Compromiso de Cloudflare con el cumplimiento del RGPD

Cloudflare es una empresa de seguridad, rendimiento y fiabilidad con sede en Estados Unidos. Cuenta con operaciones internacionales, incluidas cinco oficinas en Europa, y presta una amplia gama de servicios de red a empresas de todos los tamaños y en todas las geografías. Ayudamos a mejorar la seguridad de los sitios y aplicaciones web de nuestros clientes, optimizamos el rendimiento de sus aplicaciones esenciales para el negocio y eliminamos el coste y la complejidad de la gestión del hardware de red individual. La red global de Cloudflare, que funciona por medio de más de 200 servidores perimetrales en todo el mundo, como se describe aquí, es la base sobre la que podemos desarrollar e implementar rápidamente nuestros productos para nuestros clientes.

Cloudflare no tiene acceso ni control de los datos que sus clientes deciden transmitir, enrutar, conmutar y almacenar en caché a través de nuestra red global. En un número limitado de casos, los productos de Cloudflare se pueden utilizar para almacenar contenido. Sin embargo, independientemente de los servicios de Cloudflare que utilicen, nuestros clientes son totalmente responsables del cumplimiento de la legislación vigente y de sus acuerdos contractuales independientes en relación con los datos que elijan transmitir, enrutar, conmutar, almacenar en caché o guardar a través de la red global de Cloudflare.

Los tipos de datos personales que Cloudflare procesa en nombre de un cliente dependen de los servicios de Cloudflare que se implementen. La gran mayoría de los datos que transitan por la red de Cloudflare se quedan en sus servidores perimetrales, mientras que los metadatos sobre esta actividad se procesan en nombre de nuestros clientes en nuestro principal centro de datos en Estados Unidos y Europa.Cloudflare mantiene los datos de registro de eventos en nuestra red. Algunos de estos datos de registro incluyen información sobre los visitantes o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones (API) o aplicaciones de los clientes, incluido nuestro producto Cloudflare Zero Trust, según proceda. Estos metadatos contienen muy poca información personal, principalmente en forma de direcciones IP. Procesamos este tipo de información en nombre de nuestros clientes en nuestros principales centros de datos de Estados Unidos y Europa durante un periodo de tiempo limitado.

Cloudflare considera la seguridad como un elemento fundamental para garantizar la privacidad de los datos. Desde el lanzamiento de Cloudflare en 2010, hemos sacado al mercado una serie de tecnologías de última generación que mejoran la privacidad, normalmente adelantándonos al resto del sector. Entre otras cosas, estas herramientas permiten a nuestros clientes cifrar fácilmente el contenido de las comunicaciones a través de Universal SSL, cifrar los metadatos de las comunicaciones usando DNS sobre HTTPS o DNS sobre TLS y SNI cifrado, y controlar dónde se guardan sus claves SSL o dónde se inspecciona su tráfico.

Cloudflare mantiene un programa de seguridad que supera los estándares del sector. El programa de seguridad incluye el mantenimiento de políticas y procedimientos de seguridad formales, el establecimiento de controles de acceso lógico y físico adecuados, y la implementación de garantías técnicas en entornos corporativos y de producción, tales como el establecimiento de configuraciones seguras, la transmisión y las conexiones seguras, el registro, la supervisión y la posesión de tecnologías de encriptación adecuadas para datos personales.

Actualmente, mantenemos las siguientes validaciones: conformidad con ISO 27001, ISO 27701, ISO 27018, SOC 2 Tipo II y PCI DSS nivel 1. Más información sobre nuestras certificaciones e informes aquí.

Para ver las medidas de seguridad que Cloudflare ofrece para la protección de datos personales, incluidos los datos personales transferidos desde el Espacio Económico Europeo ("EEE") a los EE. UU., consulta el Anexo 2 de nuestro DPA estándar.

