Na Cloudflare, nossa missão é ajudar a construir uma Internet melhor. Acreditamos que, para cumprir essa missão, a proteção dos dados dos nossos clientes e de seus usuários finais é fundamental.
Mesmo antes de o Regulamento Geral de Proteção de Dados (GDPR) da Europa entrar em vigor em 2018, a Cloudflare estava focada em como poderíamos melhorar a privacidade globalmente. Criamos produtos para expandir e melhorar a privacidade on-line. Também minimizamos nossa coleta de dados pessoais e usamos dados pessoais apenas para a finalidade para a qual foram coletados. Desde a nossa fundação, comprometemo-nos a manter as informações pessoais privadas. Por conseguinte, nunca vendemos ou alugamos as informações pessoais dos nossos usuários a ninguém.
Em termos práticos, o RGPD foi uma codificação de muitos dos passos que já estávamos dando: coletar apenas os dados pessoais necessários para prestar o serviço oferecido; não vender informações pessoais; dar às pessoas a capacidade de acessar, corrigir ou excluir suas informações pessoais; e, de acordo com nosso papel de processador de dados, dar aos nossos clientes controle sobre as informações que, por exemplo, são armazenadas em cache em nossa rede de distribuição de conteúdo (CDN), armazenadas no Workers Key Value Store ou capturadas pelo nosso web application firewall (WAF).
Nesta página, compilamos respostas a perguntas que recebemos frequentemente sobre como processamos dados em nome de nossos clientes de uma forma que esteja em conformidade com o RGPD. Como o ambiente de proteção de dados está em constante evolução, continuamos monitoramento os acontecimentos em curso globalmente e atualizaremos esta página conforme apropriado.
A Cloudflare é uma empresa de segurança, desempenho e confiabilidade sediada nos Estados Unidos (EUA) que oferece uma grande variedade de serviços de rede para empresas de todos os tamanhos e em todas as regiões. Ajudamos a tornar as empresas mais seguras, aprimoramos o desempenho dos aplicativos cruciais para os seus negócios e eliminamos o custo e a complexidade de gerenciar e integrar um hardware de rede individual. A rede Anycast da Cloudflare – que é alimentada por mais de 200 servidores de borda em todo o mundo, conforme descrito aqui – serve como a base sobre a qual podemos desenvolver e implantar rapidamente nossos produtos para nossos clientes.
A Cloudflare não tem acesso nem tem qualquer controle sobre os dados que seus clientes escolhem transmitir, rotear, trocar e armazenar em cache por meio da Rede Anycast da Cloudflare. Em um número limitado de casos, os produtos Cloudflare podem ser usados para armazenamento de conteúdo. No entanto, independentemente dos serviços da Cloudflare usados, nossos clientes são totalmente responsáveis por sua própria conformidade com a lei aplicável e seus acordos contratuais independentes no que diz respeito aos dados que escolhem transmitir, rotear, trocar, armazenar em cache ou armazenar por meio da Rede Anycast da Cloudflare.
Os tipos de dados pessoais que a Cloudflare processa em nome de um cliente dependem de quais serviços da Cloudflare são implementados. A grande maioria dos dados que transitam na rede da Cloudflare permanece nos servidores de borda da Cloudflare, enquanto os metadados referentes a essa atividade são processados em nome de nossos clientes em nosso principal data center nos Estados Unidos.
A Cloudflare mantém dados de log sobre os eventos em nossa rede. Alguns desses dados de log incluirão informações sobre visitantes e/ou usuários autorizados de domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) ou aplicativos de um cliente, incluindo o produto Cloudflare for Teams, conforme o caso. Estes metadados contêm dados pessoais extremamente limitados, na maioria das vezes sob a forma de endereços IP. Processamos esse tipo de informações em nome de nossos clientes em nosso principal data center nos EUA por um período limitado de tempo.
Para a Cloudflare, a segurança é um elemento crítico de modo a garantir a privacidade dos dados. Desde o lançamento da Cloudflare em 2010, lançamos uma série de tecnologias de ponta que aprimoram a privacidade, normalmente à frente do resto do setor. Entre outras coisas, essas ferramentas permitem aos nossos clientes criptografar facilmente o conteúdo das comunicações por meio de SSL universal, criptografar os metadados em comunicações usando DNS sobre HTTPS ou DNS sobre TLS e SNI criptografado, bem como controlar onde suas chaves SSL são mantidas ou onde seu tráfego é inspecionado.
A Cloudflare mantém um programa de segurança de acordo com os padrões do setor. O programa de segurança inclui a manutenção de políticas e procedimentos formais de segurança, o estabelecimento de controles de acesso lógicos e físicos adequados e a implementação de salvaguardas técnicas em ambientes corporativos e de produção, incluindo o estabelecimento de configurações seguras, transmissão e conexões seguras, registro em log, monitoramento e ter tecnologias de criptografia adequadas para dados pessoais.
