Cloudflare y la conformidad con el RGPD

Cloudflare es una empresa de seguridad, rendimiento y fiabilidad con sede en Estados Unidos. Cuenta con operaciones internacionales, incluidas cinco oficinas en Europa, y presta una amplia gama de servicios de red a empresas de todos los tamaños y en todas las geografías. Ayudamos a mejorar la seguridad de los sitios y aplicaciones web de nuestros clientes, optimizamos el rendimiento de sus aplicaciones esenciales para el negocio y eliminamos el coste y la complejidad de la gestión del hardware de red individual. La red global de Cloudflare, que funciona por medio de más de 200 servidores perimetrales en todo el mundo, como se describe aquí, es la base sobre la que podemos desarrollar e implementar rápidamente nuestros productos para nuestros clientes.

Cloudflare no tiene acceso ni control de los datos que sus clientes deciden transmitir, enrutar, conmutar y almacenar en caché a través de nuestra red global. En un número limitado de casos, los productos de Cloudflare se pueden utilizar para almacenar contenido. Sin embargo, independientemente de los servicios de Cloudflare que utilicen, nuestros clientes son totalmente responsables del cumplimiento de la legislación vigente y de sus acuerdos contractuales independientes en relación con los datos que elijan transmitir, enrutar, conmutar, almacenar en caché o guardar a través de la red global de Cloudflare.

Los tipos de datos personales que Cloudflare procesa en nombre de un cliente dependen de los servicios de Cloudflare que se implementen. La gran mayoría de los datos que transitan por la red de Cloudflare se quedan en sus servidores perimetrales, mientras que los metadatos sobre esta actividad se procesan en nombre de nuestros clientes en nuestro principal centro de datos en Estados Unidos y Europa.

Cloudflare mantiene los datos de registro de eventos en nuestra red. Algunos de estos datos de registro incluyen información sobre los visitantes o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones (API) o aplicaciones de los clientes, incluido nuestro producto Cloudflare Zero Trust, según proceda. Estos metadatos contienen muy poca información personal, principalmente en forma de direcciones IP. Procesamos este tipo de información en nombre de nuestros clientes en nuestros principales centros de datos de Estados Unidos y Europa durante un periodo de tiempo limitado.

Cloudflare considera la seguridad como un elemento fundamental para garantizar la privacidad de los datos. Desde el lanzamiento de Cloudflare en 2010, hemos sacado al mercado una serie de tecnologías de última generación que mejoran la privacidad, normalmente adelantándonos al resto del sector. Entre otras cosas, estas herramientas permiten a nuestros clientes cifrar fácilmente el contenido de las comunicaciones a través de Universal SSL, cifrar los metadatos de las comunicaciones usando DNS sobre HTTPS o DNS sobre TLS y SNI cifrado, y controlar dónde se guardan sus claves SSL o dónde se inspecciona su tráfico.

Cloudflare mantiene un programa de seguridad que supera los estándares del sector. El programa de seguridad incluye el mantenimiento de políticas y procedimientos de seguridad formales, el establecimiento de controles de acceso lógico y físico adecuados, y la implementación de garantías técnicas en entornos corporativos y de producción, tales como el establecimiento de configuraciones seguras, la transmisión y las conexiones seguras, el registro, la supervisión y la posesión de tecnologías de encriptación adecuadas para datos personales.

Actualmente, mantenemos las siguientes validaciones: conformidad con ISO 27001, ISO 27701, ISO 27018, SOC 2 Tipo II y PCI DSS nivel 1. Más información sobre nuestras certificaciones e informes aquí.

Para ver las medidas de seguridad que Cloudflare ofrece para la protección de datos personales, incluidos los datos personales transferidos desde el Espacio Económico Europeo ("EEE") a los EE. UU., consulta el Anexo 2 de nuestro DPA estándar.

El Reglamento general de protección de datos (RGPD) proporciona una serie de mecanismos legales para garantizar que haya salvaguardias adecuadas, derechos protegidos jurídicamente y vías legales efectivas disponibles para los interesados europeos cuyos datos personales se transfieran desde el EEE a un tercer país que no esté cubierto por el RGPD o que se considere que no cuente con leyes adecuadas de protección de datos.

Esos mecanismos incluyen:

• Cuando la Comisión Europea haya decidido que un tercer país garantiza un nivel de protección adecuado tras evaluar el estado de derecho de ese país, el respeto de los derechos humanos y las libertades fundamentales, y una serie de factores adicionales;

• Cuando un responsable o encargado del tratamiento de datos haya establecido normas corporativas vinculantes;

• Cuando un responsable o encargado del tratamiento de datos haya establecido cláusulas de protección de datos tipo adoptadas por la Comisión; o

• Cuando un responsable o encargado del tratamiento de datos haya establecido un código de conducta aprobado o un mecanismo de certificación aprobado.

