Google Meet no es, por sí mismo, una mala herramienta. Para muchas empresas es una solución cómoda, segura y suficientemente robusta. El problema aparece cuando se usa como canal por defecto para conversaciones de alto impacto: una consulta médica, una terapia, una estrategia procesal, una investigación interna, un despido, una negociación de M&A o una reunión con secretos empresariales.
Workspace estándar no significa “todo queda en Europa”
El contrato empresarial mejora mucho frente a una cuenta personal, pero por defecto no equivale a una garantía de no transferencia fuera del EEE.
La cadena puede alcanzar países sin adecuación UE
India, México, Malasia, Filipinas, Colombia, El Salvador, Sri Lanka, Australia, Hong Kong, Singapur o Taiwán exigen mirar garantías, contratos y riesgo real.
Los controles fuertes no suelen venir “de serie”
Data Regions avanzadas, desactivación de funciones globales, Assured Controls, Access Approval y CSE requieren ediciones o add-ons concretos.
La pregunta no es “¿Google Meet cumple o no cumple?”. La pregunta seria es: ¿esta reunión concreta puede asumir una cadena internacional de tratamiento, soporte y subencargados, incluidos países que la UE no reconoce automáticamente como adecuados?
Google dispone de contrato de tratamiento, medidas de seguridad, cifrado y mecanismos de transferencia. Eso no elimina la obligación de análisis. En protección de datos no basta con preguntar si existe una cláusula contractual tipo o un DPA: también hay que mirar probabilidad, impacto, dispersión, categorías de datos, países destino, medidas suplementarias y capacidad de control real.
Si se tratan datos de salud, menores, estrategia legal, RRHH sensible o secretos empresariales, usar Meet “porque ya viene en Workspace” es una decisión débil si no se ha revisado antes la arquitectura internacional del servicio.
1. No se trata de prohibir Google Meet
El punto de partida debe ser honesto: Google Meet puede ser una opción razonable para reuniones ordinarias de negocio, coordinación interna, formación o contacto comercial. Google Meet cifra las comunicaciones, se integra con Workspace y ofrece controles administrativos que muchas empresas valoran.
El lado oscuro aparece cuando una organización usa la misma configuración para todo. Una videollamada de ventas no es lo mismo que una sesión psicológica, una reunión clínica, una consulta con un abogado, una conversación sindical, una negociación confidencial o una junta de dirección donde se habla de datos económicos estratégicos.
Reunión ordinaria
Temas comerciales, coordinación interna, formación general, demos o reuniones sin datos especialmente protegidos.
Reunión con datos personales
Datos de clientes, trabajadores, proveedores, incidencias, grabaciones, transcripciones o actas automatizadas.
Datos sensibles o secretos
Salud, menores, defensa jurídica, RRHH conflictivo, investigaciones internas, M&A o propiedad intelectual.
2. ¿Qué empresa hay detrás de Google Meet?
Hay que distinguir dos escenarios. Si se usa Google Meet con una cuenta personal o de consumo, entran en juego los términos generales y la política de privacidad de Google para usuarios. En el Espacio Económico Europeo, el referente habitual en esas políticas es Google Ireland Limited.
Si se usa Google Meet dentro de Google Workspace, la lectura cambia: la empresa cliente suele contratar Workspace para su organización y Google actúa como encargado del tratamiento respecto a los datos de cliente bajo el acuerdo de tratamiento correspondiente. Esto es mejor para una empresa que necesita cumplimiento RGPD, pero no convierte automáticamente cualquier uso de Meet en adecuado para cualquier dato ni garantiza por defecto que no haya tratamiento fuera de Europa.
| Uso de Meet | Lectura RGPD práctica | Riesgo típico |
|---|---|---|
| Cuenta personal o gratuita | Google trata datos bajo sus condiciones generales de usuario. | No es el entorno natural para consultas profesionales con datos sensibles. |
| Google Workspace estándar | Existe marco empresarial, DPA y administración centralizada. | Puede seguir habiendo transferencias, subencargados y funciones globales. No debe venderse internamente como “datos solo en Europa”. |
| Workspace con controles avanzados | Permite reducir exposición con regiones, cifrado, aprobaciones y soporte restringido, normalmente mediante ediciones superiores o add-ons. | Mejor encaje para datos de mayor riesgo, si está bien configurado, documentado y verificado. |
3. El riesgo real: dispersión, no solo “transferencia”
Una transferencia internacional no es automáticamente ilícita. Puede estar cubierta por cláusulas contractuales tipo, decisiones de adecuación, medidas suplementarias o el propio marco contractual del proveedor. Pero eso no borra el riesgo de base: cuantos más países, entidades, roles de soporte y funciones globales intervienen, más difícil es explicar y controlar el tratamiento.
