Cloudflare e conformità al GDPR

Cloudflare è una società per la sicurezza, le prestazioni e l'affidabilità con sede negli Stati Uniti che offre una vasta gamma di servizi di rete per aziende di tutte le dimensioni e aree geografiche. Aiutiamo a renderle più sicure, miglioriamo le prestazioni delle loro applicazioni business-critical ed eliminiamo i costi e la complessità riguardanti la gestione e l'integrazione delle singole reti hardware. La rete Anycast di Cloudflare, alimentata da oltre 200 server Edge in tutto il mondo, come descritto qui , funge da base su cui possiamo sviluppare e implementare rapidamente i nostri prodotti per i nostri clienti.

Cloudflare non ha accesso né controllo sui dati che i clienti scelgono di trasmettere, indirizzare, scambiare e memorizzare nella cache attraverso la rete Anycast Cloudflare. In un numero limitato di casi, i prodotti Cloudflare possono essere utilizzati per l'archiviazione di contenuti. A prescindere dai servizi Cloudflare che utilizzino, tuttavia, i nostri clienti sono integralmente responsabili della loro conformità alla legge applicabile e dei loro accordi contrattuali indipendenti in relazione ai dati che scelgono di trasmettere, indirizzare, scambiare, memorizzare nella cache o conservare tramite la rete Anycast Cloudflare.

I tipi di dati personali che Cloudflare elabora per conto del cliente dipendono da quali servizi Cloudflare vengono implementati. La stragrande maggioranza dei dati che transitano nella rete di Cloudflare rimane sui server Edge di Cloudflare, mentre i metadati relativi a questa attività vengono elaborati per conto dei nostri clienti nel nostro datacenter principale negli Stati Uniti.

Cloudflare mantiene i dati di log sugli eventi sulla nostra rete. Alcuni di questi dati di log includono informazioni sui visitatori e/o utenti autorizzati di domini, reti, siti Web, interfacce di programmazione delle applicazioni ("API") o applicazioni del cliente, incluso il prodotto Cloudflare per Teams, a seconda dei casi applicabili. Tali metadati contengono dati personali estremamente limitati, il più delle volte sotto forma di indirizzi IP. Elaboriamo questo tipo di informazioni per conto dei nostri clienti nel nostro datacenter principale negli Stati Uniti per un periodo di tempo limitato.

Cloudflare considera la sicurezza un elemento fondamentale per garantire la privacy dei dati. Sin dal lancio di Cloudflare nel 2010, abbiamo rilasciato una serie di tecnologie all'avanguardia che migliorano la privacy, generalmente in anticipo rispetto al resto del settore. Tra le altre cose, questi strumenti consentono ai nostri clienti di crittografare facilmente il contenuto delle comunicazioni tramite SSL universale, crittografare i metadati nelle comunicazioni utilizzando DNS-over-HTTPS o DNS-over-TLS e SNI crittografati, e controllare dove sono conservate le loro chiavi SSL o dove viene ispezionato il loro traffico.

Cloudflare mantiene un programma di sicurezza in conformità con gli standard del settore. Il programma di sicurezza include il mantenimento di formali politiche e procedure di sicurezza, la definizione di adeguati controlli di accesso logici e materiali, nonché l'implementazione di salvaguardie tecniche negli ambienti aziendali e di produzione, tra cui la creazione di configurazioni sicure, trasmissione e connessioni protette, registrazione, monitoraggio e tecnologie adeguate per la crittografia dei dati personali.

Attualmente manteniamo le seguenti certificazioni: conformità ISO 27001, SOC 2 Type II e PCI DSS Level 1. Manteniamo anche un report SOC 3. Ulteriori informazioni sulle certificazioni sono disponibili qui.

Per visualizzare le misure di sicurezza offerte da Cloudflare per la protezione dei dati personali, inclusi quelli trasferiti dall'Unione Europea (UE) agli Stati Uniti, consultare l'allegato 2 del nostro DPAstandard.

