Cloudflare y la conformidad con la Ley APPI

Cloudflare es una empresa de seguridad, rendimiento y fiabilidad con sede en Estados Unidos. Cuenta con operaciones internacionales, incluida una oficina en Japón, y ofrece una amplia gama de servicios de red a empresas de todos los tamaños y en todas las geografías. Ayudamos a mejorar la seguridad de los sitios y aplicaciones web de nuestros clientes, optimizamos el rendimiento de sus aplicaciones esenciales para el negocio y eliminamos el coste y la complejidad de la gestión del hardware de red individual. La red global de Cloudflare, que funciona por medio de más de 270 servidores perimetrales en todo el mundo, como se describe aquí, es la base sobre la que podemos desarrollar e implementar rápidamente nuestros productos para nuestros clientes.

Cloudflare no tiene acceso ni control de los datos que sus clientes deciden transmitir, enrutar, conmutar y almacenar en caché a través de nuestra red global. En un número limitado de casos, los productos de Cloudflare se pueden utilizar para almacenar contenido. Sin embargo, independientemente de los servicios de Cloudflare que utilicen, nuestros clientes son totalmente responsables del cumplimiento de la legislación vigente y de sus acuerdos contractuales independientes en relación con los datos que elijan transmitir, enrutar, conmutar, almacenar en caché o guardar a través de la red global de Cloudflare.

Los tipos de datos personales que Cloudflare procesa en nombre de un cliente dependen de los servicios de Cloudflare que se implementen. La gran mayoría de los datos que transitan por la red de Cloudflare permanecen en los servidores perimetrales de Cloudflare, si bien los metadatos sobre esta actividad se procesan en nombre de nuestros clientes en nuestros principales centros de datos de Estados Unidos y Europa.

Cloudflare mantiene los datos de registro de eventos en nuestra red. Algunos de estos datos de registro incluyen información sobre los visitantes o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones (API) o aplicaciones de los clientes, incluido nuestro producto Cloudflare Zero Trust, según proceda. Estos metadatos contienen muy poca información personal, principalmente en forma de direcciones IP. Procesamos este tipo de información en nombre de nuestros clientes en nuestros principales centros de datos de Estados Unidos y Europa durante un periodo de tiempo limitado.

Cloudflare considera la seguridad como un elemento fundamental para garantizar la privacidad de los datos. Desde el lanzamiento de Cloudflare en 2010, hemos sacado al mercado una serie de tecnologías de última generación que mejoran la privacidad, normalmente adelantándonos al resto del sector. Entre otras cosas, estas herramientas permiten a nuestros clientes cifrar fácilmente el contenido de las comunicaciones a través de Universal SSL, cifrar los metadatos de las comunicaciones usando DNS sobre HTTPS o DNS sobre TLS y SNI cifrado, y controlar dónde se guardan sus claves SSL o dónde se inspecciona su tráfico.

Cloudflare mantiene un programa de seguridad de acuerdo con los estándares del sector. Nuestro programa de seguridad incluye el mantenimiento de políticas y procedimientos de seguridad formales, el establecimiento de controles de acceso lógico y físico adecuados, y la implementación de garantías técnicas en entornos corporativos y de producción, tales como el establecimiento de configuraciones seguras, la transmisión y las conexiones seguras, el registro, la supervisión y la posesión de tecnologías de encriptación adecuadas para datos personales.

Todos los usuarios de Cloudflare están sujetos a una formación inicial sobre privacidad y seguridad de la información, y un reciclaje anual.

Actualmente, mantenemos las siguientes validaciones: conformidad con las normas ISO 27001, ISO 27701, SOC 2 de tipo II y PCI DSS de nivel 1. También tenemos un informe SOC 3. Más información sobre nuestras certificaciones aquí.

Para ver las medidas de seguridad que Cloudflare ofrece para la protección de datos personales, incluidos los datos personales transferidos desde Japón a los Estados Unidos, consulta el Anexo 2 de nuestro DPA estándar.

El Anexo de procesamiento de datos (DPA) de Cloudflare, que incluye nuestras obligaciones para el procesamiento de datos personales en nombre de nuestros clientes y se incorpora por referencia a nuestro Acuerdo de servicios Enterprise y a nuestro Acuerdo de suscripción de autoservicio, se considera como un equivalente estándar para legitimar las transferencias transfronterizas de acuerdo con el artículo 24 de la Ley APPI. Además:

• País de transferencia: Cloudflare procesa los datos a través de su red global, y se pueden almacenar metadatos en nuestros centros de datos de Estados Unidos y la Unión Europea. Las transferencias al centro de datos de Estados Unidos se limitan a los metadatos de tráfico de las zonas del Cliente, según sea necesario para proporcionar muchos de nuestros servicios de seguridad.

• Medidas de seguridad: las medidas de seguridad de Cloudflare se enumeran en el Anexo 2 de nuestro DPA.

• Confirmación: Cloudflare valida periódicamente nuestras medidas de seguridad, como demuestran las certificaciones que mantenemos, descritas anteriormente.

