Problema 2456

Loading...
Gobierno holandés: ¿Dijimos 10 "altos riesgos de protección de datos" en la adopción de bloques de Google Workspace? haz eso 8
theregister.com · 2021

Un informe del gobierno holandés que identifica "10 riesgos de alto riesgo para la protección de datos" para los usuarios de Google Workspace, anteriormente conocido como G Suite, se revisó después de la respuesta de Google y ahora dice que aún quedan ocho problemas de alto riesgo.

El estudio (disponible en inglés) fue realizado por el Ministerio de Justicia holandés y Seguridad junto con SLM Microsoft Rijk (Strategic Vendor Management Microsoft).

A pesar del nombre, no se trata de una rama del rival de Google con sede en Redmond, sino de un departamento gubernamental que gestiona las relaciones con los proveedores de la empresa y que se comprometió a evaluar los riesgos de implementar Google Workspace en lugar de Office 365, en un proceso llamado DPIA. (Evaluación de impacto de la protección de datos). Ha realizado estudios similares sobre los riesgos de privacidad con los servicios de Microsoft.

La DPIA, publicada por primera vez en julio de 2020, presentó una serie de recomendaciones, algunas de las cuales Google ha adoptado o se comprometió a adoptar. Por ejemplo, Google dijo que permitirá a los administradores bloquear el uso de las cuentas de Google de los consumidores en el entorno de Workspace, según el informe, y proporcionar un indicador visual claro a los usuarios que muestren si están o no en el entorno empresarial.

A pesar de estas garantías, en el momento de redactar este informe, la DPIA todavía considera que existen obstáculos legales para adoptar Google Workspace en torno a las funciones y obligaciones de los procesadores y controladores de datos en virtud del Reglamento general de protección de datos (GDPR) de la UE.

“El uso de Google Workspace, tal como se ofrece en virtud de la enmienda de privacidad del gobierno holandés, aún conlleva 8 riesgos altos para las diferentes categorías de interesados involucrados (no solo empleados, sino todo tipo de otros interesados que pueden interactuar con el gobierno holandés). )”, decía el informe actualizado.

El RGPD distingue entre controladores de datos, que determinan el propósito y los medios del procesamiento de datos, y procesadores de datos, que realizan el procesamiento en nombre del controlador. Una organización que administra un espacio de trabajo de Google tiene una medida de control sobre qué datos se recopilan y cómo se utilizan y, por lo tanto, es un controlador de datos. Google es un procesador de datos, pero también un controlador de datos, ya que también determina cómo se utilizan los datos, aunque el alcance de su papel como controlador de datos es (para sorpresa de nadie) complicado.

La falta de detalles sobre los fines para los que Google recopila datos es un obstáculo para las obligaciones legales de las organizaciones que utilizan Workspace. El gobierno de los Países Bajos y Google son controladores conjuntos de los datos procesados a través de Google Workspace, pero el informe dice que, "debido a la falta de limitación de propósito y transparencia, Google y las organizaciones gubernamentales actualmente no tienen una base legal para ninguno de los datos". Procesando."

Una consultora llamada Privacy Company, que ayudó con el informe, resumió el estado de la cuestión [aquí](https://www.privacycompany.eu/blogpost-en/privacy-assessment-google-workspace-g-suite-enterprise-dutch -government-consults-dutch-data-protection-authority-on-high-privacy-risks), donde dijo que si bien Google ha mejorado su descripción de propósitos, “no resuelve el problema de que el Estado pierde el control sobre la privacidad personal”. datos de sus empleados si el Estado permite que Google procese estos datos para sus propios fines comerciales”.

Otros problemas son que los propósitos "son amplios y poco claros" y que "Google puede cambiar los propósitos para el procesamiento de los Datos de servicio a voluntad, modificando la declaración de privacidad", sujeto a ciertos propósitos prohibidos.

Un usuario que inicia sesión en una cuenta de Google Workspace debe aceptar por separado los Servicios principales según los términos de su organización y los Servicios adicionales según los términos de Google. ¿Cuál se usa cuándo? Es complicado...

Una faceta clave de este informe es la distinción entre "Servicios principales", como Documentos, Hojas de cálculo, Meet y Calendario, y "Servicios adicionales" que incluyen YouTube, Mapas, Asistente y Búsqueda. La diferencia es fundamental porque cuando los usuarios finales se registran para obtener una cuenta de Workspace, celebran varios acuerdos. El uso del espacio de trabajo se rige por las políticas de su organización, pero los usuarios también deben aceptar las condiciones de servicio y la política de privacidad de Google para consumidores genéricos.

Google ha dicho que esto se debe a que los usuarios pueden usar los Servicios adicionales mientras inician sesión con la cuenta empresarial, lo que "requiere una relación contractual directa con los usuarios finales de los productos que no se venden bajo los términos de G Suite Enterprise".

