Temos o compromisso de obedecer às leis aplicáveis de proteção de dados

Nos produtos em que atuamos como processador de dados pessoais, disponibilizamos Termos de Processamento de Dados que refletem a relação entre controlador e processador, quando necessário. Estes são alguns dos produtos em que o Google atua como processador:

• Ads Data Hub
• Segmentação por lista de clientes do Google Ads
• Vendas na loja do Google Ads (upload direto)
• Android Enterprise
• Google Marketing Platform (incluindo Display & Video 360, Campaign Manager, Search Ads 360, Google Analytics, Gerenciador de tags, Optimize, Data Studio, Attribution e Google Analytics para Firebase)
• Google Cloud Platform
• G Suite

Para acessar os Termos de Processamento de Dados que oferecemos para os produtos do Google Ads listados acima, clique aqui. Veja mais informações sobre os tipos de dados pessoais a que esses termos se aplicam para cada produto do Google Ads clicando aqui. Informações sobre os compromissos do Google Cloud Platform e do G Suite com o GDPR, incluindo Termos de Processamento de Dados, estão disponíveis neste link.

Além disso, para produtos em que o Google e o cliente agem como controladores independentes de dados pessoais, atualizamos nossos contratos ou disponibilizamos termos que refletem esse status. Esses produtos do Google incluem os seguintes:

• Google AdMob
• Google AdSense
• Google Ads (incluindo Shopping e Anúncios de hotéis, mas não recursos do Google Ads para os quais agimos como processador de dados pessoais, veja acima)
• Google Ad Manager
• Google Avaliações do Consumidor
• Google Maps APIs
• Waze Audio SDK

Os termos entre controladores que oferecemos para os produtos de anúncios listados acima estão disponíveis neste link. Publicamos outras informações na nossa Central de Ajuda para responder a perguntas frequentes: Ad Manager, AdSense e AdMob.

Também oferecemos cláusulas contratuais modelo europeias para atender aos requisitos de transferência de dados da UE para o Google Cloud Platform e o G Suite. Já recebemos Common Opinions de autoridades de proteção de dados da UE confirmando o alinhamento das nossas cláusulas contratuais modelo com as cláusulas contratuais padrão publicadas pela Comissão Europeia.

Oferecemos um Contrato de parceria comercial (BAA, na sigla em inglês) que aborda os requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) para determinados produtos do Google Cloud Platform e do G Suite.

Os editores e anunciantes que usam nossos produtos de publicidade e avaliação no mundo todo precisarão obedecer à nossa Política de consentimento para usuários da União Europeia e receber uma permissão dos usuários do EEE para anúncios personalizados e uso de cookies/armazenamento local nos sites e apps deles. Portanto, se você é um editor ou anunciante que usa os serviços de publicidade e avaliação do Google, tome medidas para garantir que as preferências dos usuários sejam respeitadas para atender aos requisitos da política.

Como profissional de marketing, sabemos que você precisa selecionar produtos que estejam em conformidade e usar dados pessoais de maneira a manter o compliance. Temos o compromisso de obedecer ao GDPR e incentivamos você a verificar os planos de compliance da sua própria organização. Principais áreas para considerar:

• Como sua organização garante a transparência do usuário e o controle do uso de dados? Você explica aos usuários os tipos de dados que são coletados e para qual finalidade?
• Você tem certeza de que sua organização tem os consentimentos necessários corretos em vigor em conformidade com o GDPR e (se aplicável) a Política de consentimento para usuários da União Europeia do Google? Você tem todos os consentimentos relevantes na sua cadeia de suprimentos de anúncios?
• Sua organização tem os sistemas corretos para registrar as preferências e os consentimentos do usuário?
• Como você mostrará aos reguladores e parceiros que segue os princípios do GDPR e que é uma organização responsável?

Estamos em posição privilegiada para atender aos requisitos de segurança do GDPR. Nossos serviços são apoiados por salvaguardas técnicas e organizacionais modernas e robustas, equipes dedicadas de segurança e privacidade, e nosso programa é revisado anualmente por auditores terceirizados.

De acordo com os termos de incidentes com dados presentes nos nossos contratos, você receberá informações imediatas sobre incidentes envolvendo seus dados de cliente. Mantemos e continuamos a investir em tecnologias avançadas de detecção e prevenção de ameaças, além de um rigoroso programa de gerenciamento de incidentes 24 horas por dia, 7 dias por semana para ajudar você a identificar e responder a eventos de segurança ou privacidade sem demora e com as informações disponíveis.

Mostramos transparência sobre como os dados são usados nos nossos produtos de anúncios. Pedimos permissão aos usuários para usar dados na personalização de anúncios e oferecemos transparência sobre como os dados são usados em tempo real por meio da ferramenta "Por que esse anúncio?". Fornecemos explicações detalhadas sobre como usamos os dados em privacy.google.com.br e na nossa Política de Privacidade. Também mostramos transparência aos usuários com relação aos dados que o Google salva sobre eles na Conta do Google, onde esses usuários podem ver e gerenciar as próprias configurações de dados, privacidade e segurança. Os usuários podem acessar as configurações de anúncios para controlar o uso de dados para a personalização de anúncios e para todos os anúncios exibidos pelo Google, inclusive nos nossos produtos Google Marketing Platform. De acordo com o GDPR e como parte do nosso compromisso contínuo de fornecer aos usuários controles para gerenciar a própria privacidade, atualizamos nossa experiência de criação de contas para oferecer aos usuários mais opções sobre quais dados eles decidem salvar nas respectivas contas.