Atualmente, mantemos as seguintes validações: conformidade com ISO 27001, SOC 2 Tipo II e PCI DSS Nível 1. Também mantemos um relatório SOC 3. Saiba mais sobre nossas certificações aqui.
Para ver as medidas de segurança que a Cloudflare oferece para a proteção de dados pessoais, incluindo dados pessoais transferidos da União Europeia (UE) para os EUA, consulte o Anexo 2 do nosso DPApadrão.
O RGPD fornece uma série de mecanismos legais para garantir que salvaguardas apropriadas, direitos executórios e recursos legais efetivos estejam disponíveis para titulares de dados europeus cujos dados pessoais sejam transferidos do Espaço Econômico Europeu (EEE) para um país terceiro – um país não coberto pelo RGPD ou considerado como tendo leis adequadas de proteção de dados em vigor.
Esses mecanismos incluem:
Casos em que a Comissão da UE tenha decidido que um país terceiro garante um nível adequado de proteção após avaliar o Estado de Direito desse país, o respeito pelos direitos humanos e pelas liberdades fundamentais, bem como uma série de outros fatores;
Casos em que um processador ou controlador de dados tenha implementado regras corporativas vinculativas;
Casos em que um processador ou controlador de dados tenha em vigor cláusulas de proteção de dados padrão adotadas pela Comissão; ou
Casos em que um processador ou controlador de dados tenha em vigor um código de conduta aprovado ou um mecanismo de certificação aprovado.
A Cloudflare se baseia nas Cláusulas Contratuais Padrão (SCCs) como mecanismo legal para transferir dados pessoais do EEE para os EUA. Anteriormente, a Cloudflare também se baseava na decisão de adequação concedida ao Privacy Shield. Entretanto, em julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) invalidou o paradigma Privacy Shield UE-EUA no caso “Schrems II” (Caso C-311/18, Data Protection Commissioner contra Facebook Ireland e Maximillian Schrems). A anulação do Privacy Shield não altera as fortes proteções de privacidade de dados que a Cloudflare tem em vigor para os dados pessoais que processamos em nome dos nossos clientes. Ademais, continuaremos a seguir os princípios de proteção de dados com os quais nos comprometemos quando nos certificamos conforme os termos do Privacy Shield.
Como acreditamos que ganhar e manter a confiança do cliente é essencial, a Cloudflare tem mantido salvaguardas de proteção de dados em vigor muito antes do caso Schrems II. Quando emitimos nosso primeiro relatório de transparência em 2014 para processos legais recebidos em 2013, prometemos que exigiríamos um processo legal antes de fornecer a qualquer entidade governamental quaisquer dados de clientes fora de uma emergência e que forneceríamos aos nossos clientes um aviso de qualquer processo legal que solicitasse suas informações de cliente ou de cobrança, antes de divulgarmos essas informações, a menos que seja proibido por lei. Declaramos publicamente que nunca entregamos chaves de criptografia a nenhum governo, fornecemos a qualquer governo um feed de conteúdo em trânsito em nossa rede ou implantamos equipamentos policiais em nossa rede. Também prometemos que, se nos pedissem para realizar qualquer uma dessas ações, “esgotaríamos todos os recursos legais para proteger nossos clientes do que acreditamos serem pedidos ilegais ou inconstitucionais”. Desde aqueles dias no início da história da Cloudflare, reafirmamos esses compromissos duas vezes por ano, e até mesmo os expandimos, em nossos Relatórios de Transparência.
Também demonstramos nossa crença na transparência e nosso compromisso em proteger nossos clientes, iniciando litígios quando necessário. Em 2013, com a ajuda da Electronic Frontier Foundation, contestamos legalmente uma carta de segurança nacional dos EUA (NSL) emitida administrativamente de modo a proteger os direitos de nossos clientes devido a disposições que permitiam que o governo nos impedisse de divulgar informações sobre a NSL ao cliente afetado. A Cloudflare não forneceu informações sobre o cliente em resposta a essa solicitação. As disposições de confidencialidade permaneceram em vigor até que um tribunal levantou as restrições em 2016.
