Cloudflare y la conformidad con el RGPD

Cloudflare es una empresa de seguridad, rendimiento y fiabilidad con sede en Estados Unidos, que ofrece una amplia gama de servicios de red a empresas de todos los tamaños y en todas las geografías. Contribuimos a que sean más seguras, a mejorar el rendimiento de sus aplicaciones críticas y a eliminar el coste y la complejidad de administrar hardware de red individual. La red Anycast de Cloudflare, conectada a más de 200 servidores perimetrales en todo el mundo, como se describe aquí , es la base sobre la que podemos desarrollar e implementar rápidamente nuestros productos para nuestros clientes.

Cloudflare no tiene acceso ni control de los datos que sus clientes deciden transmitir, enrutar, conmutar y almacenar en caché a través de la red Anycast de Cloudflare. En un número limitado de casos, los productos de Cloudflare pueden utilizarse para almacenar contenido. Sin embargo, independientemente de los servicios de Cloudflare que utilicen, nuestros clientes son totalmente responsables de su propio cumplimiento de la ley aplicable y de sus acuerdos contractuales independientes en relación con los datos que elijan transmitir, enrutar, conmutar, almacenar en caché o guardar a través de la red Anycast de Cloudflare.

Los tipos de datos personales que Cloudflare procesa en nombre de un cliente dependen de los servicios de Cloudflare que se implementen. La gran mayoría de los datos que transitan por la red de Cloudflare se quedan en sus servidores perimetrales, mientras que los metadatos sobre esta actividad se procesan en nombre de nuestros clientes en nuestro principal centro de datos en Estados Unidos.

Cloudflare mantiene los datos de registro de eventos en nuestra red. Algunos de estos datos de registro incluyen información sobre los visitantes o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones (API) o aplicaciones de los clientes, lo que incluye el producto Cloudflare for Teams, según corresponda. Estos metadatos contienen datos personales extremadamente limitados, principalmente en forma de direcciones IP. Procesamos este tipo de información en nombre de nuestros clientes en nuestro principal centro de datos en EE. UU. por un periodo de tiempo restringido.

Cloudflare considera la seguridad como un elemento fundamental para garantizar la privacidad de los datos. Desde el lanzamiento de Cloudflare en 2010, hemos sacado al mercado una serie de tecnologías de última generación que mejoran la privacidad, normalmente adelantándonos al resto del sector. Entre otras cosas, estas herramientas permiten a nuestros clientes cifrar fácilmente el contenido de las comunicaciones a través de Universal SSL, cifrar los metadatos de las comunicaciones usando DNS sobre HTTPS o DNS sobre TLS y SNI cifrado, y controlar dónde se guardan sus claves SSL o dónde se inspecciona su tráfico.

Cloudflare mantiene un programa de seguridad de acuerdo con los estándares del sector. El programa de seguridad incluye el mantenimiento de políticas y procedimientos de seguridad formales, el establecimiento de controles de acceso lógico y físico adecuados, y la implementación de garantías técnicas en entornos corporativos y de producción, tales como el establecimiento de configuraciones seguras, la transmisión y las conexiones seguras, el registro, la supervisión y la posesión de tecnologías de encriptación adecuadas para datos personales.

Actualmente, mantenemos las siguientes validaciones: conformidad con ISO 27001, SOC 2 Tipo II y PCI DSS nivel 1. También tenemos un informe SOC 3. Más información sobre nuestras certificaciones aquí.

Para ver las medidas de seguridad que Cloudflare ofrece para la protección de datos personales, incluidos los datos personales transferidos desde la Unión Europea a los EE. UU., consulta el Anexo 2 de nuestra DPA estándar.

El RGPD proporciona una serie de mecanismos legales para garantizar que haya salvaguardias adecuadas, derechos protegidos jurídicamente y vías legales efectivas disponibles para los interesados europeos cuyos datos personales se transfieran desde el Espacio Económico Europeo (EEE) a un tercer país que no esté cubierto por el RGPD o que se considere que no cuente con leyes adecuadas de protección de datos.

Esos mecanismos incluyen:

• Cuando la Comisión Europea haya decidido que un tercer país garantiza un nivel de protección adecuado tras evaluar el estado de derecho de ese país, el respeto de los derechos humanos y las libertades fundamentales, y una serie de factores adicionales;

• Cuando un responsable o encargado del tratamiento de datos haya establecido normas corporativas vinculantes;

• Cuando un responsable o encargado del tratamiento de datos haya establecido cláusulas de protección de datos tipo adoptadas por la Comisión; o

• Cuando un responsable o encargado del tratamiento de datos haya establecido un código de conducta aprobado o un mecanismo de certificación aprobado.

