Versión 6.2, vigente desde el 9 de noviembre de 2023

Cloudflare, Inc. («Cloudflare») y la contraparte que acepta estas condiciones («Cliente») han suscrito un Acuerdo de suscripción a Enterprise, un Acuerdo de suscripción autoservicio u otro contrato por escrito o electrónico en relación con los Servicios prestados por Cloudflare (el «Acuerdo principal»). El presente Anexo de tratamiento de datos, incluidos los apéndices (el «DPA»), forma parte del Contrato principal.

El presente DPA entrará en vigor, y sustituirá y dejará sin efecto cualquier condición aplicable anteriormente en relación con su objeto (incluida cualquier modificación, acuerdo o anexo sobre el tratamiento de datos relacionado con los Servicios), a partir de la fecha en que el Cliente firmó o las partes acordaron de otro modo el presente DPA («Fecha de entrada en vigor del DPA»).

Si usted acepta esta DPA en nombre del Cliente, garantiza que (a) tiene plena facultad legal para vincular al Cliente a este DPA; (b) ha leído y entendido este DPA; y (c) está de acuerdo, en nombre del Cliente, con este DPA. Si no tiene la facultad legal para vincular al Cliente, no acepte este DPA.

CONDICIONES DEL TRATAMIENTO DE DATOS

El presente APD se aplica cuando Cloudflare trata Datos personales como Encargado del tratamiento (o Subencargado, según corresponda) en nombre del Cliente para prestar los Servicios y dichos Datos personales están sujetos a las Leyes de protección de datos aplicables (según se define a continuación).

Las partes han acordado celebrar este DPA con el fin de garantizar que se establezcan las salvaguardias adecuadas para proteger dichos Datos personales de acuerdo con las Leyes de protección de datos aplicables. En consecuencia, Cloudflare se compromete a cumplir las siguientes disposiciones con respecto a los Datos personales que trate como Encargado del tratamiento (o Subencargado, según corresponda) en nombre del Cliente.

1. Definiciones

1.1 En este DPA se utilizan las siguientes definiciones:

a) «País adecuado» hace referencia a un país o territorio que, según las leyes europeas de protección de datos, proporciona una protección adecuada de los Datos personales.

b) «Filial» significa, con respecto a una parte, cualquier entidad corporativa que, directa o indirectamente, Controle, sea Controlada por, o esté bajo Control común con dicha parte (pero solo durante el tiempo que exista dicho Control).

c) «Leyes de protección de datos aplicables» se refiere a todas las leyes y reglamentos que son aplicables al tratamiento de los Datos personales en virtud del Acuerdo principal, incluidas las Leyes europeas y estadounidenses de protección de datos.

d) «Grupo Cloudflare» se refiere a Cloudflare y a cualquiera de sus Filiales.

e) «Controlador» designa a la entidad que determina los fines y los medios del tratamiento de Datos personales, e incluye "responsable del tratamiento", "empresa" o término análogo según se define en las Leyes de protección de datos pertinentes.

f) «Grupo de clientes» se refiere al Cliente y a cualquiera de sus Filiales.

g) «CCT de la UE» hace referencia a las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de Datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

h) «Marco de Privacidad de Datos» significa el Marco de Privacidad de Datos UE-EE.UU., la extensión Reino Unido-EE.UU. al Marco de Privacidad de Datos UE-EE.UU. y el Marco de Privacidad de Datos Suiza-EE.UU. según lo establecido por el Departamento de Comercio de EE.UU..

i) «Leyes europeas de protección de datos» se refiere a todas las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo, sus estados miembros, Suiza y el Reino Unido aplicables al tratamiento de Datos personales en virtud del Acuerdo principal (incluido, en su caso, (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de Datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (el "RGPD de la UE"); (ii) el RGPD de la UE, tal y como se incorporó a la legislación del Reino Unido en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 y la Ley de protección de datos del Reino Unido de 2018 (el "RGPD del Reino Unido"); (iii) la Ley federal suiza de protección de datos del 1 de septiembre de 2023 y sus ordenanzas correspondientes (la "LPD suiza"); (iv) la Directiva de la UE sobre privacidad en las comunicaciones electrónicas (Directiva 2002/58/CE); y (v) todas y cada una de las leyes nacionales de protección de datos aplicables en virtud de, de conformidad con o que se apliquen en conjunción con cualquiera de los puntos (i), (ii), (iii), (iv).

j) «Datos personales» se refiere a todos los datos que se definen como ‘datos personales’, ‘información personal’, o ‘información de identificación personal’ (o término análogo) en virtud de las Leyes de protección de datos aplicables.

k) «tratamiento», «interesado» y «autoridad de control» tendrán el significado que se les atribuye en la Ley europea de protección de datos.

l) «Encargado del tratamiento» se refiere a una entidad que trata Datos personales en nombre del Responsable del tratamiento, incluida una entidad a la que otra entidad revela la información personal de una persona física para un fin comercial en virtud de un acuerdo escrito que exige a la entidad que recibe la información que solo retenga, utilice o revele información de Datos personales con el fin de prestar los Servicios, e incluye "encargado del tratamiento", "proveedor de servicios" o un término análogo definido en las leyes de protección de datos aplicables.

m) «Servicios» se referirá a todas las soluciones basadas en la nube ofrecidas, comercializadas o vendidas por Cloudflare o sus socios autorizados que están diseñadas para aumentar el rendimiento, la seguridad y la disponibilidad de propiedades de Internet, aplicaciones y redes, junto con cualquier software, kits de desarrollador de software e interfaces de programación de aplicaciones («API») disponibles en relación con lo anterior.

n) «Transferencia restringida» significa: (i) cuando se aplique el RGPD de la UE o la Ley federal suiza de protección de datos, una transferencia de Datos personales desde el Espacio Económico Europeo o Suiza (según corresponda) a un país fuera del Espacio Económico Europeo o Suiza (según corresponda) que no esté sujeta a una determinación de adecuación por parte de la Comisión Europea o el Comisionado Federal de Protección de Datos e Información de Suiza (según corresponda); y (ii) cuando se aplique el RGPD del Reino Unido, una transferencia de Datos personales desde el Reino Unido a cualquier otro país que no se base en las regulaciones de adecuación de conformidad con la Sección 17A de la Ley de protección de datos del Reino Unido de 2018. Para evitar dudas, una transferencia de Datos Personales a Estados Unidos conforme al Marco de Privacidad de Datos no será una Transferencia Restringida.