Continuamos a oferecer uma variedade de mecanismos de transferência de dados internacionais e estamos certificados pelas estruturas Privacy Shield entre os Estados Unidos e a União Europeia e os Estados Unidos e a Suíça, que são um mecanismo legal para permitir a transferência de dados pessoais do EEE e da Suíça para os EUA, onde organizações certificadas garantem um nível de proteção de acordo com a lei de proteção de dados da UE. Também oferecemos cláusulas contratuais modelo aprovadas pela UE para alguns serviços.

Além disso, continuaremos monitorando a evolução dos mecanismos de transferência de dados internacionais no âmbito do GDPR e estamos comprometidos em ter uma base legal para transferências de dados em compliance com as leis de proteção de dados aplicáveis.

Já temos processos para incorporar a privacidade nos nossos produtos desde os primeiros estágios e estamos desenvolvendo continuamente nossas práticas, incluindo avaliações de impacto da proteção de dados, para atender aos requisitos do mundo todo, incluindo os do GDPR sobre privacidade por design e privacidade por padrão.

Saiba mais sobre como o Google está comprometido em manter o compliance com o GDPR nos serviços do G Suite e do Google Cloud Platform.

Termos e políticas:

• Termos do controlador do Ads
• Termos do processador do Ads
• Relação de produtos do Ads para controladores e processadores do Google
• Publicidade e cookies
• Política de consentimento para usuários da União Europeia
• Ajuda sobre a Política de consentimento para usuários da União Europeia

Ferramentas para ajudar editores a obedecer ao GDPR:

• Ad Manager
• AdMob
• AdSense

Ferramentas para ajudar anunciantes a obedecer ao GDPR:

• Display & Video 360
• Campaign Manager
• Search Ads 360

Recursos:

• Cookie Choices.org

Atualizamos nossas políticas de retenção de dados de anúncios e estamos alterando nossos produtos para unificar as práticas de retenção.

A ISO 27001 é um dos padrões de segurança independentes mais aceitos e reconhecidos no mundo. O Google conquistou a certificação ISO 27001 para sistemas, aplicativos, pessoas, tecnologia, processos e data centers envolvidos com o Google Cloud Platform, G Suite, Google Analytics, Google Analytics 360, Tag Manager 360, Optimize 360, Attribution 360, Audience Center 360, Data Studio, DoubleClick for Publishers, Segmentação por lista de clientes do Google Ads, Marketing Digital da DoubleClick e o Android Recognition Service (certificação pendente).

A ISO 27017 é um padrão de prática internacional para controles de segurança das informações baseado na ISO/IEC 27002, especificamente para serviços de nuvem.

O Google foi certificado em conformidade com a ISO 27017 para os produtos do Google Cloud Platform e para o G Suite.

A ISO 27018 é um padrão de prática internacional para a proteção das informações de identificação pessoal (PII, na sigla em inglês) em serviços de nuvem públicos.

O Google foi certificado em conformidade com a ISO 27018 para os produtos do Google Cloud Platform e para o G Suite.

A estrutura de auditoria dos Controles de Organização de Serviço, conhecidos como SOC 2 e SOC 3, do Instituto Americano de Contadores Públicos Certificados (AICPA, na sigla em inglês) define princípios de confiabilidade e critérios para segurança, disponibilidade, integridade de processamento e confidencialidade.

O Google tem os relatórios SOC 2 e SOC 3 para o Google Cloud Platform e o G Suite. Você pode fazer o download do nosso relatório SOC 3 clicando aqui. Também temos o SOC 1 Tipo 2 para o Google Ads, Google AdSense, DoubleClick Campaign Manager, DoubleClick for Publishers e DoubleClick Ad Exchange disponível para clientes de acordo com o NDA.

As estruturas Privacy Shield foram desenvolvidas para fornecer um mecanismo de obediência aos requisitos de proteção de dados ao transferir dados pessoais da União Europeia e da Suíça para os Estados Unidos em apoio ao comércio transatlântico. Nós aderimos às estruturas Privacy Shield entre a União Europeia e os Estados Unidos e entre a Suíça e os Estados Unidos (ver certificação).

O FedRAMP é um programa que fornece uma abordagem padronizada para a avaliação da segurança, a autorização e o monitoramento contínuo de produtos e serviços na nuvem usados pelo governo federal dos EUA. O Google detém uma autorização de operação (ATO, na sigla em inglês) do FedRAMP para o G Suite e o Google App Engine.

O Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI DSS, na sigla em inglês) é um conjunto de requisitos técnicos e operacionais para entidades que armazenam, processam ou transmitem dados de cartões de pagamento. Os seguintes serviços do Google foram analisados por um Avaliador qualificado de segurança independente e considerados compatíveis com a versão atual do PCI DSS: Android Pay, Google App Engine, Google Compute Engine, Google Cloud Storage, Google Cloud Datastore, Google Cloud SQL, Google BigQuery, Google Cloud Dataproc, Google Cloud Dataflow, Google Container Engine, Google Container Registry e Google Cloud Bigtable.