Cloudflare cuenta con las Cláusulas contractuales tipo como mecanismo legal para transferir datos personales del EEE a los EE. UU. Anteriormente, Cloudflare también contaba con la decisión de adecuación otorgada al Escudo de la privacidad. Sin embargo, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó en julio de 2020 el paradigma del Escudo de la privacidad UE-EE. UU. en el caso "Schrems II" (Caso C-311/18, Data Protection Comissioner contra Facebook Irlanda y Maximillian Schrems). La invalidación del Escudo de la privacidad no cambia las fuertes protecciones de privacidad de datos que Cloudflare ha establecido para los datos personales que procesamos en nombre de nuestros clientes. Seguiremos cumpliendo los principios de protección de datos que nos comprometimos a cumplir cuando nos certificamos según el Escudo de la privacidad.

Como creemos que ganar y mantener la confianza de los clientes es esencial, Cloudflare ya contaba con garantías de protección de datos desde mucho antes del caso Schrems II. Cuando emitimos nuestro primer informe de transparencia en 2014 de los procedimientos judiciales recibidos en 2013, nos comprometimos a exigir un procedimiento judicial antes de proporcionar a cualquier entidad gubernamental cualquier dato de los clientes, salvo en casos de emergencia, y a notificar a nuestros clientes cualquier procedimiento judicial en el que se solicitara su información de cliente o de facturación antes de revelarla, salvo prohibición legal. Hemos declarado públicamente que nunca hemos entregado claves de encriptación a ningún gobierno, ni proporcionado contenido que pase por nuestra red o desplegado equipamiento de control policial en la misma. También nos comprometimos a que si se nos pedía que realizáramos cualquier de estas acciones, "agotaríamos todos los recursos legales a nuestro alcance para proteger a nuestros clientes de lo que, a nuestro parecer, son solicitudes ilegales o inconstitucionales". Desde que iniciamos nuestra andadura, hemos confirmado esos compromisos dos veces al año, e incluso los hemos ampliado, en nuestros Informes de transparencia.

También hemos demostrado nuestra creencia en la transparencia y nuestro compromiso de proteger a nuestros clientes, presentando demandas cuando es necesario. En 2013, con la ayuda de la Electronic Frontier Foundation, impugnamos una carta de seguridad nacional (NSL por sus siglas en inglés) emitida con carácter administrativo por EE. UU., para proteger los derechos de nuestro cliente, debido a las disposiciones mediante las que el gobierno nos impedía revelar información de la NSL al cliente afectado. Cloudflare no proporcionó información del cliente en respuesta a esa solicitud, pero las disposiciones de no revelación siguieron en vigor hasta que un tribunal levantó las restricciones en 2016.

Más recientemente, en una publicación en el blog del Día de la privacidad en enero de 2020, reiteramos nuestra postura de que cualquier solicitud gubernamental de datos personales que esté en conflicto con las leyes de privacidad del país de residencia de la persona debe ser impugnada. El Comité Europeo de Protección de Datos reconoció que el RGPD podría plantear ese conflicto en una evaluación que publicó el año pasado. Nuestro compromiso con el cumplimiento del RGPD significa que Cloudflare recurrirá a medidas legales antes de elaborar datos de los que se haya comprobado que son objeto del RGPD en respuesta a una solicitud de datos del Gobierno de EE. UU. En consonancia con la jurisprudencia y los marcos legales existentes en EE. UU., Cloudflare puede pedir a los tribunales estadounidenses que anulen las solicitudes de datos personales de las autoridades, de acuerdo con ese conflicto de legislaciones.

Hemos actualizado nuestro DPA para que nuestros clientes incorporen ahora garantías adicionales como compromisos contractuales. Puedes ver estos compromisos contractuales en la sección 7 de nuestro DPA.

Cloudflare seguirá poniendo las cláusulas contractuales tipo a disposición de nuestros clientes cuyos datos están sujetos al RGPD. Seguimos de cerca los desarrollos en este ámbito, así como los mecanismos de transferencia alternativos.

Entendemos que, en vista del caso de Schrems II, nuestros clientes buscan garantías adicionales de que los datos sujetos al RGPD y transferidos a EE. UU. reciban una protección adecuada bajo el RGPD. Ya se han mencionado anteriormente esas garantías adicionales.