o) “Anexo del Reino Unido” hace referencia al Anexo de Transferencia Internacional de Datos (Versión B1.0) emitida por la Oficina del Comisionado de Información en virtud de la s.119(A) de la Ley de Protección de Datos del Reino Unido de 2018, actualizada o modificada periódicamente.

p) “Leyes de Protección de Datos de los Estados Unidos” hace referencia a todas las leyes y reglamentos de los Estados Unidos aplicables al tratamiento de Datos personales en virtud del Acuerdo Principal, incluyendo (a) la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 (Código Civ. de Calif. § 1798.100 - 1798. 199, 2022) y sus reglamentos de aplicación (colectivamente, la "CCPA"), (b) la Ley de Protección de Datos de los Consumidores de Virginia, cuando entre en vigor, (c) la Ley de Privacidad de Colorado y sus reglamentos de aplicación, cuando entre en vigor, (d) la Ley de Privacidad de los Consumidores de Utah, cuando entre en vigor; y (e) la Ley SB6 de Connecticut, Ley relativa a la privacidad de los Datos personales y la supervisión en línea, cuando entre en vigor.

1.2 Una entidad «Controla» otra entidad si: (a) posee la mayoría de los derechos de voto de la misma; (b) es miembro o accionista de la misma y tiene derecho a destituir a la mayoría de su consejo de administración u órgano gestor equivalente; (c) es miembro o accionista de la misma y controla, en solitario o en virtud de un acuerdo con otros accionistas o miembros, la mayoría de los derechos de voto de la misma; o (d) tiene derecho a ejercer una influencia dominante sobre ella en virtud de sus documentos constitutivos o de un contrato; y se considera que dos entidades tienen un «Control común» si una de ellas controla a la otra (directa o indirectamente) o ambas están controladas (directa o indirectamente) por la misma entidad.

1.3 A efectos del presente APD, "prestar" o "proporcionar" los Servicios significa prestar los Servicios tal y como se definen en el Acuerdo Principal;

2. Estado de las partes

2.1 El tipo de Datos personales tratados de conformidad con este DPA y el objeto, la duración, la naturaleza y la finalidad del tratamiento, así como las categorías de interesados, se describen en el Anexo 1.

2.2 Cada una de las partes garantiza, en relación con los Datos personales, que cumplirá y proporcionará el mismo nivel de protección de privacidad que las Leyes de protección de datos aplicables. Entre las partes, el Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos personales y de los medios por los que el Cliente adquirió los Datos personales.

2.3 Con respecto a los derechos y obligaciones de las partes en virtud de este DPA en relación con los Datos personales, las partes reconocen y acuerdan que el Cliente es el Responsable del tratamiento (o un Encargado del tratamiento de Datos personales en nombre de un tercero), y Cloudflare es un Encargado del tratamiento (o Subencargado, según corresponda).

2.4 Si el Cliente es un Encargado del tratamiento, el Cliente garantiza a Cloudflare que las instrucciones y acciones del Cliente con respecto a los Datos personales, incluida su designación de Cloudflare como otro Encargado del tratamiento y, en su caso, la suscripción de las CCT (incluidas las modificaciones de las cláusulas 6.2(b) y (c) a continuación) , han sido (y seguirán siendo, durante la vigencia de este APD) autorizadas por el Encargado del tratamiento tercero correspondiente.

3. Obligaciones de Cloudflare

3.1 Con respecto a todos los Datos personales que trata en su función de Encargado o Subencargado del tratamiento, Cloudflare garantiza que:

(a) solo tratará los Datos personales para el fin comercial limitado y especificado de prestar los Servicios y de conformidad con: (i) las instrucciones escritas del Cliente según lo establecido en el Acuerdo principal y el presente APD, a menos que así lo exija la legislación aplicable de la Unión o del Estado miembro a la que Cloudflare esté sujeta, y (ii) los requisitos de las Leyes de Protección de datos aplicables. ​​En caso de que Cloudflare esté obligada a tratar Datos personales en virtud de las Leyes sobre protección de datos aplicables, Cloudflare informará al Cliente de ese requisito legal antes del tratamiento, a menos que dicha ley prohíba dicha información por motivos de interés público importantes;

(b) no utilizar los Datos personales con fines de marketing o publicidad;

(c) implantar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos que presenta el tratamiento de los Datos personales, en particular la protección contra la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos personales. Dichas medidas incluyen, sin limitación, las medidas de seguridad establecidas en el Anexo 2 («Medidas de seguridad»). El Cliente reconoce que las Medidas de seguridad están sujetas al progreso y desarrollo técnico y que Cloudflare puede actualizar o modificar las Medidas de seguridad en un momento determinado, siempre que dichas actualizaciones y modificaciones no degraden o disminuyan la seguridad general del Servicio;

(d) garantizará que únicamente el personal autorizado tenga acceso a dichos Datos personales y que cualquier persona a la que autorice el acceso a los Datos personales tenga obligaciones contractuales o legales de confidencialidad;

(e) notificará sin demora indebida al Cliente cuando tenga conocimiento de cualquier violación de la seguridad que provoque la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales transmitidos, almacenados o tratados de otro modo con el fin de prestar los Servicios al Cliente por Cloudflare, sus Subencargados, o cualquier otro tercero identificado o no identificado (una «Violación de Datos personales») y proporcionar al Cliente una cooperación y asistencia razonables con respecto a dicha Violación de Datos personales, incluyendo toda la información razonable en posesión de Cloudflare relativa a dicha Violación de Datos personales en la medida en que afecte a los Datos personales;

(f) no hacer ningún anuncio público sobre una Violación de Datos personales (un «Aviso de violación») sin el consentimiento previo por escrito del Cliente, a menos que lo exija la legislación aplicable;