El DPA de Google permite tratamiento global salvo compromisos específicos
La documentación contractual de Google Cloud indica que los datos de cliente pueden procesarse en cualquier país donde Google o sus subencargados mantengan instalaciones, sujeto a los compromisos específicos de ubicación y transferencia que resulten aplicables. Dicho en lenguaje de dirección: no basta con contratar Workspace; hay que comprobar qué edición, qué política de región, qué funciones están activas y qué subencargados pueden intervenir.
En una evaluación de impacto o en un análisis de transferencias, el foco no debería limitarse a “hay SCC”. También hay que valorar si el contenido de la reunión permite identificar datos de salud, ideología, afiliación sindical, vida sexual, datos biométricos, secretos empresariales o información legalmente privilegiada.
La Comisión Europea distingue entre países con decisión de adecuación y países sin ella. Cuando no hay adecuación, la transferencia necesita garantías apropiadas y derechos exigibles para las personas. En la práctica, eso obliga a revisar contratos, subencargados, cláusulas contractuales tipo, medidas suplementarias, acceso de soporte, cifrado, registros y necesidad de DPIA/TIA.
EEE o países con adecuación
El riesgo no desaparece, pero el encaje jurídico es más claro cuando existe decisión de adecuación aplicable.
Adecuación parcial o condicionada
Canadá cubre organizaciones comerciales; Estados Unidos requiere verificar participación en el EU-US Data Privacy Framework o usar otra garantía válida.
Países sin adecuación general
India, México, Malasia, Filipinas, Colombia, El Salvador, Sri Lanka, Australia, Hong Kong, Singapur o Taiwán no deben tratarse como destinos “equivalentes” sin análisis.
4. Subencargados y países: el mapa que pocas empresas miran
Google publica una lista de subprocesadores para Google Workspace y Cloud Identity. En esa lista aparecen actividades como soporte técnico, soporte asegurado y detección de riesgos de seguridad. Google aclara que algunos subencargados solo acceden a datos de cliente si el cliente habilita ese acceso durante un caso de soporte, pero eso no convierte la lista en irrelevante: forma parte de la cadena contractual que hay que revisar antes de tratar datos delicados.
Que una cadena esté contractualmente cubierta no significa que sea inocua. Para datos sensibles, la dispersión internacional aumenta el trabajo de diligencia, documentación y justificación. La empresa debe poder explicar por qué acepta esos destinos, con qué garantías y qué controles ha activado.
| Grupo o subencargado identificado | Actividad habitual | Países detectados en la cadena |
|---|---|---|
| Cognizant Worldwide Limited y afiliadas | Soporte técnico | Argentina, Canadá, India, Israel, Japón, Malasia, México, Filipinas, Estados Unidos, Irlanda, Reino Unido, Rumanía. |
| Accenture International Limited y afiliadas | Soporte técnico | Canadá, India, Israel, Japón, Malasia, México, Filipinas, Estados Unidos, Rumanía. |
| EPAM, GlobalLogic, Infosys, TCS, TELUS, Virtusa | Soporte técnico y servicios relacionados | Australia, Suiza, Canadá, Colombia, India, Japón, México, Estados Unidos, El Salvador, Sri Lanka. |
| Afiliadas del grupo Google | Operaciones de centro de datos, mantenimiento, soporte | Estados Unidos, Argentina, Australia, Brasil, Canadá, Chile, Hong Kong, India, Israel, Corea del Sur, México, Nueva Zelanda, Singapur, Taiwán, Reino Unido y otros. |
La conclusión no es que todas esas entidades vayan a escuchar una reunión. La conclusión correcta es más fina: existe una arquitectura global de prestación, soporte, seguridad y mantenimiento. Para reuniones de bajo riesgo puede ser aceptable. Para datos sensibles, conviene decidirlo de forma consciente, documentada y con controles activados.