• Delimitación de la finalidad: solo procesamos información personal de acuerdo con las instrucciones de nuestros clientes. No vendemos, retenemos, utilizamos ni divulgamos información personal para ningún otro fin que no sea el de proporcionar el servicio de Cloudflare, y no hacemos perfiles, rastreamos ni utilizamos los datos de los usuarios finales de nuestros clientes para fines publicitarios o comerciales.

• Notificación de fugas de datos: Cloudflare notifica a los clientes afectados, sin retrasos innecesarios, fugas de datos personales (tal como se define en nuestro DPA) y proporciona a dichos clientes cooperación y soporte razonables con respecto a la fuga de información personal.

• Subprocesadores: nuestros subprocesadores incluyen nuestras filiales, con la excepción de nuestra filial china. Los empleados de nuestra filial china no tienen acceso a los datos de nuestros clientes o de nuestra red mundial.

Los Estados Unidos no tienen una ley de privacidad exhaustiva a nivel nacional. Más bien, adoptan un enfoque sectorial de la privacidad y la protección de datos. Por ejemplo, en Estados Unidos existen leyes a nivel federal que regulan la privacidad de la información sanitaria personal (Ley de Portabilidad y Responsabilidad del Seguro de Salud o "HIPAA"), la información procesada por las instituciones financieras (Ley Gramm-Leach-Bliley o Ley de Modernización de Servicios Financieros, "GLBA") y las instituciones educativas (Ley de Derechos Educativos y Privacidad de la Familia o "FERPA"). Además, la Comisión Federal de Comercio de EE. UU. (FTC) tiene poderes para investigar y adoptar medidas relativas al cumplimiento de la ley para proteger a los consumidores contra las prácticas comerciales desleales y engañosas. Esta facultad de la FTC se ha utilizado para emprender medidas contra empresas por no aplicar medidas razonables de seguridad de los datos y por hacer declaraciones materialmente inexactas o engañosas sobre la privacidad y la seguridad, incluso en las políticas de privacidad.

Cloudflare publica un informe de transparencia en el que se detallan los requerimientos de divulgación de datos que recibimos y explica cómo respondemos. Como norma general, si recibimos un requerimiento de datos de nuestros clientes por parte de cualquier organismo policial o gubernamental, nos comprometemos en nuestro DPA a que, salvo prohibición legal, notificaremos a nuestros clientes dicho requerimiento. Los clientes a los que se les notifica un requerimiento judicial pendiente de sus datos personales pueden intervenir para evitar la divulgación de los mismos. En el caso de que identifiquemos que dicho requerimiento presenta un conflicto de leyes, como cuando el sujeto del requerimiento es un residente de una jurisdicción no estadounidense, nos hemos comprometido en nuestro DPA a oponernos a dichos requerimientos y a buscar soluciones legales.

Sección 702. La sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (FISA) es una autorización que permite al Gobierno de EE. UU. solicitar las comunicaciones de personas extranjeras que no residan en Estados Unidos para fines relacionados con la actividad de inteligencia extranjera. El Gobierno de EE. UU. esgrime la sección 702 para recopilar contenido de las comunicaciones mediante elementos específicos, como las direcciones de correo electrónico, asociados a objetivos de inteligencia extranjeros concretos. Debido a que la autorización se utiliza, en general, para recopilar el contenido de las comunicaciones, los "proveedores de servicios de comunicaciones electrónicas" a los que se les pide que cumplan con la sección 702 son generalmente proveedores de correo electrónico u otros proveedores con acceso al contenido de las comunicaciones.

Como se indica en nuestro informe de transparencia, Cloudflare no tiene acceso a este tipo de contenido de los clientes en nuestros principales servicios. Además, Cloudflare ha mantenido el compromiso público durante muchos años de no proporcionar a ningún gobierno la fuente del contenido de nuestros clientes que transite por nuestra red, y de agotar todos los recursos legales si se nos solicitara hacerlo, para proteger a nuestros clientes de lo que creemos que son peticiones ilegales o inconstitucionales.

Orden ejecutiva 12333. La Orden ejecutiva 12333 rige la recopilación de información de inteligencia extranjera por parte de los organismos de inteligencia de los Estados Unidos, con personas no estadounidenses ubicadas fuera de Estados Unidos como objetivo. La Orden Ejecutiva 12333 no cuenta con disposiciones para obligar a que las empresas estadounidenses presten asistencia.

Cloudflare mantiene un compromiso de larga duración de requerir un procedimiento judicial antes de proporcionar a cualquier entidad gubernamental acceso a los datos de los clientes, excepto en casos de emergencia. Por lo tanto, no cumpliríamos con las solicitudes voluntarias de datos bajo la Orden ejecutiva 12333. Además, Cloudflare ha sido líder en el fomento de una mayor seguridad para los datos en tránsito, tanto para el contenido como para los metadatos, a fin de evitar que los datos personales sean objeto de cualquier tipo de intromisión. En 2014, por ejemplo, lanzamos Universal SSL, lo que hizo que la encriptación, antes costosa y difícil, fuera gratuita para todos los clientes de Cloudflare. La semana que lo lanzamos, duplicamos el tamaño de la web cifrada. Debido al creciente número de leyes que intentan atacar la encriptación, incluso nos hemos comprometido a no debilitar, comprometer o subvertir ninguna de nuestras encriptaciones a petición de un gobierno u otra tercera parte.