Il GDPR fornisce una serie di meccanismi giuridici per garantire che siano disponibili garanzie adeguate, diritti esecutivi e mezzi di ricorso efficaci per gli interessati europei i cui dati personali vengono trasferiti dallo Spazio economico europeo (SEE) a un Paese terzo, un Paese non coperto dal GDPR o che si consideri non disponga di leggi adeguate sulla protezione dei dati.

Tali meccanismi comprendono le seguenti eventualità:

• qualora la Commissione dell'UE abbia deciso che un Paese terzo garantisce un adeguato livello di protezione dopo aver valutato lo stato di diritto di tale Paese, il rispetto dei diritti umani e delle libertà fondamentali, e una serie di altri fattori;

• qualora un titolare del trattamento dei dati o un responsabile del trattamento abbia messo in atto norme aziendali vincolanti;

• qualora un titolare del trattamento dei dati o un responsabile del trattamento abbia adottato clausole standard in materia di protezione dei dati adottate dalla Commissione; oppure

• qualora un titolare del trattamento o un responsabile del trattamento dei dati abbia messo in atto un codice di condotta o un meccanismo di certificazione approvati.

Cloudflare si avvale delle clausole contrattuali standard (SCC, Standard Contractual Clauses) come meccanismo giuridico per trasferire i dati personali dallo SEE agli Stati Uniti. In precedenza, Cloudflare si affidava anche alla decisione di adeguatezza concessa al Privacy Shield. Tuttavia, la Corte di giustizia dell'Unione europea (CGUE) nel luglio 2020 ha invalidato il paradigma del Privacy Shield UE-USA nel caso "Schrems II" (caso C-311/18, Commissario per la protezione dei dati contro Facebook Irlanda e Maximillian Schrems). L'annullamento del Privacy Shield non modifica le robuste protezioni della privacy dei dati che Cloudflare ha messo in atto per i dati personali che trattiamo per conto dei nostri clienti, e continueremo a rispettare i principi di protezione dei dati per i quali ci siamo impegnati quando abbiamo ricevuto la certificazione ai sensi del Privacy Shield.

Poiché crediamo che guadagnare e mantenere la fiducia dei clienti sia essenziale, Cloudflare ha implementato misure di protezione dei dati già prima del caso Schrems II. Quando abbiamo pubblicato il nostro primissimo rapporto sulla trasparenza nel 2014 per un procedimento legale ricevuto nel 2013, ci siamo impegnati a richiedere la sussistenza di un procedimento legale prima di fornire a qualsiasi ente governativo dati dei clienti al di fuori di un'emergenza, nonché a fornire ai nostri clienti una notifica di qualsiasi procedimento legale che richieda dati sui loro clienti o relativi alla fatturazione prima di divulgarli, salvo non espressamente vietato per legge. Abbiamo dichiarato pubblicamente di non aver mai consegnato a nessun governo chiavi di crittografia né fornito feed di contenuti in transito nella nostra rete, e di non aver mai installato apparecchiature delle forze dell'ordine sulla nostra rete. Ci siamo inoltre impegnati, nel caso in cui ci fosse stato chiesto di fare una di queste cose, ad "esaurire tutti i mezzi di ricorso al fine di proteggere i nostri clienti da ciò che riteniamo essere richieste illegali o incostituzionali". Sin da quei primi giorni nella storia di Cloudflare, abbiamo ribadito questi impegni due volte l'anno, addirittura ampliandoli, nei nostri Rapporti sulla trasparenza.

Abbiamo anche dimostrato la nostra fiducia nella trasparenza e il nostro impegno nel proteggere i nostri clienti aprendo dei contenziosi, quando necessario. Nel 2013, con l'aiuto della Electronic Frontier Foundation, abbiamo contestato a livello legale una lettera di sicurezza nazionale degli Stati Uniti (NSL, National Security Letter), emessa a livello amministrativo, per proteggere i diritti dei nostri clienti a causa di disposizioni che consentivano al governo di impedirci di divulgare informazioni sulla NSL al cliente interessato. In risposta a tale richiesta, Cloudflare non ha fornito informazioni sui clienti, ma le disposizioni di non divulgazione sono rimaste in vigore fino a quando, nel 2016, un tribunale non ha revocato le restrizioni.

