Sección 702. La sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (FISA) es una autorización que permite al Gobierno de EE. UU. solicitar las comunicaciones de personas no estadounidenses ubicadas fuera de EE. UU., con fines relacionados con la inteligencia extranjera. El Gobierno de EE. UU. utiliza la sección 702 para recopilar contenido de las comunicaciones mediante elementos específicos, como las direcciones de correo electrónico, asociados a objetivos de inteligencia extranjeros concretos. Debido a que la autorización generalmente se utiliza para recopilar el contenido de las comunicaciones, los "proveedores de servicios de comunicaciones electrónicas" a los que se les pide que cumplan con la sección 702 son generalmente proveedores de correo electrónico u otros proveedores con acceso al contenido de las comunicaciones.
Como se indica en nuestro informe de transparencia, Cloudflare no tiene acceso a este tipo de contenido de los clientes en nuestros principales servicios. Además, nuestro compromiso público desde hace muchos años es no facilitar a ningún gobierno el contenido de nuestros clientes que pasa por nuestra red y agotar todos los recursos legales si se nos solicitara, para proteger a nuestros clientes de lo que, a nuestro parecer, son solicitudes ilegales o inconstitucionales.
Orden ejecutiva 12333. La Orden ejecutiva 12333 rige la recopilación de información de inteligencia extranjera por parte de los organismos de inteligencia de los Estados Unidos, con personas no estadounidenses ubicadas fuera de Estados Unidos como objetivo. La Orden Ejecutiva 12333 no cuenta con disposiciones para obligar a que las empresas estadounidenses presten asistencia.
Cloudflare mantiene el compromiso de requerir un procedimiento judicial antes de facilitar a cualquier entidad gubernamental acceso a los datos de los clientes, excepto en casos de emergencia. Por lo tanto, no cumpliríamos con las solicitudes voluntarias de datos en virtud de la orden ejecutiva 12333. Además, Cloudflare es una de las empresas líderes en soluciones que ofrecen mayor seguridad para los datos en tránsito, tanto para el contenido como para los metadatos, a fin de proteger la privacidad de los datos personales. En 2014, por ejemplo, lanzamos Universal SSL, que ofrece encriptación gratuita a todos los clientes de Cloudflare, algo que hasta ahora era caro y complicado. La semana del lanzamiento, duplicamos el tamaño de la web encriptada. Debido al creciente número de leyes en materia de encriptación, nos hemos comprometido a no debilitar, poner en riesgo o socavar nuestra encriptación a petición de un gobierno o terceros.
Ley CLOUD. La Ley de Aclaración del Uso Legal de Datos en el Extranjero (CLOUD, Clarifying Lawful Overseas Use of Data) no amplía la autoridad encargada de las investigaciones de Estados Unidos. Los estrictos requisitos para que las fuerzas del orden obtengan una orden judicial válida permanecen sin cambios. La Ley CLOUD también se aplica al acceso a los contenidos, que por lo general no almacenamos, como se ha descrito anteriormente. Es importante señalar que las fuerzas del orden suelen tratar de obtener los datos de la entidad que tiene el control efectivo de los mismos (es decir, nuestros clientes) y no de los proveedores de soluciones en la nube.
La Ley CLOUD proporciona mecanismos para que un proveedor solicite a un tribunal que anule o modifique un requerimiento judicial que plantee tal conflicto de leyes. Ese proceso también permite al proveedor divulgar la existencia del requerimiento a un gobierno extranjero cuyo ciudadano se vea afectado, si ese gobierno ha firmado un acuerdo de la Ley CLOUD con los Estados Unidos. Cloudflare se ha comprometido a impugnar cualquier orden judicial que plantee tal conflicto de leyes. Hasta la fecha, no hemos recibido ninguna orden judicial que hayamos identificado como un conflicto de este tipo.
Por último, ten en cuenta que nuestro DPA se compromete a que, a menos que esté prohibido por ley, notificaremos a los clientes nuestra capacidad para identificar si el procedimiento judicial de un tercero que requiere información personal que procesamos en nombre de ese cliente plantea un conflicto de legislaciones. Los clientes a los que se les notifica un requerimiento judicial pendiente de sus datos personales pueden intervenir para evitar la divulgación de los mismos.