El Reglamento general de protección de datos (RGPD) proporciona una serie de mecanismos legales para garantizar que haya salvaguardias adecuadas, derechos protegidos jurídicamente y vías legales efectivas disponibles para los interesados europeos cuyos datos personales se transfieran desde el EEE a un tercer país que no esté cubierto por el RGPD o que se considere que no cuente con leyes adecuadas de protección de datos.

Esos mecanismos incluyen:

• Cuando la Comisión Europea haya decidido que un tercer país garantiza un nivel de protección adecuado tras evaluar el estado de derecho de ese país, el respeto de los derechos humanos y las libertades fundamentales, y una serie de factores adicionales;

• Cuando un responsable o encargado del tratamiento de datos haya establecido normas corporativas vinculantes;

• Cuando un responsable o encargado del tratamiento de datos haya establecido cláusulas de protección de datos tipo adoptadas por la Comisión; o

• Cuando un responsable o encargado del tratamiento de datos haya establecido un código de conducta aprobado o un mecanismo de certificación aprobado.

Cloudflare cuenta con las Cláusulas contractuales tipo de la Comisión Europea (CCT) además de con medidas adicionales como mecanismo legal para transferir datos personales del EEE a los EE. UU. Anteriormente, Cloudflare también contaba con la decisión de adecuación otorgada al Escudo de la privacidad. Sin embargo, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó en julio de 2020 el paradigma del Escudo de la privacidad UE-EE. UU. en el caso "Schrems II" (Caso C-311/18, Data Protection Comissioner contra Facebook Irlanda y Maximillian Schrems). La invalidación del Escudo de la privacidad no cambia las fuertes protecciones de privacidad de datos que Cloudflare ha establecido para los datos personales que procesamos en nombre de nuestros clientes. Seguiremos cumpliendo los principios de protección de datos que nos comprometimos a cumplir cuando nos certificamos según el Escudo de la privacidad.En marzo de 2022, la Comisión de la UE y el Departamento de Comercio de EE. UU. se comprometieron a desarrollar un nuevo Marco Transatlántico de Privacidad de Datos que regularía las transferencias de datos del EEE a EE. UU. Seguimos muy de cerca estos acontecimientos y cuando dispongamos de más detalles sobre su aplicación, determinaremos si nos regiremos por este marco y cómo lo haremos.

Como creemos que ganarse y mantener la confianza de los clientes es esencial, Cloudflare ha contado con garantías de protección de datos desde mucho antes del caso Schrems II. Cuando emitimos nuestro primer informe de transparencia en 2014 de los procedimientos judiciales recibidos en 2013, nos comprometimos a exigir un procedimiento judicial antes de proporcionar a cualquier entidad gubernamental cualquier dato de los clientes, excepto en casos de emergencia, y a notificar a nuestros clientes de cualquier procedimiento judicial en el que se solicitara su información de cliente o de facturación antes de revelarla, a menos que estuviera prohibido por ley. Hemos declarado públicamente que nunca hemos entregado claves de encriptación a ningún gobierno, ni proporcionado a ningún gobierno fuentes de contenido que transiten por nuestra red o desplegado equipamiento de control policial en nuestra red. También nos comprometimos a que si se nos pedía que hiciéramos alguna de esas cosas, "agotaríamos todos los recursos legales para proteger a nuestros clientes de lo que creemos que son solicitudes ilegales o inconstitucionales". Desde aquellos días al principio de la historia de Cloudflare, hemos reafirmado esos compromisos dos veces al año, e incluso los hemos ampliado, en nuestros Informes de transparencia.

También hemos demostrado nuestra creencia en la transparencia y nuestro compromiso de proteger a nuestros clientes, presentando demandas cuando es necesario. En 2013, con la ayuda de la Electronic Frontier Foundation, impugnamos una carta de seguridad nacional (NSL por sus siglas en inglés) emitida con carácter administrativo por EE. UU., para proteger los derechos de nuestro cliente, debido a las disposiciones mediante las que el gobierno nos impedía revelar información de la NSL al cliente afectado. Cloudflare no proporcionó información del cliente en respuesta a esa solicitud, pero las disposiciones de no revelación siguieron en vigor hasta que un tribunal levantó las restricciones en 2016.