Più di recente, in un post sul blog del Privacy Day di gennaio 2020, abbiamo dichiarato che qualsiasi richiesta governativa di dati personali in conflitto con le leggi sulla privacy del Paese di residenza di una persona dovrebbe essere oggetto di contestazione legale. In una valutazione pubblicata lo scorso anno, il Comitato europeo per la protezione dei dati (EDPB) ha riconosciuto che il GDPR potrebbe effettivamente configurare tale conflitto. Il nostro impegno per il rispetto del GDPR significa che Cloudflare perseguirà mezzi di ricorso prima di produrre dati identificati come soggetti al GDPR in risposta a una richiesta di dati da parte del governo degli Stati Uniti. Coerentemente con la giurisprudenza degli Stati Uniti e i quadri normativi esistenti, Cloudflare può chiedere ai tribunali statunitensi di far decadere una richiesta da parte delle autorità statunitensi di dati personali che si basi su tale conflitto normativo.

Abbiamo aggiornato la nostra Appendice sul trattamento dei dati (DPA) per i nostri clienti per incorporare ora tutele aggiuntive come impegni contrattuali. È possibile visualizzare questi impegni contrattuali alla sezione 7 del nostro DPA.

Riteniamo che le richieste del governo degli Stati Uniti per i dati personali di una persona non statunitense che sono in conflitto con le leggi sulla privacy del paese di residenza di tale persona (come il GDPR nell'UE) dovrebbero essere impugnate legalmente.

Il CLOUD Act non espande l'autorità investigativa degli Stati Uniti. I severi requisiti per l'applicazione delle normative per ottenere un mandato valido rimangono invariati. Il CLOUD Act si applica anche all'accesso ai contenuti che generalmente non archiviamo, come descritto sopra. Inoltre, non modifica le pratiche esistenti quando i servizi incaricati dell'applicazione della legge statunitensi cercano di accedere ai dati aziendali. È importante notare che l'applicazione delle normative cercherebbe in genere di ottenere dati dall'entità che ha un controllo efficace dei dati (ovvero i nostri clienti) piuttosto che dei provider di cloud.

Cloudflare continuerà a mettere le SCC a disposizione dei nostri clienti i cui dati sono soggetti al GDPR. Seguiamo da vicino gli sviluppi in questo spazio, nonché i meccanismi alternativi di trasferimento.

Siamo consapevoli che, alla luce del caso Schrems II, i nostri clienti sono alla ricerca di ulteriori garanzie che i dati soggetti al GDPR e trasferiti negli Stati Uniti ricevano un'adeguata protezione ai sensi del GDPR. Abbiamo discusso di queste tutele aggiuntive sopra.

Poiché la CGUE ha preso in considerazione un certo numero di autorità di sicurezza nazionali statunitensi nella sua analisi nel caso Schrems II, abbiamo visto alcune domande sull'applicazione di tali autorità ai responsabili del trattamento dei dati statunitensi. Per spiegare se, o in che modo, tali autorità siano pertinenti ai fini del trasferimento dei dati, è necessaria una spiegazione aggiuntiva delle autorità cui fa riferimento la CGUE.

Sezione 702. La Sezione 702 del Foreign Intelligence Surveillance Act (FISA) è un'autorità che consente al governo degli Stati Uniti di richiedere comunicazioni di soggetti non statunitensi situati al di fuori degli Stati Uniti per scopi di intelligence estera. Il governo degli Stati Uniti utilizza la Sezione 702 per raccogliere il contenuto delle comunicazioni attraverso specifici "selettori", come ad es. gli indirizzi e-mail, associati a specifici obiettivi di intelligence estera. Poiché l'autorità viene solitamente utilizzata per raccogliere il contenuto delle comunicazioni, i "provider di servizi di comunicazione elettronica" invitati a conformarsi alla Sezione 702 sono in genere provider di posta elettronica o altri fornitori che hanno accesso al contenuto delle comunicazioni.

