no lea, copie, altere ni elimine los Datos Personales del Cliente sin autorización durante el procesamiento, el uso y registro posterior. El Cliente controla el aprovisionamiento o modificación de los derechos de acceso de los usuarios finales a los Sistemas Administrados por el Cliente. Si esos sistemas incluyen los Servicios de Google Cloud, los detalles sobre las herramientas de flujo de trabajo que mantienen registros de auditoría de cambios y registros de acceso al sistema se abordan en el contrato para los Servicios de Google Cloud aplicables.

3. Seguridad del Personal. El Personal de Google es requerido a comportarse de manera coherente con las pautas de la empresa en materia de confidencialidad, ética comercial, uso apropiado y estándares profesionales. Google lleva a cabo verificaciones de antecedentes razonablemente apropiadas en la medida en que lo permita la ley y de acuerdo con la legislación laboral y las regulaciones legales locales aplicables.

El Personal de Google es requerido a ejecutar un contrato de confidencialidad y debe acusar recibo y cumplir con las políticas de confidencialidad y privacidad de Google. El Personal de Google recibe formación en seguridad. El Personal de Google que maneja Datos Personales del Cliente debe completar requisitos adicionales apropiados para su función (por ejemplo, certificaciones).

4. Medidas de Seguridad Adicionales. Google y el Cliente pueden acordar medidas de seguridad adicionales en el Contrato, incluso en un Formulario de Pedido o una Orden de Trabajo.

5. Seguridad del Subprocesador. Antes de incorporar a los Subprocesadores, Google lleva a cabo una auditoría de las prácticas de seguridad y privacidad de los Subprocesadores para garantizar que proporcionen un nivel de seguridad y privacidad apropiado para su acceso a los datos y el alcance de los servicios que están comprometidos a brindar. Una vez que Google haya evaluado los riesgos presentados por el Subprocesador, sujeto a los requisitos descritos en la Sección 11.3 (Requisitos para la Participación del Subprocesador), el Subprocesador deberá celebrar los términos apropiados del contrato de seguridad, confidencialidad y privacidad.

3. Responsabilidades de Seguridad del Cliente. Además de sus obligaciones según la Sección 7.3.1 (Responsabilidades de Seguridad del Cliente), el Cliente es responsable de lo siguiente:

• administrar, gestionar el acceso a y proteger los Sistemas Administrados por el Cliente, lo que incluye minimizar el acceso del Personal de Google a los Datos Personales del Cliente en la medida de lo razonablemente posible y finalizar ese acceso al finalizar los Servicios de Implementación; e
• implementar cualquier recomendación de seguridad proporcionada por escrito por Google al Cliente con respecto a los Sistemas Administrados por el Cliente.

4. Certificación de Cumplimiento. Google mantendrá los certificados ISO 27001, ISO 27017 e ISO 27018 que cubren los Servicios de Implementación proporcionados en apoyo de Google Cloud Platform y Google Workspace (la “Certificaciones de Cumplimiento de Servicios de Implementación”). Google puede agregar estándares en cualquier momento. Google puede reemplazar una Certificación de Cumplimiento de Servicios de Implementación con una alternativa equivalente o mejorada.

5. Revisiones de Certificación de Cumplimiento. Para demostrar el cumplimiento por parte de Google de sus obligaciones en virtud de este Anexo, Google pondrá la Certificación de Cumplimiento de los Servicios de Implementación a disposición del Cliente para su revisión y, si el Cliente es un encargado, permitirá al Cliente solicitar acceso para el responsable correspondiente a la Certificación de Cumplimiento de los Servicios de Implementación.

6. Lugares de Procesamiento de Datos. Los Datos Personales del Cliente pueden procesarse en cualquier país donde Google proporcione Servicios de Implementación o donde el Cliente mantenga Sistemas Administrados por el Cliente.

7. Sin certificación por parte de Clientes que no pertenecen a EMEA. El Cliente no está obligado a certificar o identificar su Autoridad de Supervisión competente como se describe en la Sección 4.2 (Certificación por Clientes no pertenecientes a EMEA) de los términos Europeos de Protección de Datos en el Apéndice 3 (Leyes de Privacidad Específicas) para los Servicios de Implementación.