Hemos reiterado en muchas ocasiones nuestra postura de que cualquier requerimiento gubernamental de datos personales que entre en conflicto con las legislación en materia de privacidad del país de residencia de una persona debe ser impugnada legalmente. (Consulta, por ejemplo, nuestro informe de transparencia y nuestro documento técnico Políticas de privacidad y gestión de los requerimientos gubernamentales de información.) El CEPD reconoció que el RGPD podría plantear este conflicto en esta evaluación. Nuestro compromiso con el cumplimiento del RGPD significa que Cloudflare recurrirá a medidas legales antes de elaborar datos de los que se haya comprobado que son objeto del RGPD en respuesta a una solicitud de datos del Gobierno de EE. UU. En consonancia con la jurisprudencia y los marcos legales vigentes en EE. UU., Cloudflare puede pedir a los tribunales estadounidenses que anulen los requerimientos de datos personales de las autoridades, de acuerdo con ese conflicto de legislaciones.

Hemos actualizado nuestro Anexo de procesamiento de datos ("DPA") estándar para nuestros clientes, que ahora incluye las medidas y salvaguardas suplementarias descritas anteriormente como compromisos contractuales. Puedes ver estos compromisos contractuales en la sección 7 de nuestro DPA.

Creemos que los requerimientos de los datos personales de un individuo extranjero por parte del Gobierno de EE. UU. que entren en conflicto con la legislación en materia de privacidad del país de residencia de dicho individuo (como el RGPD en la UE) deben ser impugnados legalmente.

La Ley CLOUD no amplía el poder de la autoridad de investigación de los Estados Unidos. Los estrictos requisitos para que las fuerzas del orden obtengan una orden judicial válida permanecen sin cambios. La Ley CLOUD también se aplica al acceso a los contenidos, que por lo general no almacenamos, como se ha descrito anteriormente. Además, la Ley CLOUD no cambia las prácticas vigentes cuando las fuerzas de seguridad de Estados Unidos intentan acceder a los datos de las empresas. Es importante señalar que las fuerzas del orden suelen tratar de obtener los datos de la entidad que tiene el control efectivo de los mismos (es decir, nuestros clientes) y no de los proveedores de soluciones en la nube.

Cloudflare seguirá poniendo las CCT y las medidas adicionales a disposición de nuestros clientes cuyos datos están sujetos al RGPD. Seguimos de cerca los desarrollos en este ámbito, así como los mecanismos de transferencia alternativos.

Entendemos que, en vista del caso de Schrems II, nuestros clientes buscan garantías adicionales de que los datos sujetos al RGPD y transferidos a EE. UU. reciban una protección adecuada bajo el RGPD. Ya se han mencionado anteriormente esas garantías adicionales.

Debido a que el TJUE consideró a varias autoridades de seguridad nacional de los Estados Unidos en su análisis en el caso Schrems II, se han producido algunas dudas sobre las demandas de esas autoridades a los encargados del tratamiento de datos de EE. UU. Aclarar si estas autoridades son competentes para una transferencia de datos o cómo lo son requiere explicaciones adicionales de las autoridades a las que hace referencia el TJUE.Sección 702. La sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (FISA) es una autorización que permite al Gobierno de EE. UU. solicitar las comunicaciones de personas extranjeras que no residan en Estados Unidos para fines relacionados con la actividad de inteligencia extranjera. El Gobierno de EE. UU. esgrime la sección 702 para recopilar contenido de las comunicaciones mediante elementos específicos, como las direcciones de correo electrónico, asociados a objetivos de inteligencia extranjeros concretos. Debido a que la autorización se utiliza, en general, para recopilar el contenido de las comunicaciones, los "proveedores de servicios de comunicaciones electrónicas" a los que se les pide que cumplan con la sección 702 son generalmente proveedores de correo electrónico u otros proveedores con acceso al contenido de las comunicaciones.

