Cloudflare continuerà a mettere le SCC a disposizione dei nostri clienti i cui dati sono soggetti al GDPR. Seguiamo da vicino gli sviluppi in questo spazio, nonché i meccanismi alternativi di trasferimento.
Siamo consapevoli che, alla luce del caso Schrems II, i nostri clienti sono alla ricerca di ulteriori garanzie che i dati soggetti al GDPR e trasferiti negli Stati Uniti ricevano un'adeguata protezione ai sensi del GDPR. Abbiamo discusso di queste tutele aggiuntive sopra.
Poiché la CGUE ha preso in considerazione un certo numero di autorità di sicurezza nazionali statunitensi nella sua analisi nel caso Schrems II, abbiamo visto alcune domande sull'applicazione di tali autorità ai responsabili del trattamento dei dati statunitensi. Per spiegare se, o in che modo, tali autorità siano pertinenti ai fini del trasferimento dei dati, è necessaria una spiegazione aggiuntiva delle autorità cui fa riferimento la CGUE.
Sezione 702. La Sezione 702 del Foreign Intelligence Surveillance Act (FISA) è un'autorità che consente al governo degli Stati Uniti di richiedere comunicazioni di soggetti non statunitensi situati al di fuori degli Stati Uniti per scopi di intelligence estera. Il governo degli Stati Uniti utilizza la Sezione 702 per raccogliere il contenuto delle comunicazioni attraverso specifici "selettori", come ad es. gli indirizzi e-mail, associati a specifici obiettivi di intelligence estera. Poiché l'autorità viene solitamente utilizzata per raccogliere il contenuto delle comunicazioni, i "provider di servizi di comunicazione elettronica" invitati a conformarsi alla Sezione 702 sono in genere provider di posta elettronica o altri fornitori che hanno accesso al contenuto delle comunicazioni.
Come indicato nel nostro report sulla trasparenza, Cloudflare in genere non ha accesso a questo tipo di contenuti tradizionali dei clienti. In aggiunta, Cloudflare ha assunto da molti anni un impegno pubblico in virtù del quale non abbiamo mai fornito a nessun governo feed dei contenuti dei nostri clienti che transitano sulla nostra rete e, se ci venisse chiesto di farlo, esauriremmo tutti i mezzi di ricorso al fine di proteggere i nostri clienti da quelle che riteniamo richieste illegali o incostituzionali.
Ordine esecutivo 12333. L'Ordine esecutivo 12333 governa la raccolta di intelligence estera delle agenzie di intelligence statunitensi che hanno come obiettivo soggetti non statunitensi situati al di fuori degli Stati Uniti. L'Ordine esecutivo 12333 non ha disposizioni per obbligare l'assistenza delle società statunitensi.
Cloudflare si impegna da tempo a richiedere un procedimento legale prima di fornire a qualsiasi ente governativo l'accesso ai dati dei clienti al di fuori di un'emergenza. Pertanto, ai sensi dell'Ordine esecutivo 12333, non ottemperiamo alle richieste volontarie di dati. Inoltre, Cloudflare è stato leader nell'incoraggiare una maggiore sicurezza per i dati in transito, sia per i contenuti che per i metadati, al fine di proteggere da sguardi indiscreti i dati personali di qualsiasi tipo. Nel 2014, ad esempio, abbiamo lanciato Universal SSL, rendendo la crittografia, che si era dimostrata costosa e complicata, gratuita per tutti i clienti Cloudflare. Nella settimana del lancio, abbiamo raddoppiato le dimensioni del web criptato. A causa del crescente numero di leggi con la crittografia nel mirino, abbiamo persino dichiarato di non aver mai indebolito, compromesso o sovvertito nessuna delle nostre cifrature su richiesta di un governo o di altre terze parti.