(g) en la medida en que Cloudflare pueda verificar que un interesado está asociado con el Cliente, notificar rápidamente al Cliente si recibe una solicitud de un interesado para ejercer cualquier derecho de protección de datos (incluidos los derechos de acceso, rectificación o supresión) con respecto a los Datos personales de ese interesado (una «Solicitud del interesado»). Cloudflare no responderá a una Solicitud del interesado sin el consentimiento previo por escrito del Cliente, excepto para confirmar que dicha solicitud se refiere al Cliente, a lo que el Cliente se compromete por la presente;

(h) en la medida en que Cloudflare pueda, y de conformidad con la legislación aplicable, proporcionar asistencia razonable al Cliente para responder a la solicitud de un interesado para ejercer cualquier derecho de protección de datos en virtud de las Leyes de protección de datos aplicables (incluidos los derechos de acceso, rectificación o supresión) con respecto a los Datos personales de dicho interesado, si el Cliente no tiene la capacidad de atender una solicitud del interesado sin la asistencia de Cloudflare. El Cliente es responsable de verificar que el solicitante es la persona respecto a cuyos Datos personales se realiza la solicitud. Cloudflare no asume ninguna responsabilidad por la información proporcionada de buena fe al Cliente en virtud de este apartado. El Cliente deberá cubrir todos los costes en los que incurra Cloudflare en relación con la prestación de dicha asistencia;

(i) al margen de la medida en que sea necesario para cumplir con la legislación aplicable, tras la extinción o el vencimiento del Contrato principal o la finalización del Servicio, Cloudflare eliminará o devolverá todos los Datos personales (incluidas las copias de los mismos) tratados de conformidad con esta DPA;

(j) teniendo en cuenta la naturaleza del tratamiento y la información de la que dispone Cloudflare, prestar la asistencia al Cliente que este solicite razonablemente en relación con las obligaciones de Cloudflare en virtud de las Leyes de protección de datos aplicables con respecto a:

(i) las evaluaciones de impacto de la protección de datos y consultas previas (tal y como se definen dichos términos en las Leyes sobre protección de datos aplicables);

(ii) las notificaciones a la autoridad de control en virtud de las Leyes de protección de datos aplicables y/o las comunicaciones a los interesados por parte del Cliente en respuesta a cualquier Violación de Datos personales; y

(iii) el cumplimiento por parte del Cliente de sus obligaciones en virtud de las Leyes de protección de datos aplicables con respecto a la seguridad del tratamiento;

siempre que el Cliente cubra todos los costes en que incurra Cloudflare en relación con su prestación de dicha asistencia; y

(k) notificar al Cliente si, a juicio de Cloudflare, cualquier instrucción proporcionada por el Cliente en virtud de la cláusula 3.1(a) infringe las Leyes de Protección de Datos aplicables, o si Cloudflare determina de otro modo que ya no puede cumplir sus obligaciones en virtud de las Leyes de Protección de Datos aplicables

3.2 En la medida en que Cloudflare esté tratando Datos personales en nombre del Cliente en el marco de la CCPA, Cloudflare asumirá los siguientes compromisos adicionales con el Cliente: Cloudflare no conservará, utilizará ni divulgará dichos Datos personales para fines distintos de los previstos en el Acuerdo principal y en el presente APD y según lo permitido por la CCPA, incluida toda exención de "venta". Cloudflare no "venderá" ni "compartirá" dichos Datos personales, tal y como se definen estos términos en la CCPA. La presente cláusula 3.2 no limitará ni reducirá ningún compromiso de protección de datos que Cloudflare haya contraído con el Cliente en el Acuerdo principal o en el presente APD.

3.3 Cloudflare certifica que entiende y cumplirá las obligaciones y restricciones recogidas en las cláusulas 2 y 3, así como las Leyes de Protección de Datos aplicables.

4. Subtratamiento

4.1 Cloudflare revelará Datos personales a Subencargados únicamente con el fin específico de prestar los Servicios.

4.2 Cloudflare se asegurará de que cualquier Subencargado del tratamiento que contrate para prestar un aspecto del Servicio en su nombre en relación con el presente APD lo haga únicamente sobre la base de un acuerdo escrito que imponga a dicho Subencargado del tratamiento unas condiciones (es decir, obligaciones de protección de datos) que sustancialmente sean por lo menos igual de protectoras de los Datos personales que las impuestas a Cloudflare en este APD (las "Condiciones relevantes"). Cloudflare velará por que dicho Subencargado del tratamiento ejecute las Condiciones relevantes y será responsable frente al Cliente de cualquier incumplimiento de cualquiera de las Condiciones relevantes por parte de dicho Subencargado del tratamiento.

4.3 Cloudflare mantendrá una lista de Subencargados en https://www.cloudflare.com/gdpr/subprocessors/ y añadirá los nombres de los Subencargados nuevos y suplentes a la lista al menos treinta (30) días antes de la fecha en que dichos Subencargados comiencen a tratar los Datos personales. Si el Cliente se opone a cualquier Subencargado nuevo o suplente por motivos razonables relacionados con la protección de datos, notificará a Cloudflare dichas objeciones por escrito en un plazo de diez (10) días a partir de la notificación y las partes tratarán de resolver el asunto de buena fe. Si Cloudflare es razonablemente capaz de prestar el Servicio al Cliente de acuerdo con el Contrato principal sin utilizar el subencargado y decide a su discreción hacerlo, el Cliente no tendrá más derechos en virtud de esta cláusula 4.3 con respecto al uso propuesto del Subencargado. Si Cloudflare, a su discreción, requiere el uso del Subencargado y no puede satisfacer la objeción del Cliente con respecto al uso propuesto del Subencargado nuevo o suplente , el Cliente podrá rescindir el Formulario de pedido aplicable con efecto a partir de la fecha en que Cloudflare comience a utilizar dicho Subencargado nuevo o suplente únicamente con respecto al/los Servicio(s) que utilizará el nuevo Subencargado propuesto para el tratamiento de Datos personales. Si el Cliente no presenta una objeción oportuna a un subencargado del tratamiento nuevo o sustituto de conformidad con esta cláusula 4.3, se considerará que el Cliente ha dado su consentimiento al subencargado del tratamiento y renuncia a su derecho a oponerse.