8. Información sobre Subencargados. Los Subprocesadores de los Servicios de Implementación se identificarán (como subcontratistas) en un Formulario de Pedido, Orden de Trabajo u otra confirmación aplicable proporcionada al Cliente antes del comienzo de los Servicios de Implementación o serán Afiliados de Google. Google también pondrá a disposición del Cliente, previa solicitud, los nombres, ubicaciones y actividades de los Subprocesadores de Servicios de Implementación.

9. Registros de Procesamiento de Google. En la medida en que cualquier Ley de Privacidad Aplicable requiera que Google recopile y mantenga registros de cierta información relacionada con el Cliente, el Cliente proporcionará dicha información a Google cuando lo solicite y notificará a Google sobre cualquier actualización necesaria para mantener dicha información precisa y actualizada, a menos que Google solicite que el Cliente proporcione y actualice dicha información a través de otros medios.

Google Cloud Skills Boost para Organizaciones

1. Definiciones adicionales.

• “Cuenta”, si no se define en el Contrayo, significa la Cuenta de Google Cloud Skills Boost para Organizaciones del Cliente.
• “GCSBO”, significa servicios y contenidos educativos, de formación y de aprendizaje proporcionados a través de https://www.cloudskillsboost.google/ (u otro sitio web operado o controlado por Google y utilizado para fines de Google Cloud Skills Boost para Organizaciones).
• “TSS” significa los servicios de soporte técnico que Google, a su discreción, puede proporcionar al Cliente.

2. Enmiendas. Esta Adenda se modifica de la siguiente manera con respecto a GCSBO:

• La definición de “Controles de Seguridad Adicionales” se reemplaza por la siguiente:
  • “Controles de Seguridad Adicionales” significa recursos de seguridad, características, funcionalidad y/o controles (si los hay) que el Cliente puede usar a su opción y/o según lo determine, incluyendo (de haberlos) cifrado, registro y monitoreo, gestión de identidad y acceso, y escaneo de seguridad.
• Las definiciones de “SCC (Responsable a Encargado)”, “SCC (Encargado a Responsable)”, “SCC (Encargado a Encargado)” y “SCC (Encargado a Encargado, Exportador de Google)” en el Apéndice 3 (Leyes de Privacidad Específicas) se reemplazan por lo siguiente:
  • “SCC (Responsable a Encargado)” significa los términos en: https://cloud.google.com/terms/skillsboost-organizations/sccs/eu-c2p;
  • “SCC (Encargado a Responsable)” significa los términos en: https://cloud.google.com/terms/skillsboost-organizations/sccs/eu-p2c;
  • “SCC (Encargado a Encargado)” significa los términos en: https://cloud.google.com/terms/skillsboost-organizations/sccs/eu-p2p; y
  • “SCC (Encargado a Encargado, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/skillsboost-organizations/sccs/eu-p2p-intra-group.

3. Ubicaciones de los Centros de Datos. Las ubicaciones de los centros de datos de GCSBO se describen en https://cloud.google.com/about/locations/.

4. Sin Certificación por parte de Clientes que no pertenecen a EMEA. El Cliente no está obligado a certificar o identificar su Autoridad de Supervisión competente como se describe en la Sección 4.2 (Certificación por Clientes no pertenecientes a EMEA) de los términos Europeos de Protección de Datos en el Apéndice 3 (Leyes de Privacidad Específicas) para GCSBO.

5. Información sobre Subencargados. Los nombres, ubicaciones y actividades de los Subprocesadores de GCSBO se describen en:

a. https://cloud.google.com/terms/skillsboost-organizations/subprocessors; y

b. https://cloud.google.com/terms/subprocessors.

6. Equipo de Protección de Datos en la Nube. Puede contactar con el Equipo de Protección de Datos de GCSBO en https://support.google.com/qwiklabs (y/o a través de otros medios que Google pueda proporcionar de vez en cuando).

7. Registros de Procesamiento de Google. En la medida en que cualquier Ley de Privacidad Aplicable requiera que Google recopile y mantenga registros de cierta información relacionada con el Cliente, el Cliente proporcionará dicha información a Google cuando lo solicite y notificará a Google sobre cualquier actualización necesaria para mantener dicha información precisa y actualizada, a menos que Google solicite que el Cliente proporcione y actualice dicha información a través de otros medios.