Como se indica en nuestro informe sobre transparencia, Cloudflare no tiene acceso a este tipo de contenido de los clientes en nuestros principales servicios. Además, Cloudflare ha mantenido el compromiso público durante muchos años de no proporcionar a ningún gobierno la fuente del contenido de nuestros clientes que transite por nuestra red, y de agotar todos los recursos legales si se nos solicitara hacerlo, para proteger a nuestros clientes de lo que creemos que son solicitudes ilegales o inconstitucionales

Orden ejecutiva 12333. La orden ejecutiva 12333 regula la recopilación de información extranjera por parte de las agencias de inteligencia de los Estados Unidos de personas que no sean estadounidenses y se encuentren fuera de Estados Unidos. La orden ejecutiva 12333 no cuenta con disposiciones para obligar a que las empresas estadounidenses a colaborar.

Cloudflare mantiene un compromiso de larga duración de requerir un procedimiento judicial antes de proporcionar a cualquier entidad gubernamental acceso a los datos de los clientes, excepto en casos de emergencia. Por lo tanto, no cumpliríamos con las solicitudes voluntarias de datos bajo la Orden ejecutiva 12333. Además, Cloudflare ha sido líder en el fomento de una mayor seguridad para los datos en tránsito, tanto para el contenido como para los metadatos, a fin de evitar que los datos personales sean objeto de cualquier tipo de intromisión. En 2014, por ejemplo, lanzamos Universal SSL, lo que hizo que la encriptación, antes costosa y difícil, fuera gratuita para todos los clientes de Cloudflare. La semana que lo lanzamos, duplicamos el tamaño de la web cifrada. Debido al creciente número de leyes que intentan atacar la encriptación, incluso nos hemos comprometido a no debilitar, comprometer o subvertir ninguna de nuestras encriptaciones a petición de un gobierno u otra tercera parte.

Cloudflare ya cuenta con muchas de las salvaguardias adicionales recomendadas por el CEPD en su orientación (Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE adoptado el 18 de junio de 2021). Cloudflare tiene un firme compromiso con la transparencia y responsabilidad en relación con el tratamiento de datos personales tal y como se se ha descrito con anterioridad, y ya hemos actualizado nuestro DPA (data processing agreement [contrato de tratamiento de datos]) para que varios de nuestros compromisos sean vinculantes contractualmente. Seguimos publicando nuestro Informe sobre transparencia. Por último, pero no por ello menos importante, contamos con sólidas medidas de seguridad y protocolos de encriptación, que pueden consultarse en el Anexo 2 de nuestro DPA.

Como siempre, seguimos haciendo un seguimiento continúo de la evolución actual en esta esfera y nos aseguraremos de que cumplamos con los artículos 44 y 46 del RGPD de la UE. Durante este período, seguiremos llevando a la práctica nuestros compromisos en virtud de los DPA existentes y nuestros compromisos en virtud de las CCT actuales.

Nuestro Acuerdo de suscripción de autoservicio integra nuestro DPA estándar a modo de referencia. Y, en la medida en que los datos personales que procesamos en nombre de los clientes de autoservicio se rigen por el RGPD, nuestro DPA incorpora las cláusulas contractuales tipo de la UE para estos datos. Por lo tanto, no es preciso realizar ninguna acción para asegurarse de que las cláusulas contractuales tipo estén en vigor. Nuestro DPA también incorpora las garantías adicionales descritas anteriormente.

Si bien el DPA se incorpora por referencia, también hemos proporcionado nuestro DPA estándar en el panel de control del cliente. Cuando esté en su Panel de control, vaya a la pestaña Configuraciones y luego a Preferencias para visualizar y aceptar el DPA.