Debido a que el TJUE consideró a varias autoridades de seguridad nacional de los Estados Unidos en su análisis en el caso Schrems II, se han producido algunas dudas sobre las demandas de esas autoridades a los encargados del tratamiento de datos de EE. UU. Aclarar si estas autoridades son competentes para una transferencia de datos o cómo lo son requiere explicaciones adicionales de las autoridades a las que hace referencia el TJUE.

Sección 702. La sección 702 de la Ley de vigilancia de la inteligencia extranjera (FISA, por sus siglas en inglés) es una autorización que permite al Gobierno de EE. UU. solicitar los datos de las comunicaciones de personas no estadounidenses ubicadas fuera de EE. UU., con fines relacionados con la actividad de inteligencia extranjera. El Gobierno de EE. UU. esgrime la sección 702 para recopilar contenido de las comunicaciones mediante elementos específicos, como las direcciones de correo electrónico, asociados a objetivos de inteligencia extranjeros concretos. Debido a que la autorización se utiliza, en general, para recopilar el contenido de las comunicaciones, los "proveedores de servicios de comunicaciones electrónicas" a los que se les pide que cumplan con la sección 702 son generalmente proveedores de correo electrónico u otros proveedores con acceso al contenido de las comunicaciones.

Como se señala en nuestro Informe de transparencia, Cloudflare no suele tener acceso a este tipo de contenido de los clientes. Además, nuestro compromiso público desde hace muchos años es no facilitar a ningún gobierno el contenido que pasa por nuestra red y agotar todos los recursos legales si se nos solicitara, para proteger a nuestros clientes de lo que, a nuestro parecer, son solicitudes ilegales o inconstitucionales.

Orden ejecutiva 12333. La orden ejecutiva 12333 regula la recopilación de información extranjera por parte de las agencias de inteligencia de los Estados Unidos de personas que no sean estadounidenses y se encuentren fuera de Estados Unidos. La orden ejecutiva 12333 no cuenta con disposiciones para obligar a que las empresas estadounidenses a colaborar.

Cloudflare mantiene el compromiso de requerir un procedimiento judicial antes de facilitar a cualquier entidad gubernamental acceso a los datos de los clientes, excepto en casos de emergencia. Por lo tanto, no cumpliríamos con las solicitudes voluntarias de datos en virtud de la orden ejecutiva 12333. Además, Cloudflare es una de las empresas líderes en soluciones que ofrecen mayor seguridad para los datos en tránsito, tanto para el contenido como para los metadatos, a fin de proteger la privacidad de los datos personales. En 2014, por ejemplo, lanzamos Universal SSL, que ofrece encriptación gratuita a todos los clientes de Cloudflare, algo que hasta ahora era caro y complicado. La semana del lanzamiento, duplicamos el tamaño de la web cifrada. Debido al creciente número de leyes en materia de encriptación, nos hemos comprometido a no debilitar, poner en riesgo o socavar nuestra encriptación a petición de un gobierno o terceros.

Cloudflare ya cuenta con muchas de las salvaguardias adicionales recomendadas por el Comité Europeo de Protección de Datos (CEPD) en su borrador de orientación (Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE adoptado el 10 de noviembre de 2020), que aún se encuentran en el proceso de consulta hasta el 21 de diciembre de 2020.

Cloudflare tiene un firme compromiso con la transparencia y responsabilidad en relación con el tratamiento de datos personales tal y como se se ha descrito con anterioridad, y ya hemos actualizado nuestro DPA (data processing agreement [contrato de tratamiento de datos]) para que varios de nuestros compromisos sean vinculantes contractualmente. También seguimos publicando nuestro informe de transparencia, que se puede consultar aquí: https://www.cloudflare.com/en-gb/transparency/. Y por último, pero no por ello menos importante, contamos con sólidas medidas de seguridad y protocolos de encriptación, que pueden consultarse en el Anexo 2 de nuestro DPA actualizado. Cloudflare está comprometida con nuestros clientes europeos, y esperamos recibir las directrices definitivas del CEPD tras el periodo de consulta.

Como siempre, seguimos haciendo un seguimiento continúo de la evolución actual en esta esfera y nos aseguraremos de que cumplamos con los artículos 44 y 46 del RGPD de la UE. Durante este período, seguiremos llevando a la práctica nuestros compromisos en virtud de los DPA existentes y nuestros compromisos en virtud de las CCT actuales.