Mais recentemente, em uma postagem no blog no Dia da Privacidade , em janeiro de 2020, declaramos nossa posição de que todas as solicitações governamentais de dados pessoais que estejam em conflito com as leis de privacidade do país de residência de uma pessoa devem ser legalmente contestadas. O Conselho Europeu de Proteção de Dados (EDPB) reconheceu que o RGPD poderia representar um conflito dessa espécie em uma avaliação divulgada no ano passado. Nosso compromisso com a conformidade com o RGPD significa que a Cloudflare buscaria recursos legais antes de produzir dados identificados como estando sujeitos ao RGPD em resposta a uma solicitação de dados do governo dos EUA. De forma consistente com a jurisprudência e as estruturas estatutárias dos EUA existentes, a Cloudflare pode solicitar aos tribunais dos EUA que anulem uma solicitação das autoridades dos EUA de dados pessoais com base em tal conflito de leis.
Atualizamos nosso adendo de processamento de dados (DPA) padrão para nossos clientes com a finalidade e incorporar salvaguardas adicionais como compromissos contratuais. É possível visualizar esses compromissos contratuais na seção 7 do nosso DPA.
A Cloudflare continuará a disponibilizar as SCCs aos nossos clientes cujos dados estão sujeitos ao RGPD. Estamos acompanhando de perto os acontecimentos nessa área, bem como em torno de mecanismos de transferência alternativos.
Entendemos que, à luz do caso Schrems II, nossos clientes estão buscando garantias adicionais de que os dados sujeitos ao RGPD e transferidos aos EUA receberão proteção adequada no âmbito do RGPD. Discutimos essas salvaguardas adicionais acima.
Como o TJUE considerou várias autoridades de segurança nacional dos EUA em sua análise no caso Schrems II, vimos algumas perguntas sobre a aplicação dessas autoridades aos processadores de dados dos EUA. Explicar se, ou como, essas autoridades são relevantes para uma transferência de dados requer uma explicação adicional das autoridades mencionadas pelo TJUE.
Seção 702. A Seção 702 da Foreign Intelligence Surveillance Act (FISA) é uma autoridade que permite que o governo dos EUA solicite as comunicações de pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Uma vez que a autoridade é normalmente utilizada para recolher o conteúdo das comunicações, os “prestadores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na secção 702 são, em geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.
Conforme observado em nosso relatório de transparência, a Cloudflare geralmente não tem acesso a esse tipo de conteúdo do cliente tradicional. Além disso, a Cloudflare tem um compromisso público há muitos anos no sentido de que nunca fornecemos a nenhum governo um feed do conteúdo de nossos clientes que transita em nossa rede e que esgotaríamos todos os recursos legais se nos pedissem para fazer isso, a fim de proteger nossos clientes do que acreditamos ser pedidos ilegais ou inconstitucionais.
Ordem Executiva 12333. A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições para obrigar a assistência de empresas dos EUA.
A Cloudflare tem um compromisso de longa data de exigir um processo legal antes de fornecer a qualquer entidade governamental acesso a dados de clientes fora de uma emergência. Portanto, não cumpriremos solicitações voluntárias de dados conforme a Ordem Executiva 12333. Além disso, a Cloudflare tem sido líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o Universal SSL, tornando a criptografia (algo que costumava ser caro e difícil) gratuita para todos os clientes da Cloudflare. Na semana do lançamento, dobramos o tamanho da web criptografada. Devido a um número crescente de leis que tentam tratar da criptografia, até declaramos que nunca enfraquecemos, comprometemos ou subvertemos nossa criptografia a pedido de um governo ou outro terceiro.
Em 5 de outubro de 2020, atualizamos nosso Contrato de Assinatura por Autoatendimento de modo a incorporar o DPA padrão atualizado por referência. Além disso, se os dados pessoais que processamos em nome de um cliente de autoatendimento forem regidos pelo RGPD, nosso DPA incorpora as cláusulas contratuais padrão da UE para esses dados. Por conseguinte, não é necessária qualquer ação para garantir que as cláusulas contratuais padrão estejam em vigor. Nosso DPA atualizado também incorpora as salvaguardas adicionais descritas acima.
Em 1º de outubro de 2020, atualizamos nosso Contrato de Assinatura Enterprise (ESA) padrão para incorporar o DPA padrão atualizado por referência. Os Clientes Enterprise estarão sujeitos ao nosso ESA padrão se tiverem celebrado o ESA com a Cloudflare em 8 de agosto de 2019 ou posteriormente e não tiverem um contrato personalizado. Nenhuma ação é necessária para esses clientes, uma vez que o DPA atualizado é incorporado por referência em nosso ESA e, se os dados pessoais que processamos em nome do cliente forem regidos pelo RGPD, nosso DPA incorpora as cláusulas contratuais padrão da UE. Nosso DPA atualizado também incorpora as salvaguardas adicionais descritas acima. Nosso DPA padrão atualizado está disponível aqui.