Nuestro Acuerdo de suscripción Enterprise (ESA) integra nuestro DPA estándar a modo de referencia. Por lo tanto, no se requiere ninguna acción para estos clientes. En la medida en que los datos personales que tratamos en nombre del cliente se rigen por el RGPD, nuestro DPA incorpora las cláusulas contractuales tipo de la UE. Nuestro DPA estándar también incorpora las salvaguardas adicionales descritas anteriormente.

Los clientes Enterprise están sujetos a nuestro ESA si iniciaron su acuerdo con Cloudflare el 8 de agosto de 2019, o en una fecha posterior, y no tienen un acuerdo personalizado. No obstante, los clientes Enterprise con versiones antiguas de nuestro ESA o con ESA personalizados o DPA personalizados puede que no dispongan de las cláusulas contractuales tipo de la UE de 2021. Nos estamos poniendo en contacto con estos clientes para asegurarnos de que disponen del contrato más reciente. Estos clientes pueden aceptar nuestro DPA estándar disponible en el panel de control del cliente, ya que incluye las cláusulas contractuales tipo de la UE de 2021 y nuestro apartado de salvaguarda adicional. Los clientes que anteriormente hacían uso de las certificaciones del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. de Cloudflare también deben aceptar nuestro DPA actualizado disponible en el panel de control del cliente. Cuando esté en su Panel de control, vaya a la pestaña Configuraciones y luego a Preferencias. Por favor, revise y acepte el DPA en el mismo.

Los clientes Enterprise pueden ponerse en contacto con su gestor de Customer Success para resolver cualquier duda relativa a su DPA.

Hemos incorporado las nuevas CCT de la Comisión Europea publicadas el 4 de junio de 2021 a todos los nuevos contratos de clientes sujetos al RGPD. Las nuevas CCT incluyen una disposición que establece un periodo de transición de 18 meses para adoptarse a este modelo, y pasaremos a aplicarlo para nuestros clientes durante ese plazo.

Somos conscientes de que algunos de nuestros clientes preferirían que cualquier dato personal sujeto al RGPD permaneciera en la UE y no fuera transferido a los EE. UU. para su tratamiento. A tal fin, hemos presentado la solución Data Localization Suite de Cloudflare, que permite a las empresas aprovechar las ventajas de rendimiento y seguridad de la red global de Cloudflare, facilitando al mismo tiempo la creación de reglas y controles en el borde sobre el lugar donde se almacenan y protegen sus datos.

La solución Data Localization Suite combina algunas ofertas existentes con algunas funciones nuevas:

• Regional Services Cloudflare cuenta con centros de datos en más de 200 ciudades y 100 países. Regional Services, junto con nuestra solución Geo Key Manager, permite que los clientes elijan las ubicaciones de los centros de datos donde se almacenan las claves TLS y donde se produce la terminación de TLS. El tráfico se recibe a nivel global para lo que se aplican mitigaciones de DDoS de capas 3 y 4, mientras que las funciones de seguridad, rendimiento y fiabilidad (como WAF, CDN, mitigación de DDoS, etc.) se sirven únicamente en centros de datos de Cloudflare específicos.

• Límite de metadatos. El límite de metadatos del cliente garantiza que los metadatos del tráfico del usuario final que puedan identificar a un cliente permanezcan en la Unión Europea. Esto incluye todos los registros y análisis que puede ver un cliente. Esto se consigue garantizando que los metadatos del usuario final que puedan identificar a un cliente fluyan a través de un único servicio en nuestro perímetro, antes de ser reenviados a uno de nuestros centros de datos centrales. Cuando se activa el límite de metadatos para un cliente, nuestro perímetro garantiza que cualquier mensaje de registro que identifique a ese cliente (es decir, que contenga el Id. de cuenta de ese cliente) no se transfiera fuera de la UE. Solo se enviará a nuestro centro de datos principal en la Unión Europea.