4.4 Cloudflare se asegurará de que cualquier Subencargado del tratamiento que contrate para prestar un aspecto del Servicio en su nombre en relación con este DPA lo haga únicamente sobre la base de un contrato escrito que imponga a dicho Subencargado del tratamiento unas condiciones (es decir, obligaciones de protección de datos) que sustancialmente sean por lo menos igual de protectoras de los Datos personales que las impuestas a Cloudflare en este DPA (las «Condiciones relevantes»). Cloudflare velará por que dicho Subencargado del tratamiento ejecute las Condiciones relevantes y será responsable frente al Cliente de cualquier incumplimiento de cualquiera de las Condiciones relevantes por parte de dicho Subencargado del tratamiento.

5. Auditoría y registros

5.1 Cloudflare, de conformidad con las Leyes de protección de datos aplicables, pondrá a disposición del Cliente la información en posesión o control de Cloudflare que el Cliente pueda solicitar razonablemente con el fin de demostrar el cumplimiento por parte de Cloudflare de las obligaciones de los Encargados del tratamiento en virtud de las Leyes de protección de datos aplicables en relación con su tratamiento de Datos personales.

5.2 Cloudflare puede cumplir con el derecho de auditoría del Cliente en virtud de las Leyes de protección aplicables en relación con los Datos personales, proporcionando:

(a) un informe de auditoría con una antigüedad no superior a trece (13) meses, elaborado por un auditor externo independiente que demuestre que las medidas técnicas y organizativas de Cloudflare son suficientes y están de acuerdo con una norma de auditoría aceptada en el sector;

(b) información adicional en posesión o control de Cloudflare a una autoridad de control de protección de datos cuando solicite o requiera información adicional en relación con el tratamiento de Datos personales realizado por Cloudflare en virtud de este DPA; y

(c) En la medida en que los Datos personales del Cliente estén sujetos a las CCT de la UE y la información puesta a disposición de conformidad con esta cláusula 5.2 sea insuficiente, según el criterio razonable del Cliente, para confirmar el cumplimiento de Cloudflare de sus obligaciones en virtud del presente APD o de las Leyes sobre protección de datos aplicables, entonces Cloudflare permitirá al Cliente solicitar una auditoría in situ con carácter anual durante el Plazo (según se define en el Acuerdo principal) para verificar el cumplimiento de Cloudflare de sus obligaciones en virtud de este APD conforme a la cláusula 5.3.

5.3 Las siguientes condiciones adicionales se aplicarán a las auditorías que el Cliente solicite:

(a) El Cliente deberá enviar cualquier solicitud de revisión de los informes de auditoría de Cloudflare a customer-compliance@cloudflare.com.

(b) Tras la recepción por parte de Cloudflare de una solicitud de auditoría en virtud de la cláusula 5.2(c), Cloudflare y el Cliente tratarán y acordarán por adelantado la fecha de inicio razonable, el alcance, la duración y los controles de seguridad y confidencialidad aplicables a cualquier auditoría en virtud de la cláusula 5.2(c). Siempre que sea posible, las pruebas para dicha auditoría se limitarán a las pruebas recogidas para la auditoría de terceros más reciente de Cloudflare.

(c) Cloudflare puede cobrar una tarifa (basada en los costes razonables de Cloudflare) por cualquier auditoría en virtud de la cláusula 5.2(c). Cloudflare proporcionará al Cliente más detalles sobre cualquier tarifa aplicable, y la base de su cálculo, antes de cualquier auditoría de este tipo. El Cliente será responsable de cualquier tarifa cobrada por cualquier auditor designado por el Cliente para ejecutar cualquier auditoría de este tipo.

(d) Cloudflare podrá oponerse por escrito a un auditor designado por el Cliente para llevar a cabo cualquier auditoría conforme a la cláusula 5.2(c) si el auditor, según el criterio razonable de Cloudflare, no está debidamente cualificado o no es independiente, es un competidor de Cloudflare, o de otro modo es manifiestamente no apto (es decir, un auditor cuyo compromiso puede tener un impacto perjudicial en el negocio de Cloudflare comparable a los aspectos anteriormente mencionados). Cualquier objeción de este tipo por parte de Cloudflare obligará al Cliente a nombrar a otro auditor o a realizar él mismo la auditoría. En caso de aplicarse las CCT de la UE (incluidas sus posibles modificaciones en las cláusulas 6.2(a) y (b) siguientes), nada de lo dispuesto en la presente cláusula 5.3 variará o modificará las CCT de la UE ni afectará a los derechos de la autoridad supervisora o del interesado en virtud de las CCT de la UE.

6. Transferencias de datos desde el EEE, Suiza y el Reino Unido

6.1 En relación con el Servicio, las partes prevén que Cloudflare (y sus Subencargados) pueda tratar fuera del Espacio Económico Europeo («EEE»), Suiza y el Reino Unido, determinados Datos personales protegidos por las leyes europeas de protección de datos respecto de los cuales el Cliente o un miembro del Grupo del Cliente pueda ser un Responsable del tratamiento (o un Encargado del tratamiento en nombre de un tercero Responsable del tratamiento, según corresponda).

6.2 Las partes acuerdan que cuando la transferencia de Datos personales protegidos por las Leyes europeas de protección de datos del Cliente o de cualquier miembro del Grupo del cliente a Cloudflare sea una Transferencia restringida, estará sujeta a las CCT de la UE correspondientes, tal y como se indica a continuación:

(a) Transferencias a la Unión Europea: en relación con los Datos personales protegidos por el RGPD de la UE, se aplicarán las CCT de la UE completadas de la siguiente manera:

(i) el Módulo Dos se aplicará cuando el Cliente (o el miembro pertinente del Grupo del Cliente) sea un Responsable del tratamiento y el Módulo Tres se aplicará cuando el Cliente (o el miembro pertinente del Grupo del cliente) sea un Encargado del tratamiento;

(ii) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;

(iii) en la Cláusula 9, se aplicará la opción 2, y el plazo de notificación previa de los cambios del Subencargado será el establecido en la Cláusula 4.4 de este DPA;

(iv) en la Cláusula 11, no se aplicará el texto opcional;