Cloudflare cuenta con las Cláusulas contractuales tipo de la Comisión Europea (CCT) además de con medidas adicionales como mecanismo legal para transferir datos personales del EEE a los EE. UU. Anteriormente, Cloudflare también contaba con la decisión de adecuación otorgada al Escudo de la privacidad. Sin embargo, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó en julio de 2020 el paradigma del Escudo de la privacidad UE-EE. UU. en el caso "Schrems II" (Caso C-311/18, Data Protection Comissioner contra Facebook Irlanda y Maximillian Schrems). La invalidación del Escudo de la privacidad no cambia las fuertes protecciones de privacidad de datos que Cloudflare ha establecido para los datos personales que procesamos en nombre de nuestros clientes. Seguiremos cumpliendo los principios de protección de datos que nos comprometimos a cumplir cuando nos certificamos según el Escudo de la privacidad.

En marzo de 2022, la Comisión de la UE y el Departamento de Comercio de EE. UU. se comprometieron a desarrollar un nuevo Marco Transatlántico de Privacidad de Datos que regularía las transferencias de datos del EEE a EE. UU. Seguimos muy de cerca estos acontecimientos y cuando dispongamos de más detalles sobre su aplicación, determinaremos si nos regiremos por este marco y cómo lo haremos.

In October 2022, U.S. President Biden signed Executive Order 14086 (“EO14086”), which introduced new safeguards for U.S. signals intelligence activities in order to make the EU-U.S. Data Privacy Framework possible. Based on the protections afforded by EO14086, the European Commission made an adequacy finding for the EU-U.S. DPF. Importantly, these protections apply equally to all transfers – those made pursuant to one of the DPFs or those made under the EU Standard Contractual Clauses (see the EDPB’s “Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023”).

The protections introduced by EO14086 include safeguards to ensure that privacy and civil liberties are integral considerations such that (i) signals intelligence activities shall be conducted only where “necessary” to advance a validated intelligence priority, and (ii) be conducted only to the extent and in a manner that is “proportionate” to the validated intelligence priority. EO14086 also provides a multi-layer redress mechanism for individuals to obtain independent and binding review and redress of claims that their personal information collected through U.S. signals intelligence was processed in a way that violates their privacy rights.

Como creemos que ganarse y mantener la confianza de los clientes es esencial, Cloudflare ha contado con garantías de protección de datos desde mucho antes del caso Schrems II. Cuando emitimos nuestro primer informe de transparencia en 2014 de los procedimientos judiciales recibidos en 2013, nos comprometimos a exigir un procedimiento judicial antes de proporcionar a cualquier entidad gubernamental cualquier dato de los clientes, excepto en casos de emergencia, y a notificar a nuestros clientes de cualquier procedimiento judicial en el que se solicitara su información de cliente o de facturación antes de revelarla, a menos que estuviera prohibido por ley. Hemos declarado públicamente que nunca hemos entregado claves de encriptación a ningún gobierno, ni proporcionado a ningún gobierno fuentes de contenido que transiten por nuestra red o desplegado equipamiento de control policial en nuestra red. También nos comprometimos a que si se nos pedía que hiciéramos alguna de esas cosas, "agotaríamos todos los recursos legales para proteger a nuestros clientes de lo que creemos que son solicitudes ilegales o inconstitucionales". Desde aquellos días al principio de la historia de Cloudflare, hemos reafirmado esos compromisos dos veces al año, e incluso los hemos ampliado, en nuestros Informes de transparencia.

También hemos demostrado nuestra creencia en la transparencia y nuestro compromiso de proteger a nuestros clientes, presentando demandas cuando es necesario. En 2013, con la ayuda de la Electronic Frontier Foundation, impugnamos una carta de seguridad nacional (NSL) emitida con carácter administrativo por EE. UU., para proteger los derechos de nuestro cliente, debido a las disposiciones mediante las que el Gobierno nos impedía revelar información de la NSL al cliente afectado. Cloudflare no proporcionó información del cliente en respuesta a esa solicitud, pero las disposiciones de no revelación siguieron en vigor hasta que un tribunal levantó las restricciones en 2016.