Os clientes Enterprise com versões mais antigas do nosso ESA ou que tenham um DPA personalizado com a Cloudflare podem já ter as cláusulas contratuais padrão da UE em vigor com a Cloudflare. Nesse caso, nenhuma ação é necessária. Os Clientes que anteriormente confiavam nas certificações Privacy Shield UE-EUA e Suíça-EUA da Cloudflare devem entrar em contato com seu Customer Success Manager ou eu.dpa@cloudflare.com para celebrar nosso DPA que incorpora as cláusulas contratuais padrão. Para qualquer outra dúvida, incentivamos nossos clientes Enterprise a entrar em contato com seu Customer Success Manager.
Sabemos que alguns de nossos clientes preferem que todos os dados pessoais sujeitos ao RGPD permaneçam na UE e não sejam transferidos para os EUA para processamento. Para isso, oferecemos soluções que ajudam os clientes a restringir o acesso aos seus dados pessoais, geograficamente e de outra forma:
Serviços regionais. A Cloudflare tem data centers em mais de 200 cidades, localizadas em mais de 100 países. Juntamente com nossa solução Geo Key Manager, os Serviços Regionais permitem que os Clientes escolham as localizações dos data centers onde as chaves TLS são armazenadas e a terminação TLS ocorre. O tráfego é ingerido globalmente, com a aplicação de mitigações de DDoS L3/L4, Já as funções de segurança, desempenho e confiabilidade (como WAF, CDN, mitigação de DDoS etc.) são executadas somente nos data centers da Cloudflare designados. Com os Serviços Regionais, alguns metadados ainda serão transmitidos ao nosso data center central em Portland, Oregon, nos Estados Unidos. Todavia, os únicos Dados Pessoais que coletamos nesses logs são os endereços IP.
Geo Key Manager. A Cloudflare tem uma base de clientes verdadeiramente internacional. Aprendemos que os clientes em todo o mundo têm diferentes exigências regulamentares e estatutárias, além de perfis de risco distintos, no que diz respeito ao posicionamento de suas chaves privadas. Com essa filosofia em mente, nos propusemos a desenvolver um sistema muito flexível para decidir onde as chaves podem ser mantidas. O Geo Key Manager permite que os clientes limitem a exposição de suas chaves privadas a determinados locais. É semelhante ao Keyless SSL, mas, em vez de ter que executar um servidor de chaves dentro de sua infraestrutura, a Cloudflare hospeda servidores de chaves nos locais de sua escolha.
Cloudflare Access. A Cloudflare sabe que o trabalho remoto oferece aos funcionários a flexibilidade de trabalhar em diferentes regiões ou países. No entanto, essa distribuição pode apresentar desafios de conformidade. Dependendo de onde um cliente opera ou onde precisa operar, ele pode usar o Cloudflare Access para criar camadas de regras específicas do país acima dos fluxos de trabalho de seu provedor de identidade.
Workers. O Cloudflare Workers é capaz de implementar políticas personalizadas de busca de origem com base na localização do cliente ou no endereço IP. Assim, fica mais fácil direcionar solicitações de dentro de um determinado páis para uma origem específica. Como o tempo de execução do Workers permite que você execute seu próprio código na borda da Cloudflare, ele pode oferecer suporte a qualquer política em uma base personalizável por solicitação.
Conforme descrito em nosso Relatório de Transparência, a Cloudflare requer um processo legal válido antes de fornecer as informações pessoais de nossos clientes a entidades governamentais ou litigantes civis, a menos que haja uma emergência. Não fornecemos informações pessoais de nossos clientes a representantes do governo em resposta a solicitações que não incluem processos legais.
Para garantir que nossos clientes tenham a oportunidade de fazer valer seus direitos, é política da Cloudflare notificá-los sobre uma intimação ou outro processo legal que solicite suas informações antes da divulgação dessas informações, seja o processo legal proveniente do governo ou de partes privadas envolvidas em um contencioso cível, a menos que seja proibido por lei. Especificamente, o nosso DPA declara que, a menos que seja proibido por lei, notificaremos os Clientes se conseguirmos identificar que o processo legal de terceiros que solicita dados pessoais que processamos em nome desse Cliente provoca um conflito de leis, por exemplo, quando os dados pessoais são regidos pelo RGPD. Os Clientes notificados de uma solicitação legal pendente de seus dados pessoais podem procurar intervir para impedir que sejam divulgados.
Além disso, a lei dos EUA forneceu mecanismos para que as empresas contestem pedidos que apresentem potenciais conflitos de leis, como uma solicitação legal de dados sujeitos ao RGPD. A Lei Clarifying Legal Overseas Use of Data (CLOUD), por exemplo, fornece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare comprometeu-se a contestar legalmente quaisquer ordens que representem tal conflito de leis. Até o momento, não recebemos ordens que identificamos como apresentando tal conflito.