(v) en la Cláusula 17, se aplicará la Opción 2, y si el Estado miembro del exportador de datos no permite los derechos de terceros beneficiarios, entonces se aplicará la ley de Alemania;

(vi) en la cláusula 18(b), las disputas se resolverán ante los tribunales de la jurisdicción que rige el Acuerdo principal entre las partes o, si dicha jurisdicción no fuera un Estado miembro de la UE, ante los tribunales de Múnich, Alemania. En cualquier caso, las cláusulas 17 y 18 (b) serán coherentes en que la elección del foro y jurisdicción recaerá en el país de la legislación aplicable;

(vii) el Anexo I de las CCT de la UE se considerará completado con la información establecida en el Anexo 1 de este DPA; y

(viii) el Anexo II de las CCT de la UE se considerará completado con la información establecida en el Anexo 2 de este DPA;

(b) Transferencias en el Reino Unido: en relación con los Datos personales que están protegidos por el RGPD del Reino Unido, se aplicarán las CCT de la UE según lo establecido en la cláusula 6.2(a) de este APD, se aplicarán a las transferencias de dichos Datos personales, salvo que:

(i) Se considerará que las CCT de la UE han sido modificadas según lo especificado por el Anexo del Reino Unido, que se considerará suscrito entre el Cliente que realiza la transferencia (o el miembro pertinente del Grupo de Clientes) y Cloudflare;

(ii) Todo conflicto que surja entre los términos de las CCT de la UE y el Anexo del Reino Unido se resolverá de conformidad con la Sección 10 y la Sección 11 del Anexo del Reino Unido;

(iii) A efectos del Anexo del Reino Unido, se considerará que las Tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se han cumplimentado a partir de la información contenida en los Anexos del presente APD; y

(iv) La Tabla 4 de la Parte 1 del Anexo del Reino Unido se considerará completada seleccionando "ninguna de las partes".

(C) Transferencias suizas: en relación con los Datos personales que estén protegidos por la Ley federal suiza de protección de datos (modificada o sustituida), las CCT de la UE, completadas según lo establecido en la cláusula 6.2(a) de este DPA, se aplicarán a las transferencias de dichos Datos personales, salvo que:

(i) la autoridad de control competente con respecto a dichos Datos personales será el Comisionado Federal Suizo de Protección de Datos e Información;

(ii) en la cláusula 17, la ley aplicable será la de Suiza;

(iii) las referencias a «Estado(s) miembro(s)» en las CCT de la UE se interpretarán como referidas a Suiza, y los interesados radicados en Suiza tendrán derecho a ejercer y hacer valer sus derechos en virtud de las CCT de la UE en Suiza; y

(iv) las referencias al «Reglamento General de Protección de Datos», al «Reglamento 2016/679» o al «RGPD» en las CCT de la UE se entenderán como referencias a la Ley federal suiza de protección de datos (modificada o sustituida).

(D) Los siguientes términos se aplicarán a las CCT de la UE (incluso en la medida en que puedan modificarse en virtud de las cláusulas 6.2(b) y (c) anteriores):

(i) El Cliente podrá ejercer su derecho de auditoría en virtud de las CCT tal y como se establece en la cláusula 5 de este DPA y con sujeción a los requisitos de la misma; y

(ii) Cloudflare podrá designar Subencargados según lo establecido en las cláusulas 4 y 6.3 de este DPA, y con sujeción a los requisitos de las mismas, y el Cliente podrá ejercer su derecho a oponerse a los Subencargados en virtud de los CCT en la forma establecida en la cláusula 4.4 de este DPA; y

(e) En el supuesto de que cualquier disposición del presente APD contradiga, directa o indirectamente, las CCT de la UE (así como el Anexo del Reino Unido, según corresponda), prevalecerán éstas últimas.

6.3 Con respecto a las Transferencias restringidas realizadas a Cloudflare en virtud de la cláusula 6.2, Cloudflare no participará en (ni permitirá que ningún Subencargado participe en) ninguna otra Transferencia restringida de Datos personales (ya sea como «exportador» o como «importador» de los Datos personales) a menos que dicha Transferencia restringida adicional se realice en pleno cumplimiento de las Leyes de protección de datos vigentes y, si procede, de cualquier CCT de la UE y/o Anexo del Reino Unido implementado entre el Cliente y Cloudflare.

6.4 El Cliente reconoce que Cloudflare cumple con el Marco de Privacidad de Datos y que las transferencias de Datos del Cliente a Cloudflare realizadas bajo el Marco de Privacidad de Datos no serán una Transferencia Restringida. Cloudflare notificará al Cliente el vencimiento o de otra forma la pérdida de validez de su certificación del Marco de Privacidad de Datos, en cuyo caso cualquier transferencia de Datos Personales del Cliente a Cloudflare se considerará inmediatamente una Transferencia Restringida y se aplicarán las disposiciones de la Sección 6.2.

6.5 En el caso de que el Cliente pretenda llevar a cabo cualquier evaluación de la idoneidad de las transferencias de Cloudflare a cualquier país o región en particular, Cloudflare, en la medida de sus posibilidades, proporcionará asistencia razonable al Cliente con el fin de realizar dicha evaluación, siempre y cuando el Cliente sufrague todos los costes en los que incurra Cloudflare en relación con la prestación de dicha asistencia.

7. Solicitudes de acceso a datos de terceros

7.1 Si Cloudflare tiene conocimiento de cualquier proceso legal de terceros que solicite Datos personales que Cloudflare trata en nombre del Cliente en su función de Encargado del tratamiento o Subencargado (según corresponda), Cloudflare:

(a) notificará inmediatamente al Cliente la solicitud a menos que tal notificación esté legalmente prohibida;

(b) informará al tercero de que es un Encargado del tratamiento o Subencargado (según corresponda) de los Datos personales y que no está autorizado a revelar los Datos personales sin el consentimiento del Cliente;

(c) revelará al tercero los datos de contacto del Cliente mínimos necesarios para permitir que el tercero se ponga en contacto con el Cliente y le indicará que dirija su solicitud de datos al Cliente; y

(d) en la medida en que Cloudflare proporcione acceso o revele Datos personales en respuesta a un proceso legal de terceros, ya sea con la autorización del Cliente o debido a un imperativo legal, Cloudflare revelará la cantidad mínima de Datos personales en la medida en que esté legalmente obligado a hacerlo y de conformidad con el proceso legal aplicable.