El 5 de octubre de 2020, actualizamos nuestro Acuerdo de suscripción de autoservicio para incorporar, como referencia, nuestro DPA estándar actualizado . Y, en la medida en que los datos personales que procesamos en nombre de los clientes de autoservicio se rigen por el RGPD, nuestro DPA incorpora las cláusulas contractuales tipo de la UE para estos datos. Por lo tanto, no es preciso realizar ninguna acción para asegurarse de que las cláusulas contractuales tipo estén en vigor. Nuestro DPA actualizado también incorpora las garantías adicionales descritas anteriormente.

Si bien el DPA se incorpora por referencia, también hemos proporcionado nuestro DPA actualizado en el panel de control del cliente. Cuando esté en su Panel de control, vaya a la pestaña Configuraciones y luego a Preferencias.

El 1 de octubre de 2020, actualizamos nuestro Acuerdo de suscripción Enterprise (ESA, por sus siglas en inglés) para incorporar, como referencia, nuestro DPA estándar actualizado . Los clientes Enterprise están sujetos a nuestro ESA si iniciaron su acuerdo con Cloudflare el 8 de agosto de 2019, o en una fecha posterior, y no tienen un acuerdo personalizado. Estos clientes no tienen que llevar a cabo ninguna acción, ya que el DPA actualizado se anexa a nuestro ESA. En la medida en que los datos personales que procesamos en nombre del cliente se rigen por el RGPD, nuestro DPA incorpora las cláusulas contractuales tipo de la UE. Nuestro DPA actualizado también incorpora las garantías adicionales descritas anteriormente. Consulta nuestro DPA estándar actualizado aquí.

Es posible que los clientes corporativos de versiones anteriores de nuestro Acuerdo de suscripción ya cuenten con las cláusulas contractuales tipo de la UE en relación a Cloudflare. Si es así, no es necesario hacer nada, pero también pueden aceptar nuestro DPA actualizado disponible en el panel de control del cliente, ya que incluye nuestra redacción de las salvaguardas adicionales. Los clientes que anteriormente hacían uso de las certificaciones del Escudo de privacidad UE-EE.UU. y Suiza-EE.UU. de Cloudflare deben aceptar nuestro DPA actualizado disponible en el panel de control del cliente. Cuando esté en su Panel de control, vaya a la pestaña Configuraciones y luego a Preferencias. Por favor, revise y acepte el DPA en el mismo.

Los clientes corporativos que cuenten con un contrato personalizado con Cloudflare deben ponerse en contacto con su gestor de satisfacción de los clientes si tienen preguntas sobre su DPA.

Estamos revisando cuidadosamente las nuevas cláusulas contractuales tipo (CCT) del borrador de la Comisión Europea, y estamos a la espera de la aprobación de un conjunto definitivo de CCT después del período de consulta. Una vez aprobadas, las nuevas CCT contienen una disposición de limitación temporal de vigencia de un año para permitir su implementación, y llevaremos a cabo la implementación de las nuevas CCT con nuestros clientes durante ese período de tiempo.

Somos conscientes de que algunos de nuestros clientes preferirían que cualquier dato personal sujeto al RGPD permaneciera en la UE y no fuera transferido a los EE. UU. para su tratamiento. A tal fin, hemos presentado la solución Data Localization Suite de Cloudflare, que permite a las empresas aprovechar las ventajas de rendimiento y seguridad de la red global de Cloudflare, facilitando al mismo tiempo la creación de reglas y controles en el borde sobre el lugar donde se almacenan y protegen sus datos.

La solución Data Localization Suite combina algunas ofertas existentes con algunas funciones nuevas:

• Regional Services Cloudflare cuenta con centros de datos en más de 200 ciudades y 100 países. Regional Services, junto con nuestra solución Geo Key Manager, permite que los clientes elijan las ubicaciones de los centros de datos donde se almacenan las claves TLS y donde se produce la terminación de TLS. El tráfico se recibe a nivel global para lo que se aplican mitigaciones de DDoS de capas 3 y 4, mientras que las funciones de seguridad, rendimiento y fiabilidad (como WAF, CDN, mitigación de DDoS, etc.) se sirven únicamente en centros de datos de Cloudflare específicos. Con Regional Services, algunos metadatos seguirán transmitiéndose a nuestro centro de datos principal en Portland, Oregón. Sin embargo, los únicos datos personales que recopilamos en estos registros son las direcciones IP.

• SSL sin clave. Keyless SSL permite a un cliente almacenar y administrar sus propias claves privadas SSL para su uso con Cloudflare. Los clientes pueden utilizar una variedad de sistemas para su depósito de claves, incluidos módulos de seguridad de hardware ("HSM"), servidores virtuales y hardware compatible con Unix/Linux y Windows y que esté alojado en entornos controlados por los clientes.