El error empresarial más peligroso es confundir “Google tiene contratos y SCC” con “mi empresa ya no tiene que revisar nada”. En RGPD, el responsable sigue teniendo que poder demostrar elección diligente del proveedor, análisis de transferencias y proporcionalidad del uso.
5. Reuniones donde el uso por defecto puede ser insuficiente
Hay reuniones que deberían levantar una alerta previa antes de abrir un enlace estándar de Google Meet:
- Sanidad y salud mental.Consultas médicas, terapia, informes clínicos, seguimiento de pacientes, discapacidad, bajas laborales o medicación.
- Abogados y procedimientos.Estrategia procesal, prueba, confesiones, acuerdos, datos de clientes, documentos judiciales o peritajes.
- Recursos humanos.Despidos, sanciones, investigación interna, acoso, sindicatos, absentismo, nóminas o evaluaciones de desempeño.
- Dirección y negocio.Fusiones, adquisiciones, financiación, deuda, crisis reputacional, propiedad intelectual o información de clientes clave.
- Menores y colectivos vulnerables.Educación, orientación, intervención social o decisiones que afectan a personas especialmente protegidas.
En estos casos, el riesgo no depende solo del proveedor. Depende de si se graba, si se transcribe, si se activa toma de notas con IA, si se comparten documentos en Drive, si entran invitados externos, si se usa una cuenta personal y si la organización puede demostrar qué controles aplicó.
6. Cómo reducir el riesgo: las opciones buenas suelen estar en planes avanzados
Google ofrece controles muy interesantes para organizaciones que realmente necesitan soberanía, trazabilidad y reducción de exposición. El problema práctico es que muchas empresas usan Meet con una configuración básica y dan por hecho que “Google ya se ocupa de todo”. Esa frase es cómoda, pero no sirve como análisis RGPD.
La residencia europea no se debe presumir: se configura y se paga
Google Workspace dispone de Data Regions, Data Regions avanzadas y Assured Controls, pero su disponibilidad depende de la edición o de add-ons. Además, Google diferencia datos cubiertos, funciones no regionalizadas y datos no cubiertos como logs o caché. Por eso, una suscripción estándar puede ser insuficiente si la organización necesita reducir al máximo transferencias o procesamiento global.
Data Regions
Permite elegir ubicación geográfica para datos cubiertos. Para Meet, Google identifica como cubiertos elementos como grabaciones, chats guardados en Drive, informes de asistencia, encuestas, transcripciones y preguntas. No cubre automáticamente todo tipo de dato, log o caché.
Data Regions avanzadas
Permiten desactivar funciones no regionalizadas que procesan datos globalmente. Google indica que estas funciones globales están activadas por defecto si se permite su uso; desactivarlas puede afectar funcionalidad.
Client-side encryption (CSE)
Añade una capa de cifrado donde el contenido multimedia se cifra en el navegador del participante con claves controladas por la organización. Google indica que, con CSE, los servidores de Google no pueden leer el contenido de la llamada.
Access Transparency / Access Approval
Ayudan a registrar o aprobar determinados accesos de personal de Google a datos de cliente. Son controles valiosos cuando una empresa necesita trazabilidad y gobierno real del soporte.
| Situación | Medida mínima razonable | Mejor práctica |
|---|---|---|
| Reuniones ordinarias | Workspace empresarial, cuentas corporativas y política interna. | Evitar cuentas personales, controlar invitados, grabaciones y enlaces. |
| Datos personales relevantes | DPA, RAT, análisis de proveedor, control de grabación, transcripción y conservación. | Data Regions UE, revisión de subencargados, transferencias y procedimiento de aprobación. |
| Datos sensibles o secretos | Análisis específico, DPIA/TIA si procede, SCC y medidas suplementarias verificables. | Enterprise/Data Regions add-on, Assured Controls, CSE, minimización estricta o canal alternativo más adecuado. |
7. Checklist para un CEO antes de usar Meet con datos sensibles
Antes de convertir Google Meet en el canal por defecto para todo, dirección debería poder responder a estas preguntas:
- ¿La reunión tratará datos de salud, menores, RRHH conflictivo, estrategia legal o secretos empresariales?