Hemos reiterado en muchas ocasiones nuestra postura de que cualquier requerimiento gubernamental de datos personales que entre en conflicto con las legislación en materia de privacidad del país de residencia de una persona debe ser impugnada legalmente. (Consulta, por ejemplo, nuestro informe de transparencia y nuestro documento técnico Políticas de privacidad y gestión de los requerimientos gubernamentales de información.) El CEPD reconoció que el RGPD podría plantear este conflicto en esta evaluación. Nuestro compromiso con el cumplimiento del RGPD significa que Cloudflare recurrirá a medidas legales antes de elaborar datos de los que se haya comprobado que son objeto del RGPD en respuesta a una solicitud de datos del Gobierno de EE. UU. En consonancia con la jurisprudencia y los marcos legales vigentes en EE. UU., Cloudflare puede pedir a los tribunales estadounidenses que anulen los requerimientos de datos personales de las autoridades, de acuerdo con ese conflicto de legislaciones.

Hemos actualizado nuestro Anexo de procesamiento de datos ("DPA") estándar para nuestros clientes, que ahora incluye las medidas y salvaguardas suplementarias descritas anteriormente como compromisos contractuales. Puedes ver estos compromisos contractuales en la sección 7 de nuestro DPA.

Creemos que los requerimientos de los datos personales de un individuo extranjero por parte del Gobierno de EE. UU. que entren en conflicto con la legislación en materia de privacidad del país de residencia de dicho individuo (como el RGPD en la UE) deben ser impugnados legalmente.

La Ley CLOUD no amplía el poder de la autoridad de investigación de los Estados Unidos. Los estrictos requisitos para que las fuerzas del orden obtengan una orden judicial válida permanecen sin cambios. La Ley CLOUD también se aplica al acceso a los contenidos, que por lo general no almacenamos, como se ha descrito anteriormente. Además, la Ley CLOUD no cambia las prácticas vigentes cuando las fuerzas de seguridad de Estados Unidos intentan acceder a los datos de las empresas. Es importante señalar que las fuerzas del orden suelen tratar de obtener los datos de la entidad que tiene el control efectivo de los mismos (es decir, nuestros clientes) y no de los proveedores de soluciones en la nube.

Cloudflare seguirá poniendo las CCT y las medidas adicionales a disposición de nuestros clientes cuyos datos están sujetos al RGPD. Seguimos de cerca los desarrollos en este ámbito, así como los mecanismos de transferencia alternativos.

Entendemos que, en vista del caso de Schrems II, nuestros clientes buscan garantías adicionales de que los datos sujetos al RGPD y transferidos a EE. UU. reciban una protección adecuada bajo el RGPD. Ya se han mencionado anteriormente esas garantías adicionales.

Debido a que el TJUE consideró a varias autoridades de seguridad nacional de los Estados Unidos en su análisis en el caso Schrems II, se han producido algunas dudas sobre las demandas de esas autoridades a los encargados del tratamiento de datos de EE. UU. Aclarar si estas autoridades son competentes para una transferencia de datos o cómo lo son requiere explicaciones adicionales de las autoridades a las que hace referencia el TJUE.

Sección 702. La sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (FISA) es una autorización que permite al Gobierno de EE. UU. solicitar las comunicaciones de personas extranjeras que no residan en Estados Unidos para fines relacionados con la actividad de inteligencia extranjera. El Gobierno de EE. UU. esgrime la sección 702 para recopilar contenido de las comunicaciones mediante elementos específicos, como las direcciones de correo electrónico, asociados a objetivos de inteligencia extranjeros concretos. Debido a que la autorización se utiliza, en general, para recopilar el contenido de las comunicaciones, los "proveedores de servicios de comunicaciones electrónicas" a los que se les pide que cumplan con la sección 702 son generalmente proveedores de correo electrónico u otros proveedores con acceso al contenido de las comunicaciones.

Como se indica en nuestro informe de transparencia, Cloudflare no tiene acceso a este tipo de contenido de los clientes en nuestros principales servicios. Además, Cloudflare ha mantenido el compromiso público durante muchos años de no proporcionar a ningún gobierno la fuente del contenido de nuestros clientes que transite por nuestra red, y de agotar todos los recursos legales si se nos solicitara hacerlo, para proteger a nuestros clientes de lo que creemos que son peticiones ilegales o inconstitucionales.

Orden ejecutiva 12333. La Orden ejecutiva 12333 rige la recopilación de información de inteligencia extranjera por parte de los organismos de inteligencia de los Estados Unidos, con personas no estadounidenses ubicadas fuera de Estados Unidos como objetivo. La Orden Ejecutiva 12333 no cuenta con disposiciones para obligar a que las empresas estadounidenses presten asistencia.