• Geo key Manager. Cloudflare tiene una base de clientes internacional y hemos aprendido que los clientes de todo el mundo tienen diferentes requisitos normativos y legales, además de diferentes perfiles de riesgo, con respecto a la colocación de sus claves privadas. Con esa filosofía en mente, nos propusimos diseñar un sistema muy flexible para decidir dónde se pueden guardar las claves. Geo Key Manager permite que los clientes limiten la exposición de sus claves privadas a ciertos lugares. Es similar a Keyless SSL, pero en lugar de tener que ejecutar un servidor de claves dentro de tu infraestructura, Cloudflare aloja servidores de claves en las ubicaciones de tu elección.

• Edge Log Delivery. Los clientes pueden enviar registros directamente desde el extremo a su socio preferido por ejemplo, un sistema de almacenamiento Azure en su región preferida o una instancia de Splunk que se ejecuta en un centro de datos local. Con esta opción, los clientes pueden seguir obteniendo sus registros completos en su región preferida sin que pasen primero a través de nuestros centros de datos principales de los EE. UU. o la UE.

• Restricciones jurisdiccionales para Workers Durable Objects. Workers Durable Objects es una tecnología de almacenamiento y coordinación sin servidor que permite a los desarrolladores administrar el estado sin gastos indirectos relacionados con la infraestructura. Las restricciones jurisdiccionales garantizan que el tratamiento y el almacenamiento de esos datos cumplan con la normativa local, al tiempo que evitan cualquier configuración de la infraestructura por parte de los desarrolladores. Esta función ayuda a los equipos de desarrollo a crear fácilmente sus propias aplicaciones globales que cumplan con las normas.

Como se indica en nuestro Informe de transparencia, Cloudflare solicita un procedimiento judicial válido antes de facilitar la información personal de nuestros clientes a entidades gubernamentales o civiles, salvo en caso de emergencia. No proporcionamos información personal de nuestros clientes a funcionarios del gobierno en respuesta a solicitudes que no incluyan un procedimiento judicial.

Para garantizar que nuestros clientes tengan la oportunidad de ejercer sus derechos, Cloudflare les notifica cualquier citación o procedimiento judicial que solicite acceder a su información antes de que esta sea divulgada, tanto si procede del procedimiento judicial del gobierno o de entidades privadas implicadas en un litigio civil, salvo prohibición legal. En concreto, en nuestro Anexo de procesamiento de datos (DPA) nos comprometemos a que, a menos que esté prohibido por ley, notificaremos a los clientes si somos capaces de identificar que el procedimiento judicial de terceros que solicita datos personales que procesamos en nombre de ese cliente plantea un conflicto entre legislaciones, como cuando los datos personales se rigen por el RGPD. Los clientes a los que se les notifica una solicitud judicial pendiente de sus datos personales pueden intervenir para evitar la divulgación de los mismos.

Además, la legislación de EE. UU. ha provisto de mecanismos para que las empresas puedan impugnar las solicitudes que planteen posibles conflictos de ley, como la solicitud judicial de datos sujetos al RGPD. Por ejemplo, la Ley de aclaración del uso legal de datos en el extranjero (CLOUD por sus siglas en inglés), proporciona mecanismos para que un proveedor solicite a un tribunal que procese o modifique una solicitud judicial que suponga dicho conflicto de leyes. Ese proceso también permite al proveedor divulgar la existencia de la solicitud a un gobierno extranjero cuyo ciudadano se vea afectado, si ese gobierno ha firmado un acuerdo de la Ley CLOUD con los Estados Unidos. Cloudflare se ha comprometido a impugnar cualquier orden que plantee tal conflicto de leyes. Hasta la fecha, no hemos recibido ninguna orden que hayamos identificado que plantee un conflicto de este tipo.

Hemos estado prestando especial atención a las discusiones sobre la protección de datos relacionadas con el bréxit y la salida del Reino Unido de la Unión Europea a partir del 1 de enero de 2021, y hemos tomado medidas para asegurarnos de que estamos preparados para la adopción del RGPD en el Reino Unido comp parte de la normativa local. Cloudflare continuará utilizando el mecanismo de las CCT, que se incluyen en nuestro DPA estándar para transferir datos personales fuera del Reino Unido y del EEE. Por favor, consulte nuestras instrucciones más arriba para asegurarse de que dispone del DPA adecuado. Seguimos haciendo un seguimiento continúo de la evolución actual en esta esfera y nos aseguraremos de que cumplamos con la normativa de protección de datos del Reino Unido y de todo el mundo.