- ¿Se usa Google Workspace corporativo o cuentas personales/gratuitas?
- ¿Está firmado y revisado el acuerdo de encargado del tratamiento?
- ¿El RAT identifica Meet, grabaciones, transcripciones, Drive, soporte, subencargados y países destino?
- ¿Se han revisado transferencias internacionales, países sin adecuación, SCC y medidas suplementarias?
- ¿La edición contratada permite Data Regions de procesamiento, ajustes avanzados o Assured Controls?
- ¿Están configuradas regiones de datos y desactivadas funciones globales no necesarias?
- ¿Se permite grabar o transcribir? ¿Quién autoriza? ¿Durante cuánto tiempo se conserva?
- ¿Hay controles de acceso para invitados externos y enlaces reutilizables?
- ¿Se ha valorado CSE para reuniones de alto impacto?
- ¿Se puede demostrar todo lo anterior si llega una reclamación, inspección o incidente?
Si varias respuestas son “no lo sé”, el riesgo principal no es Google Meet. El riesgo principal es usar una infraestructura global sin gobierno interno.
Frequently asked questions
¿Google Meet incumple el RGPD por tener transferencias internacionales?
No necesariamente. Una transferencia internacional puede estar cubierta por cláusulas contractuales tipo, contratos de tratamiento y medidas suplementarias. El punto crítico es si la reunión concreta, por su contenido y categoría de datos, exige controles adicionales, evaluación de transferencias o una alternativa más restringida.
¿Google Workspace estándar evita transferencias fuera de Europa?
No debe presumirse. Workspace empresarial aporta contrato, administración y medidas de seguridad, pero la limitación fuerte de ubicación, funciones globales, soporte restringido, Access Approval, Assured Controls o cifrado del lado del cliente depende de la edición, add-ons y configuración concreta. Para reuniones sensibles hay que verificar el plan contratado y las funciones activas.
¿Puedo usar Google Meet para consultas médicas o datos de salud?
Puede ser posible, pero no debería hacerse con una cuenta personal o una configuración básica sin análisis. En salud conviene revisar contrato, subencargados, regiones de datos, grabaciones, transcripciones, controles de acceso, conservación y si procede una evaluación de impacto.
¿Data Regions evita todas las transferencias a terceros países?
No debe interpretarse como una garantía absoluta de cero transferencias. Las regiones de datos ayudan a ubicar datos cubiertos, como grabaciones, chats guardados, informes, encuestas, transcripciones y preguntas, pero algunas funciones y operaciones globales pueden requerir controles avanzados o desactivación.
¿Qué controles reducen más el riesgo en Google Meet?
Para reuniones sensibles destacan Google Workspace corporativo, Data Regions en Europa, configuración avanzada para funciones no regionalizadas, desactivación de grabaciones y transcripciones innecesarias, Access Transparency, Access Approval y client-side encryption cuando el caso lo justifica.
¿Qué debe documentar una empresa que usa Meet con datos sensibles?
Debe documentar el uso en el RAT, revisar el contrato de encargado, analizar subencargados y transferencias, definir cuándo se permite grabar o transcribir, controlar invitados, conservar evidencias de configuración y valorar DPIA cuando el riesgo sea alto.
Fuentes oficiales consultadas
- Google Cloud Data Processing Addendum
- Google Workspace and Cloud Identity Subprocessors
- Google Workspace: datos cubiertos por regiones de datos
- Google Workspace: configuración avanzada de regiones de datos
- Google Meet: cifrado del lado del cliente
- Google Workspace Admin: configuración de client-side encryption
- Política de Privacidad de Google
- Comisión Europea: decisiones de adecuación para transferencias internacionales
- EDPB: recomendaciones sobre medidas suplementarias para transferencias internacionales
Si usas Meet para reuniones delicadas, conviene revisar la configuración antes de que llegue el incidente.
Puedo ayudarte a revisar Workspace, Meet, grabaciones, transcripciones, regiones de datos, subencargados, RAT, DPIA y medidas suplementarias con una visión jurídica y técnica.