Come indicato nel nostro report sulla trasparenza, Cloudflare in genere non ha accesso a questo tipo di contenuti tradizionali dei clienti. In aggiunta, Cloudflare ha assunto da molti anni un impegno pubblico in virtù del quale non abbiamo mai fornito a nessun governo feed dei contenuti dei nostri clienti che transitano sulla nostra rete e, se ci venisse chiesto di farlo, esauriremmo tutti i mezzi di ricorso al fine di proteggere i nostri clienti da quelle che riteniamo richieste illegali o incostituzionali.

Ordine esecutivo 12333. L'Ordine esecutivo 12333 governa la raccolta di intelligence estera delle agenzie di intelligence statunitensi che hanno come obiettivo soggetti non statunitensi situati al di fuori degli Stati Uniti. L'Ordine esecutivo 12333 non ha disposizioni per obbligare l'assistenza delle società statunitensi.

Cloudflare si impegna da tempo a richiedere un procedimento legale prima di fornire a qualsiasi ente governativo l'accesso ai dati dei clienti al di fuori di un'emergenza. Pertanto, ai sensi dell'Ordine esecutivo 12333, non ottemperiamo alle richieste volontarie di dati. Inoltre, Cloudflare è stato leader nell'incoraggiare una maggiore sicurezza per i dati in transito, sia per i contenuti che per i metadati, al fine di proteggere da sguardi indiscreti i dati personali di qualsiasi tipo. Nel 2014, ad esempio, abbiamo lanciato Universal SSL, rendendo la crittografia, che si era dimostrata costosa e complicata, gratuita per tutti i clienti Cloudflare. Nella settimana del lancio, abbiamo raddoppiato le dimensioni del web criptato. A causa del crescente numero di leggi con la crittografia nel mirino, abbiamo persino dichiarato di non aver mai indebolito, compromesso o sovvertito nessuna delle nostre cifrature su richiesta di un governo o di altre terze parti.

Cloudflare ha già attuato molte delle salvaguardie aggiuntive raccomandate dal Comitato europeo per la protezione dei dati (EDPB) nel suo progetto di direttiva (Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali dell'UE adottato il 10 novembre 2020), che sono ancora in fase di consultazione fino al 21 dicembre 2020.

Cloudflare si impegna molto verso la trasparenza e la responsabilità nel trattamento dei dati personali come descritto sopra, e ha già aggiornato il proprio DPA per rendere diversi nostri impegni contrattualmente vincolanti. Continuiamo altresì a pubblicare il nostro report sulla trasparenza, che può essere visualizzato qui: https://www.cloudflare.com/en-gb/transparency/. Un ultimo aspetto, ma non meno importante: abbiamo in atto robuste misure di sicurezza e protocolli di crittografia, che possono essere visualizzati nell'Allegato 2 del nostro DPA aggiornato. Cloudflare è impegnata nei confronti dei propri clienti europei e siamo in attesa di ricevere la guida finale dall'EDPB dopo il periodo di consultazione.

Come sempre, continuiamo a monitorare gli sviluppi in corso in questo ambito e garantiremo la nostra costante conformità agli Articoli 44 e 46 GDPR dell'UE. Durante questo periodo, continueremo a seguire i nostri impegni in base agli attuali DPA e i nostri impegni ai sensi delle attuali SCC.

Il 5 ottobre 2020 abbiamo aggiornato il nostro Contratto di abbonamento self-service in modo da incorporare il nostro DPA standard aggiornato per riferimento. E nella misura in cui i dati personali che trattiamo per conto di un cliente self-service sono disciplinati dal GDPR, il nostro DPA incorpora le clausole contrattuali standard dell'UE per tali dati. Pertanto, non è necessaria alcuna azione per garantire l'applicazione delle clausole contrattuali standard. Il nostro DPA aggiornato incorpora anche le misure di sicurezza aggiuntive descritte sopra.

Sebbene il DPA sia incorporato per riferimento, abbiamo altresì reso disponibile il nostro DPA aggiornato nella dashboard del cliente. Quando sei nella tua Dashboard, vai alla scheda Configurazioni, quindi seleziona Preferenze.