7.2 En el papel de Cloudflare como Encargado o Subencargado del tratamiento, según corresponda, podrá ser objeto de un proceso legal de terceros entablado por una autoridad gubernamental (incluida una autoridad judicial) y que solicite el acceso o la divulgación de los Datos personales. Si Cloudflare tiene conocimiento de cualquier proceso legal de terceros entablado por una autoridad gubernamental (incluida una autoridad judicial) que solicita Datos personales que Cloudflare trata en nombre del Cliente en su función de Encargado o Subencargado del tratamiento (según corresponda), en la medida en que Cloudflare haga esfuerzos razonables para revisar la solicitud y a raíz de ello pueda identificar que dicho proceso legal de terceros que solicita Datos personales plantea un conflicto de leyes, Cloudflare:

(a) tomará todas las medidas identificadas en la cláusula 7.1 anterior;

(b) emprenderá los recursos legales previos a la presentación de Datos personales hasta el nivel de un tribunal de apelación; y

(c) no revelará los Datos personales hasta (y solo en la medida) en que se le exija hacerlo en virtud de las normas procesales aplicables.

7.3 Las cláusulas 7.1 y 7.2 no se aplicarán en caso de que Cloudflare crea de buena fe que la solicitud del gobierno es necesaria debido a una emergencia que implique un peligro de muerte o de lesiones físicas graves para una persona. En tal caso, Cloudflare notificará al Cliente la divulgación de datos lo antes posible tras la misma y proporcionará al Cliente todos sus detalles, a menos que dicha divulgación esté legalmente prohibida.

7.4 Cloudflare proporcionará al Cliente actualizaciones periódicas sobre los procesos legales de terceros que soliciten Datos personales en forma de Informe de transparencia semestral de Cloudflare, que está disponible en https://www.cloudflare.com/transparency/.

7.5 A partir de la fecha en que el Cliente celebró este DPA con Cloudflare, Cloudflare asume los compromisos que se enumeran a continuación. Cloudflare actualizará estos compromisos según sea necesario en https://www.cloudflare.com/transparency/:

(a) Cloudflare nunca ha transferido a terceros nuestras claves de encriptación o autenticación ni las de nuestros clientes.

(b) Cloudflare nunca ha instalado ningún software o equipos de gestión policial en ninguna parte de nuestra red.

(c) Cloudflare nunca ha facilitado el contenido de nuestros clientes que circula por nuestra red a ningún organismo encargado de velar por el cumplimiento de la ley.

(d) Cloudflare nunca ha debilitado, comprometido o socavado su capacidad de encriptación a petición de las fuerzas de seguridad o de terceros.

8. General

8.1 El presente DPA es sin perjuicio de los derechos y obligaciones de las partes en virtud del Acuerdo principal, que seguirá teniendo plena vigencia y efecto. En caso de conflicto entre las condiciones de este DPA y las del Acuerdo principal, las condiciones de este DPA prevalecerán en la medida en que el asunto se refiera al tratamiento de Datos personales.

8.2 La responsabilidad de Cloudflare en virtud de, o en relación con, este DPA, incluidas las CCT, está sujeta a las exclusiones y limitaciones de responsabilidad contenidas en el Acuerdo principal. En ningún caso Cloudflare limita o excluye su responsabilidad ante los interesados o las autoridades competentes en materia de protección de datos.

8.3 Salvo en los casos y en la medida en que se disponga expresamente en las CCT o se requiera como cuestión de las Leyes de protección de datos aplicables, este DPA no confiere ningún derecho de beneficiario a terceros; está destinado al beneficio de las partes del mismo y de sus respectivos sucesores y cesionarios permitidos, y no está destinado al beneficio de ninguna otra persona, ni ninguna disposición del mismo puede ser ejecutada por ella.

8.4 Este DPA y cualquier acción relacionada con él se regirán e interpretarán de acuerdo con las leyes especificadas en el Acuerdo principal, sin dar efecto a ningún conflicto de principios legales. Las partes aceptan la jurisdicción personal y la competencia de los tribunales especificados en el Acuerdo principal.

8.5 Si alguna disposición del presente APD se considerase, por cualquier motivo, nula o inexigible, las demás disposiciones del APD seguirán siendo exigibles. Sin limitar el carácter general de lo anterior, el Cliente acuerda que la cláusula 8.2 (Limitación de responsabilidad) permanecerá en vigor a pesar de la inexigibilidad de cualquier disposición de este APD.

8.6 Este DPA es el acuerdo final, completo y exclusivo de las partes con respecto al objeto del presente, y sustituye y fusiona todas las conversaciones y acuerdos previos entre las partes con respecto a dicho objeto.

Anexo 1

Descripción del tratamiento de datos

Este Anexo 1 forma parte del DPA y describe el tratamiento que Cloudflare realizará en nombre del Cliente.

A. LISTA DE PARTES

Anexo 2

Medidas de seguridad técnicas y organizativas

Cloudflare ha implantado y mantendrá un programa de seguridad de la información de conformidad con las normas ISO/IEC 27000. El programa de seguridad de Cloudflare incluirá:

Medidas de encriptación de Datos personales

Cloudflare implanta la encriptación para proteger adecuadamente los Datos personales utilizando:

• protocolos de encriptación de última generación diseñados para proporcionar una protección eficaz contra los ataques activos y pasivos con recursos conocidos por las autoridades públicas;

• autoridades e infraestructuras de certificación de clave pública fiables;

• algoritmos de encriptación y parametrización eficaces, como un mínimo de longitudes de clave de 128 bits para la encriptación simétrica, y al menos 2048 bits de RSA o 256 bits de ECC para los algoritmos asimétricos.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de tratamiento

Cloudflare mejora la seguridad de los sistemas y servicios de tratamiento en entornos de producción mediante:

• la utilización de un proceso de revisión del código para aumentar la seguridad del código utilizado para prestar los servicios; y la comprobación del código y los sistemas para detectar vulnerabilidades antes y durante su uso;

• el mantenimiento de un programa externo de recompensas por errores;

• la utilización de comprobaciones para validar la integridad de los datos encriptados, y

• la utilización de la detección preventiva y reactiva de intrusiones.