• Keyless SSL. Keyless SSL permite a un cliente almacenar y administrar sus propias claves privadas SSL para su uso con Cloudflare. Los clientes pueden utilizar una variedad de sistemas para su depósito de claves, incluidos módulos de seguridad de hardware ("HSM"), servidores virtuales y hardware compatible con Unix/Linux y Windows y que esté alojado en entornos controlados por los clientes.

• Geo key Manager. Cloudflare tiene una base de clientes internacional y hemos aprendido que los clientes de todo el mundo tienen diferentes requisitos normativos y legales, además de diferentes perfiles de riesgo, con respecto a la colocación de sus claves privadas. Con esa filosofía en mente, nos propusimos diseñar un sistema muy flexible para decidir dónde se pueden guardar las claves. Geo Key Manager permite que los clientes limiten la exposición de sus claves privadas a ciertos lugares. Es similar a Keyless SSL, pero en lugar de tener que ejecutar un servidor de claves dentro de tu infraestructura, Cloudflare aloja servidores de claves en las ubicaciones de tu elección.

Como se indica en nuestro Informe de transparencia, Cloudflare requiere un procedimiento judicial válido antes de proporcionar la información personal de nuestros clientes a entidades gubernamentales o litigantes civiles, a menos que haya una emergencia. No proporcionamos información personal de nuestros clientes a funcionarios del gobierno en respuesta a solicitudes que no incluyan un procedimiento judicial.

Para garantizar que nuestros clientes tengan la oportunidad de hacer valer sus derechos, Cloudflare tiene como política notificar a nuestros clientes de una citación u otro procedimiento judicial que solicite su información antes de la divulgación de dicha información, ya provenga el procedimiento judicial del gobierno o de partes privadas implicadas en un litigio civil, a menos que esté prohibido por ley. Concretamente, nuestro DPA se compromete a que, a menos que esté prohibido por ley, notifiquemos a los clientes si somos capaces de identificar que el procedimiento judicial de terceros que solicitan datos personales que procesamos en nombre de ese cliente plantea un conflicto de ley, como cuando los datos personales se rigen por el RGPD. Los clientes a los que se les notifica de una solicitud judicial pendiente de sus datos personales pueden tratar de intervenir para evitar la divulgación de los mismos.

Además, la legislación de EE. UU. provee mecanismos para que las empresas puedan impugnar las solicitudes que planteen posibles conflictos de ley, como la solicitud judicial de datos sujetos al RGPD. La Ley CLOUD, por ejemplo, proporciona mecanismos para que un proveedor solicite a un tribunal que anule o modifique un requerimiento judicial que plantee tal conflicto de leyes. Ese proceso también permite al proveedor divulgar la existencia del requerimiento a un gobierno extranjero cuyo ciudadano se vea afectado, si ese gobierno ha firmado un acuerdo de la Ley CLOUD con los Estados Unidos. Cloudflare se ha comprometido a impugnar cualquier orden judicial que plantee tal conflicto de leyes. Hasta la fecha, no hemos recibido ninguna orden que hayamos identificado que plantee un conflicto de este tipo.

Hemos prestado mucha atención a los cambios que el Reino Unido está introduciendo en el ámbito de la protección de datos desde que abandonó la Unión Europea. Cloudflare seguirá utilizando el mecanismo de las CCT de la UE junto con el anexo relativo a la transferencia de datos del Reino Unido, incluidos en nuestro DPA estándar para transferir datos personales fuera del Reino Unido y del EEE. Por favor, consulte nuestras instrucciones más arriba para asegurarse de que dispone del DPA adecuado. Seguimos haciendo un seguimiento continúo de la evolución actual en esta esfera y nos aseguraremos de que cumplamos con la normativa de protección de datos del Reino Unido y de todo el mundo.