Il 1° ottobre 2020 abbiamo aggiornato il nostro Contratto di abbonamento Enterprise (ESA) in modo da incorporare il nostro DPA standard aggiornato come riferimento. I clienti Enterprise sono soggetti al nostro ESA standard se lo hanno sottoscritto con Cloudflare in data 8 agosto 2019 o successivamente, e non hanno un contratto su misura. Non è richiesta alcuna azione per questi clienti in quanto il DPA aggiornato viene incorporato come riferimento nel nostro ESA e, nella misura in cui i dati personali che trattiamo per conto del cliente sono disciplinati dal GDPR, il nostro DPA incorpora le clausole contrattuali standard dell'UE. Il nostro DPA aggiornato incorpora anche le misure di sicurezza aggiuntive descritte sopra. Il nostro DPA standard aggiornato è disponibile qui.

I clienti aziendali che utilizzano versioni precedenti del nostro ESA potrebbero già disporre delle clausole contrattuali standard UE con Cloudflare. In tal caso, non è necessaria alcuna azione, ma possono anche accettare il nostro DPA aggiornato disponibile nel dashboard del cliente, in quanto include la nostra clausola di salvaguardia aggiuntiva. I clienti che in precedenza si basavano sulle certificazioni dello scudo per la privacy UE-USA e Svizzera-USA di Cloudflare devono accettare il nostro DPA aggiornato disponibile nel dashboard del cliente. Quando sei nella tua Dashboard, vai alla scheda Configurazioni, quindi seleziona Preferenze. Lì puoi rivedere e accettare il DPA.

I clienti aziendali che dispongono di un contratto personalizzato con Cloudflare devono contattare il proprio Customer Success Manager se hanno domande sul loro DPA.

Stiamo esaminando attentamente il progetto delle nuove clausole contrattuali tipo (SCC) della Commissione europea e attendiamo l'approvazione di una serie di SCC dopo il periodo di consultazione. Una volta approvate, le nuove SCC contengono una clausola di moratoria di un anno per consentirne l'implementazione, e ci adopereremo per implementare le nuove SCC per i nostri clienti durante tale periodo.

Riconosciamo che alcuni dei nostri clienti preferirebbero che i dati personali soggetti al GDPR rimanessero nell'UE e non venissero trasferiti negli Stati Uniti per il trattamento. Siamo lieti di annunciare la Data Localization Suite di Cloudflare, la soluzione che consente alle aziende di sfruttare le prestazioni e la sicurezza della rete globale di Cloudflare, semplificando nel contempo il settaggio di regole e controlli a livello perimetrale su dove vengono archiviati e protetti i dati.

La Data Localization Suite include alcune offerte esistenti con alcune nuove funzionalità:

• Servizi regionali. Cloudflare ha datacenter in più di 200 città in oltre 100 Paesi. Regional Services, insieme alla nostra soluzione Geo Key Manager, consente ai clienti di scegliere le posizioni del datacenter in cui sono archiviate le chiavi TLS e dove avviene la terminazione TLS. Il traffico viene ingerito a livello globale, applicando le attenuazioni DDoS L3/L4, mentre le funzioni di sicurezza, prestazioni e affidabilità (come WAF, CDN, mitigazione DDoS, ecc.) vengono servite solo nei datacenter Cloudflare designati. Con Regional Services alcuni metadati vengono comunque trasmessi al nostro datacenter centrale di Portland, Oregon. Tuttavia, gli unici dati personali che raccogliamo in questi log sono gli indirizzi IP.

• Keyless SSL. Keyless SSL consente al cliente di archiviare e gestire le proprie chiavi private SSL per l'utilizzo con Cloudflare. I clienti possono impiegare una varietà di sistemi per il loro keystore, tra cui moduli di sicurezza hardware ("HSM"), server virtuali e hardware con Unix/Linux e Windows, ospitato in ambienti controllati dai clienti.

• Geo key Manager. Cloudflare ha una base clienti veramente internazionale e abbiamo imparato che clienti di tutto il mondo hanno requisiti normativi, giuridici e profili di rischio diversi per quanto concerne il posizionamento delle chiavi private. Con questa filosofia in mente, abbiamo deciso di progettare un sistema molto flessibile per decidere dove conservare le chiavi. Geo Key Manager permette ai clienti di limitare l'esposizione delle proprie chiavi private a determinate località. È simile a Keyless SSL, ma invece di dover eseguire un server chiave all'interno dell'infrastruttura, Cloudflare ospita i server chiave nelle posizioni preferite del cliente.