Cloudflare despliega sistemas de alta disponibilidad en centros de datos distribuidos geográficamente.

Cloudflare implanta medidas de control de entrada para proteger y mantener la confidencialidad de los Datos personales, incluidos:

• una política de autorización para la entrada, lectura, alteración y eliminación de datos;

• la autenticación del personal autorizado mediante credenciales de autenticación únicas (contraseñas) y tokens de hardware;

• el cierre de sesión automático de los ID de usuario tras un periodo de inactividad;

• proteger la entrada de datos, así como la lectura, alteración y eliminación de los datos almacenados; y

• exigir que las instalaciones de tratamiento de datos (las salas que albergan el hardware informático y el equipo relacionado) se mantengan cerradas y seguras.

Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de manera oportuna en caso de un incidente físico o técnico

Cloudflare implanta medidas para garantizar la protección de los Datos personales contra la destrucción o pérdida accidental, incluyendo el mantenimiento de:

• planes y procedimientos de recuperación de desastres y de continuidad de la actividad;

• centros de datos distribuidos geográficamente;

• infraestructuras redundantes, incluyendo fuentes de alimentación y conectividad a Internet;

• copias de seguridad almacenadas en sitios alternativos y disponibles para su restauración en caso de fallo de los sistemas primarios; y

• procedimientos de gestión de incidentes que se prueben regularmente.

Procesos para probar, valorar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

Las medidas técnicas y organizativas de Cloudflare son probadas y evaluadas regularmente por auditores externos como parte del programa de cumplimiento de seguridad y privacidad de Cloudflare. Estas pueden incluir auditorías anuales ISO/IEC 27001; AICPA SOC 2 Tipo II; PCI DSS Nivel 1; y otras auditorías externas. Las medidas también se comprueban periódicamente mediante auditorías internas, así como mediante evaluaciones de riesgo anuales y específicas.

Medidas de identificación y autorización de usuarios

Cloudflare implanta medidas eficaces para la autenticación de usuarios y la gestión de privilegios mediante:

• la aplicación de una política de control de acceso y autenticación obligatoria;

• la aplicación de un modelo de identificación y autorización de confianza cero;

• la autenticación del personal autorizado mediante credenciales de autenticación únicas y una fuerte autenticación multifactorial, que incluye la exigencia del uso de tokens de hardware físicos;

• la asignación y gestión de los privilegios apropiados según la función, las aprobaciones y la gestión de las excepciones; y

• la aplicación del principio de acceso con mínimos privilegios.

Medidas para la protección de los datos durante la transmisión

Cloudflare implanta medidas efectivas para proteger los Datos personales de ser leídos, copiados, alterados o eliminados por partes no autorizadas durante la transmisión, incluyendo:

• la utilización de protocolos de encriptación de transporte de última generación diseñados para proporcionar una protección eficaz contra los ataques activos y pasivos con recursos conocidos por las autoridades públicas;

• la utilización de autoridades e infraestructuras de certificación de clave pública fiables;

• la implantación de medidas de protección contra los ataques activos y pasivos a los sistemas emisores y receptores que proporcionan la encriptación del transporte, como firewalls adecuados, encriptación mutua TLS, autenticación API y encriptación para proteger las pasarelas y los conductos por los que viajan los datos, así como la comprobación de las vulnerabilidades del software y las posibles brechas de seguridad;

• la utilización de algoritmos de encriptación y parametrización eficaces, como un mínimo de longitudes de clave de 128 bits para la encriptación simétrica, y al menos 2048 bits de RSA o 256 bits de ECC para los algoritmos asimétricos;

• la utilización de programas informáticos correctamente implantados y adecuadamente mantenidos, cubiertos por un programa de gestión de vulnerabilidades, y cuya conformidad se comprueba mediante auditorías;

• la aplicación de medidas seguras para generar, gestionar, almacenar y proteger de forma fiable las claves de encriptación; y

• el registro de auditoría, supervisión y seguimiento de las transmisiones de datos.

Medidas para la protección de los datos durante el almacenamiento

Cloudflare implanta medidas eficaces para proteger los Datos personales durante su almacenamiento, controlando y limitando el acceso a los sistemas de tratamiento de datos, y mediante:

• la utilización de protocolos de encriptación de última generación diseñados para proporcionar una protección eficaz contra los ataques activos y pasivos con recursos conocidos por las autoridades públicas;

• la utilización de autoridades e infraestructuras de certificación de clave pública fiables;

• la comprobación de los sistemas que almacenan datos en busca de vulnerabilidades de software y posibles brechas de seguridad;

• la utilización de algoritmos de encriptación y parametrización eficaces, como la exigencia de que todos los discos que almacenen Datos personales estén encriptados con AES-XTS utilizando una longitud de clave de 128 bits o mayor.

• la utilización de programas informáticos correctamente implantados y adecuadamente mantenidos, cubiertos por un programa de gestión de vulnerabilidades, y cuya conformidad se comprueba mediante auditorías;

• la aplicación de medidas seguras para generar, gestionar, almacenar y proteger de forma fiable las claves de encriptación;

• la identificación y autorización de los sistemas y usuarios con acceso a los sistemas de tratamiento de datos;

• el cierre de sesión automático de los usuarios tras un periodo de inactividad; y

• el registro de auditoría, supervisión y seguimiento del acceso a los sistemas de tratamiento y almacenamiento de datos.

Cloudflare implementa controles de acceso a áreas específicas de los sistemas de procesamiento de datos para garantizar que solo los usuarios autorizados puedan acceder a los Datos personales dentro del ámbito y en la medida descrita en su respectivo permiso de acceso (autorización) y que los Datos personales no se puedan leer, copiar o modificar, o eliminar sin autorización. Todo ello se conseguirá a través de diversas medidas, entre las que se incluyen:

• políticas y formación de los empleados con respecto a los derechos de acceso de cada uno de ellos a los Datos personales;

• la aplicación de un modelo de identificación y autorización de usuarios de confianza cero;

• la autenticación del personal autorizado mediante credenciales de autenticación únicas y una fuerte autenticación multifactorial, que incluye la exigencia del uso de tokens de hardware físicos;

• la supervisión de las acciones de las personas autorizadas para eliminar, añadir o modificar Datos personales;

• la divulgación de Datos personales solo a las personas autorizadas, incluyendo la asignación de derechos de acceso y roles diferenciados; y

• el control del acceso a los datos, con la destrucción controlada y documentada de los mismos.