Cloudflare mantiene un compromiso de larga duración de requerir un procedimiento judicial antes de proporcionar a cualquier entidad gubernamental acceso a los datos de los clientes, excepto en casos de emergencia. Por lo tanto, no cumpliríamos con las solicitudes voluntarias de datos bajo la Orden ejecutiva 12333. Además, Cloudflare ha sido líder en el fomento de una mayor seguridad para los datos en tránsito, tanto para el contenido como para los metadatos, a fin de evitar que los datos personales sean objeto de cualquier tipo de intromisión. En 2014, por ejemplo, lanzamos Universal SSL, lo que hizo que la encriptación, antes costosa y difícil, fuera gratuita para todos los clientes de Cloudflare. La semana que lo lanzamos, duplicamos el tamaño de la web cifrada. Debido al creciente número de leyes que intentan atacar la encriptación, incluso nos hemos comprometido a no debilitar, comprometer o subvertir ninguna de nuestras encriptaciones a petición de un gobierno u otra tercera parte.

When Cloudflare transfers personal data from the EEA, Switzerland or the United Kingdom (“UK”) internationally, we rely on the EU Standard Contractual Clauses (“SCCs”), including supplementary measures as necessary, or, for transfers to the United States, we have also certified our compliance with the EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), the Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”), and the UK Extension to the EU-U.S. DPF. These representations are contained in our standard DPA, which is incorporated by reference into our Self-Serve Subscription Agreement. To the extent the personal data transfer requires the SCCs, then our DPA incorporates the SCCs for this data. Therefore, no action is required to ensure that the appropriate cross-border data transfer mechanisms are in place.

Nuestro Acuerdo de suscripción de autoservicio integra nuestro DPA estándar a modo de referencia. Y, en la medida en que los datos personales que procesamos en nombre de los clientes de autoservicio se rigen por el RGPD, nuestro DPA incorpora las cláusulas contractuales tipo de la UE para estos datos. Por lo tanto, no es preciso realizar ninguna acción para asegurarse de que las cláusulas contractuales tipo estén en vigor. Nuestro DPA también incorpora las garantías adicionales descritas anteriormente.

Si bien el DPA se incorpora por referencia, también hemos proporcionado nuestro DPA estándar en el panel de control del cliente. Cuando esté en su Panel de control, vaya a la pestaña Configuraciones y luego a Preferencias para visualizar y aceptar el DPA.

Nuestro Acuerdo de suscripción Enterprise (ESA) integra nuestro DPA estándar a modo de referencia. Por lo tanto, no se requiere ninguna acción para estos clientes. En la medida en que los datos personales que tratamos en nombre del cliente se rigen por el RGPD, nuestro DPA incorpora las cláusulas contractuales tipo de la UE. Nuestro DPA estándar también incorpora las salvaguardas adicionales descritas anteriormente.

Los clientes Enterprise están sujetos a nuestro ESA si iniciaron su acuerdo con Cloudflare el 8 de agosto de 2019, o en una fecha posterior, y no tienen un acuerdo personalizado. No obstante, los clientes Enterprise con versiones antiguas de nuestro ESA o con ESA personalizados o DPA personalizados puede que no dispongan de las cláusulas contractuales tipo de la UE de 2021. Nos estamos poniendo en contacto con estos clientes para asegurarnos de que disponen del contrato más reciente. Estos clientes pueden aceptar nuestro DPA estándar disponible en el panel de control del cliente, ya que incluye las cláusulas contractuales tipo de la UE de 2021 y nuestro apartado de salvaguarda adicional. Los clientes que anteriormente hacían uso de las certificaciones del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. de Cloudflare también deben aceptar nuestro DPA actualizado disponible en el panel de control del cliente. Cuando esté en su Panel de control, vaya a la pestaña Configuraciones y luego a Preferencias. Por favor, revise y acepte el DPA en el mismo.

Los clientes Enterprise pueden ponerse en contacto con su gestor de Customer Success para resolver cualquier duda relativa a su DPA.

Hemos incorporado las nuevas CCT de la Comisión Europea publicadas el 4 de junio de 2021 a todos los nuevos contratos de clientes sujetos al RGPD. Las nuevas CCT incluyen una disposición que establece un periodo de transición de 18 meses para adoptarse a este modelo, y pasaremos a aplicarlo para nuestros clientes durante ese plazo.

Hemos prestado mucha atención a los cambios que el Reino Unido está introduciendo en el ámbito de la protección de datos desde que abandonó la Unión Europea. Cloudflare seguirá utilizando el mecanismo de las CCT de la UE junto con el anexo relativo a la transferencia de datos del Reino Unido, incluidos en nuestro DPA estándar para transferir datos personales fuera del Reino Unido y del EEE. Por favor, consulte nuestras instrucciones más arriba para asegurarse de que dispone del DPA adecuado. Seguimos haciendo un seguimiento continúo de la evolución actual en esta esfera y nos aseguraremos de que cumplamos con la normativa de protección de datos del Reino Unido y de todo el mundo.