• Edge Log Delivery. I clienti possono inviare i log direttamente dall'edge al partner preferito, ad esempio un bucket di archiviazione Azure nella loro area di elezione o un'istanza Splunk eseguita in un datacenter on-premise. Con questa opzione, i clienti possono comunque ottenere i propri log completi nella loro area di elezione, senza che questi passino prima per i nostri datacenter centrali degli Stati Uniti o dell'Unione Europea.

• Restrizioni relative alla giurisdizione per Workers Durable Objects. Durable Objects sono una tecnologia di archiviazione e coordinamento senza server che permette agli sviluppatori di gestirne lo stato senza sovraccarico dell'infrastruttura. Le restrizioni relative alla giurisdizione assicurano che il trattamento e l'archiviazione dei dati siano conformi alle normative locali, evitando qualsiasi configurazione dell'infrastruttura da parte degli sviluppatori. Questa funzionalità aiuta i team di sviluppo a creare agevolmente le proprie applicazioni globali conformi.

Come indicato nel nostro Rapporto di Transparency, Cloudflare richiede un valido procedimento legale prima di fornire le informazioni personali dei nostri clienti a enti governativi o parti civili, a meno che non ci sia un'emergenza. Non forniamo informazioni personali dei nostri clienti a funzionari governativi in risposta a richieste che non includono procedimenti legali.

Per garantire che i nostri clienti abbiano l'opportunità di far valere i loro diritti, la politica di Cloudflare è informarli su mandati di comparizione o altri procedimenti legali che richiedano le loro informazioni prima di divulgarle, indipendentemente dal fatto che il procedimento legale provenga dal governo o da soggetti privati coinvolti in un contenzioso civile, salvo non espressamente vietato per legge. In particolare, il nostro DPA si impegna a informare i clienti, salvo vietato per legge, qualora riuscissimo a identificare se un procedimento legale di terze parti che richieda dati personali che elaboriamo per conto del Cliente sollevi un conflitto normativo, ad esempio laddove i dati personali sono disciplinati dal GDPR. I clienti che vengano notificati di una richiesta legale in essere per i loro dati personali possono cercare di intervenire per impedirne la divulgazione.

Inoltre, la legge statunitense ha previsto per le aziende meccanismi per contestare quelle ordinanze che presentano potenziali conflitti normativi, come una richiesta legale di dati soggetti al GDPR. Il Clarifying Lawful Overseas Use of Data (CLOUD) Act, ad esempio, fornisce al provider meccanismi per richiedere a un tribunale di interrompere o modificare una richiesta legale che presenti tale conflitto normativo. Tale processo consente inoltre al provider di rivelare l'esistenza della richiesta al governo straniero del cittadino interessato, se tale governo ha sottoscritto un accordo CLOUD Act con gli Stati Uniti. Cloudflare si è impegnata a contestare legalmente qualsiasi ordinanza che costituisca un tale conflitto normativo. Ad oggi, non abbiamo ricevuto ordinanze che a nostro avviso ponessero un simile conflitto.

Abbiamo prestato molta attenzione alle discussioni sulla protezione dei dati che riguardano la Brexit e l'uscita del Regno Unito dall'Unione europea a partire dal 1° gennaio 2021, e abbiamo preso provvedimenti per assicurarci di essere preparati all'adozione del GDPR nel Regno Unito nella legislazione locale. Cloudflare continuerà a utilizzare il meccanismo delle SCC, che sono incluse nel nostro DPA standard per trasferire i dati personali al di fuori del Regno Unito e del SEE. Consultare le istruzioni riportate sopra per verificare di disporre del DPA appropriato. Continuiamo a monitorare gli sviluppi in corso in questo ambito e garantiremo la nostra costante conformità alle normative del Regno Unito e globali sulla protezione dei dati.