Medidas para garantizar la seguridad física de los lugares en los que se tratan los Datos personales

Cloudflare mantiene e implanta políticas y medidas efectivas de control de acceso físico para evitar que personas no autorizadas accedan a los equipos de tratamiento de datos (en concreto, servidores de bases de datos y aplicaciones, y hardware relacionado) donde se tratan o utilizan los Datos personales, incluyendo:

• el establecimiento de zonas seguras;

• la protección y restricción de las vías de acceso;

• el establecimiento de autorizaciones de acceso para empleados y terceros, incluyendo la documentación respectiva;

• el registro, supervisión y seguimiento de todos los accesos a los centros de datos en los que se alojan Datos personales; y

• la protección de los centros de datos donde se alojan Datos personales mediante sistemas de alarma de seguridad y otras medidas de seguridad apropiadas.

Medidas para garantizar el registro de eventos

Cloudflare ha implantado un programa de registro y seguimiento para registrar, supervisar y rastrear el acceso a los datos personales, incluso por parte de los administradores del sistema, y para garantizar que los datos se tratan de acuerdo con las instrucciones recibidas. Esto se consigue mediante varias medidas, entre ellas:

• la autenticación del personal autorizado mediante credenciales de autenticación únicas y una fuerte autenticación multifactorial, que incluye la exigencia del uso de tokens de hardware físicos;

• la aplicación de un modelo de identificación y autorización de usuarios de confianza cero;

• el mantenimiento de listas actualizadas de los datos de identificación de los administradores del sistema;

• la adopción de medidas para detectar, evaluar y responder a las anomalías de alto riesgo;

• el mantenimiento de registros de acceso seguros, precisos y no modificados a la infraestructura de tratamiento durante doce meses; y

• la comprobación de la configuración de los registros, el sistema de supervisión, las alertas y el proceso de respuesta a incidentes al menos una vez al año.

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada

Cloudflare mantiene configuraciones originales para todos los sistemas que soportan el entorno de tratamiento de datos de producción, incluidos los sistemas de terceros. Las configuraciones originales deben alinearse con las mejores prácticas del sector, como los puntos de referencia de Nivel 1 del Centro para la Seguridad en Internet (CIS). Deben utilizarse mecanismos automatizados para hacer cumplir las configuraciones originales en los sistemas de producción y para evitar cambios no autorizados. Los cambios en las configuraciones originales están limitados a un número reducido de personal autorizado de Cloudflare, y deben seguir procesos de control de cambios. Los cambios deben ser auditables, y comprobados regularmente para detectar desviaciones de las configuraciones originales.

Cloudflare ajusta las configuraciones originales del sistema de información utilizando el principio de mínimo privilegio. Por defecto, las configuraciones de acceso se establecen en «denegar todo», y las contraseñas por defecto deben cambiarse para cumplir con las políticas de Cloudflare antes de la instalación del dispositivo en la red de Cloudflare, o inmediatamente después de la instalación del software o del sistema operativo. Los sistemas están configurados para sincronizar los relojes de tiempo del sistema basándose en el Tiempo Atómico Internacional o el Tiempo Universal Coordinado (UTC), y el acceso para modificar los datos de tiempo está restringido al personal autorizado.

Medidas de administración y gestión de la seguridad informática y de TI internas

Cloudflare mantiene políticas internas sobre el uso aceptable de los sistemas informáticos y la seguridad general de la información. Cloudflare exige a todos los empleados que realicen una formación general de concienciación sobre seguridad y privacidad al menos una vez al año. Cloudflare restringe y protege el tratamiento de Datos personales, y ha documentado e implantado:

• un Sistema de Gestión de la Seguridad de la Información (SGSI) formal para proteger la confidencialidad, integridad, autenticidad y disponibilidad de los datos y sistemas de información de Cloudflare, y para garantizar la eficacia de los controles de seguridad sobre los datos y sistemas de información que apoyan las operaciones; y

• un Sistema de Gestión de la Información de Privacidad (PIMS) formal para proteger la confidencialidad, integridad, autenticidad y disponibilidad de las políticas y procedimientos que apoyan la red global gestionada de Cloudflare, como encargado del tratamiento y del control de la información del Cliente.

Cloudflare conservará la documentación de las medidas técnicas y organizativas en caso de auditorías y para la conservación de pruebas. Cloudflare adoptará medidas razonables para garantizar que las personas empleadas por ella, y otras personas en el lugar de trabajo en cuestión, conozcan y cumplan las medidas técnicas y organizativas establecidas en este Anexo 2.

Medidas de certificación/garantía de los procesos y productos

La implantación del SGSI de Cloudflare y los procesos de gestión de riesgos de seguridad relacionados han sido certificados externamente conforme a la norma del sector ​​ISO/IEC 27001. La implantación del exhaustivo PIMS de Cloudflare ha sido certificada externamente según la norma del sector ​​ISO/IEC 27701, como encargado y responsable del tratamiento de la información del cliente.

Cloudflare mantiene la conformidad con el Nivel 1 de PCI DSS, para lo cual Cloudflare es auditada anualmente por un asesor externo cualificado en materia de seguridad. Cloudflare ha emprendido otras certificaciones como la certificación AICPA SOC 2 Tipo II de conformidad con los Criterios de Servicio de Confianza de la AICPA, y los detalles de estas y otras certificaciones que Cloudflare pueda emprender de vez en cuando estarán disponibles en el sitio web de Cloudflare.

En el caso de las transferencias a (Sub)encargados del tratamiento, describa también las medidas técnicas y organizativas específicas que deberá adoptar el (Sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento (y, en el caso de las transferencias de un Encargado a un Subencargado, al exportador de datos).