Ley CLOUD. La Ley de Aclaración del Uso Legal de Datos en el Extranjero (CLOUD, Clarifying Lawful Overseas Use of Data) no amplía la autoridad encargada de las investigaciones de Estados Unidos. Los estrictos requisitos para que las fuerzas del orden obtengan una orden judicial válida permanecen sin cambios. La Ley CLOUD también se aplica al acceso a los contenidos, que por lo general no almacenamos, como se ha descrito anteriormente. Es importante señalar que las fuerzas del orden suelen tratar de obtener los datos de la entidad que tiene el control efectivo de los mismos (es decir, nuestros clientes) y no de los proveedores de soluciones en la nube.

La Ley CLOUD proporciona mecanismos para que un proveedor solicite a un tribunal que anule o modifique un requerimiento judicial que plantee tal conflicto de leyes. Ese proceso también permite al proveedor divulgar la existencia del requerimiento a un gobierno extranjero cuyo ciudadano se vea afectado, si ese gobierno ha firmado un acuerdo de la Ley CLOUD con los Estados Unidos. Cloudflare se ha comprometido a impugnar cualquier orden judicial que plantee tal conflicto de leyes. Hasta la fecha, no hemos recibido ninguna orden judicial que hayamos identificado como un conflicto de este tipo.

Por último, ten en cuenta que nuestro DPA se compromete a que, a menos que esté prohibido por ley, notificaremos a los clientes nuestra capacidad para identificar si el procedimiento judicial de un tercero que requiere información personal que procesamos en nombre de ese cliente plantea un conflicto de leyes. Los clientes a los que se les notifica un requerimiento judicial pendiente de su información personal pueden intervenir para evitar la divulgación de los mismos.

Creemos que ganar y mantener la confianza de los clientes es fundamental, y por eso Cloudflare cuenta con medidas de protección de datos desde mucho antes de las enmiendas de la Ley sobre la Protección de la Información Personal (APPI) de 2022. Cuando publicamos nuestro primer informe de transparencia en 2014 para los procedimientos judiciales recibidos en 2013, nos comprometimos a exigir un procedimiento judicial antes de facilitar información sobre nuestros clientes a cualquier entidad gubernamental, salvo en casos de emergencia, y a notificar a nuestros clientes cualquier procedimiento judicial en el que se solicitara su información de cliente o de facturación antes de revelarla, salvo prohibición legal. Hemos declarado públicamente que nunca hemos entregado claves de encriptación a ningún gobierno, ni proporcionado contenido que pase por nuestra red o implementado equipamiento de las fuerzas del orden en la misma. También nos comprometimos a que si se nos pedía que realizáramos cualquier de estas acciones, "agotaríamos todos los recursos legales a nuestro alcance para proteger a nuestros clientes de lo que, a nuestro parecer, son requerimientos ilegales o inconstitucionales". Desde nuestros inicios, hemos reafirmado esos compromisos dos veces al año, e incluso los hemos ampliado, en nuestros informes de transparencia.

También hemos demostrado nuestra creencia en la transparencia y nuestro compromiso de proteger a nuestros clientes, presentando demandas cuando es necesario. En 2013, con la ayuda de la Electronic Frontier Foundation, impugnamos una carta de seguridad nacional (NSL por sus siglas en inglés) emitida con carácter administrativo por EE. UU., para proteger los derechos de nuestro cliente, debido a las disposiciones mediante las que el gobierno nos impedía revelar información de la NSL al cliente afectado. Cloudflare no proporcionó información del cliente en respuesta a esa solicitud, pero las disposiciones de no revelación siguieron en vigor hasta que un tribunal levantó las restricciones en 2016.

Hemos reiterado en muchas ocasiones nuestra postura de que cualquier requerimiento gubernamental de datos personales que entre en conflicto con las legislación en materia de privacidad del país de residencia de una persona debe ser impugnada legalmente. (Consulta, por ejemplo, nuestro informe de transparencia y nuestro documento técnico Políticas de privacidad y gestión de los requerimientos gubernamentales de información.) En consonancia con la jurisprudencia y los marcos legales vigentes en EE. UU., Cloudflare puede pedir a los tribunales estadounidenses que anulen los requerimientos de datos personales de las autoridades, de acuerdo con ese conflicto de legislaciones.

Hemos actualizado nuestro DPA estándar (Anexo de procesamiento de datos) para nuestros clientes, que ahora incluye las medidas y salvaguardas suplementarias descritas anteriormente como compromisos contractuales. Puedes ver estos compromisos contractuales en la sección 7 de nuestro DPA.