Un administrador de empresa puede intentar desactivar uno de los servicios adicionales, pero si es así, "el usuario final se desconecta silenciosamente de la cuenta de Google y puede visitar el servicio como usuario final sin cuenta de Google".

Una complicación es que un usuario puede iniciar sesión simultáneamente con un espacio de trabajo y una cuenta personal. En este caso, podrán utilizar un Servicio Adicional bajo los términos de su cuenta personal. Este entrelazamiento hace que las políticas sean difíciles de hacer cumplir.

¿Sabe el usuario si está utilizando servicios básicos o servicios adicionales? La DPIA analizó la función de corrector ortográfico en Chrome. En respuesta a las consultas, Google dijo que hay tres tipos de correctores ortográficos: una función de ortografía y gramática, un corrector ortográfico local básico y un corrector ortográfico mejorado. La función de ortografía y gramática se define como parte de los Servicios principales, el corrector ortográfico mejorado (que procesa los datos de manera diferente) es un Servicio adicional. Se accede a ambos con un clic derecho.

“Para el usuario final, la diferencia con la función de ortografía y gramática de G Suite no es obvia. Al verificar la ortografía de un documento, el usuario final puede usar los tres correctores ortográficos, sin una distinción clara de su origen, parte de un Servicio principal o parte del Servicio adicional”, dijo la DPIA.

Hay una forma de desactivar el corrector ortográfico mejorado, pero solo a través de las políticas de Chrome Enterprise, que en Windows se pueden aplicar a través de la Política de grupo después de instalar Chrome Enterprise Bundle. “Chrome Enterprise no está incluido en el contrato de G Suite Enterprise y, por lo tanto, está fuera del alcance de este DPIA”, dice el informe.

Otro enredo vertiginoso fue con Google Maps. Calendar es un servicio principal y Maps un servicio adicional, pero "en Calendar, el tráfico a Google Maps se produce cuando se trabaja con elementos de Calendar que contienen una ubicación", dice el informe. “En respuesta a esta DPIA, Google explicó que el tráfico a Maps no era tráfico a un Servicio Adicional, sino un procesamiento integrado dentro de los Servicios Principales”.

La DPIA entró en detalles sobre cómo llevó a cabo su investigación. Dicho esto, señaló: “Debido a que G Suite Enterprise es un servicio remoto basado en la nube, el procesamiento de datos se lleva a cabo en los servidores en la nube de Google. Como resultado, no es posible inspeccionar a través de la intercepción de tráfico cómo Google procesa los Datos de diagnóstico en los registros generados por su sistema sobre el uso de los Servicios principales, los Servicios adicionales o la Cuenta de Google”.

Los investigadores holandeses descubrieron que Google no proporciona todos los datos personales que posee cuando se le solicita que lo haga en virtud de las disposiciones del RGPD sobre el derecho a solicitar acceso a este. “Google… explica que no proporciona ciertos datos personales en respuesta a una solicitud de acceso de un interesado, porque (i) es imposible verificar de forma fiable la identidad del interesado como solicitante y (ii) en algunos casos tal la transparencia dañaría los esfuerzos de Google para proteger la seguridad de sus sistemas”, dice el informe. Del mismo modo, si los usuarios "eliminan la actividad" de un servicio de Google, es posible que en realidad no se elimine.

Con respecto a la actividad de YouTube, por ejemplo, Google dijo que "si elimina la actividad, ya no se usa para personalizar su experiencia de Google... con fines comerciales o de cumplimiento legal, Google debe conservar ciertos tipos de datos durante un período prolongado".

Los investigadores holandeses respondieron ofreciendo a Google "múltiples formas de verificar su identidad", incluso copias de pasaportes, pero "Google ha rechazado todas estas opciones".

Las medidas que el informe sugirió al gobierno holandés incluyen prohibir el uso de Chrome OS y el navegador Chrome, y no usar Workspace Enterprise hasta que el procesamiento de datos "pueda basarse en uno o más motivos legales".

Google Cloud veep para EMEA Samuel Bonamigo, en respuesta al informe actualizado, [publicado](https://cloud.google.com/blog/topics/inside-google-cloud/our-commitment-to-the-privacy-and -seguridad-de-google-workspace-customer-data) sobre privacidad y seguridad en Workspace.

Bonamigo dijo que "nunca usamos datos de clientes o datos de servicios (como la actividad de uso) para la orientación de anuncios" y que "solo procesamos datos de clientes en la nube de acuerdo con las instrucciones establecidas en los acuerdos de nuestros clientes".

Agregó: “Continuaremos discutiendo los hallazgos con el gobierno holandés en los próximos meses, con el objetivo de llegar a un acuerdo”.

Leer la Fuente