En respuesta a (1), sí, podría proporcionar un camino, pero es poco probable que se trate de una organización bajo algunas suposiciones razonables. En particular, es posible acceder a GMail y Google Drive desde un navegador que solo admite JavaScript, por lo que el sandbox estándar del navegador significa que Google no debería poder leer ni cambiar ningún archivo de su red interna al que pueda tener acceso.
Eso es para un usuario responsable y un navegador actualizado, solo con la versión web de las aplicaciones. Por supuesto, un usuario puede recibir malware a través de GMail o almacenado / compartido desde una computadora comprometida o con credenciales comprometidas en Google Drive. Google proporciona un complemento de Google Talk y un cliente de Google Drive, y es posible que se haya colocado una puerta trasera en uno de ellos. Además, si un usuario realiza una búsqueda en la web para "descargar el cliente de gmail" o "descargar el cliente de Google Drive" o "descargar el navegador de gmail" y hace clic en el enlace incorrecto, en su lugar podría obtener malware.
La mayor preocupación de permitir que los usuarios en un entorno seguro revisen su correo web (de cualquier proveedor) o accedan a los archivos en un servicio en la nube es que es fácil para ellos compartir los datos y la información de la organización sin los controles adecuados. La red como tal no viene al caso, lo que realmente hace que algo sea una violación de la seguridad son los secretos.
Lo que lleva a una respuesta a (2). Google dice en su Política de privacidad que "trabajamos arduamente para proteger a Google y nuestros usuarios de personas no autorizadas acceso o alteración no autorizada, divulgación o destrucción de la información que tengamos ". Esa no es una promesa absoluta; Hay excepciones específicas que se mencionan en otras partes de la política y los Términos de servicio. Si su organización participa en actividades respetuosas de la ley en los EE. UU., Los agentes de la KGB tienen menos probabilidades de ver el correo enviado entre dos cuentas de GMail que el correo enviado entre dos cuentas de mail.ru. Si eres un competidor directo de Google y pones tu plan de negocios en Drive, no deberían analizarlo. Eso no es tan fuerte como decir que nadie puede mirarlo.
Si tiene un contrato (o una política de privacidad, etc.) con sus clientes que dice que puede almacenar su información en Google Drive, o con "proveedores comerciales", entonces puede hacerlo. Sin embargo, su organización también podría tener una política que prohíba almacenar elementos particulares (como los relacionados con el cliente que menciona) sin controles específicos, y es posible que Google Drive no cumpla con esos controles.