Compromisso da Cloudflare com a conformidade com o RGDP

A Cloudflare é uma empresa de segurança, performance e confiabilidade com sede nos Estados Unidos da América (EUA) e que oferece uma grande variedade de serviços de rede para empresas de todos os portes e em todas as regiões. Ajudamos a tornar as empresas mais seguras, aprimoramos a performance dos aplicativos essenciais para os seus negócios e eliminamos o custo e a complexidade de gerenciar e integrar um hardware de rede individual. A rede Anycast da Cloudflare, a qual é alimentada por mais de 200 servidores de borda em todo o mundo, conforme descrito aqui, serve como a base sobre a qual podemos desenvolver e implantar rapidamente nossos produtos para nossos clientes.

A Cloudflare não tem acesso nem tem qualquer controle sobre os dados que seus clientes escolhem transmitir, rotear, trocar e armazenar em cache por meio da Rede Anycast da Cloudflare. Em um número limitado de casos, os produtos Cloudflare podem ser usados para armazenamento de conteúdo. No entanto, independentemente dos serviços da Cloudflare usados, nossos clientes são totalmente responsáveis por sua própria conformidade com a lei aplicável e seus acordos contratuais independentes no que diz respeito aos dados que escolhem transmitir, rotear, trocar, armazenar em cache ou armazenar por meio da Rede Anycast da Cloudflare.

Os tipos de dados pessoais que a Cloudflare processa em nome de um cliente dependem de quais serviços da Cloudflare são implementados. A grande maioria dos dados que transitam na rede da Cloudflare permanece nos servidores de borda da Cloudflare, enquanto os metadados referentes a essa atividade são processados em nome de nossos clientes no nosso principal data center nos EUA.

A Cloudflare mantém dados de log sobre os eventos em nossa rede. Alguns desses dados de log incluirão informações sobre visitantes e/ou usuários autorizados de domínios, redes, sites, interfaces de programação de aplicativos (Application Programming Interfaces, “APIs”) ou aplicativos de um cliente, incluindo o produto Cloudflare for Teams, conforme o caso. Estes metadados contêm dados pessoais extremamente limitados, na maioria das vezes sob a forma de endereços de IP. Processamos esse tipo de informações em nome de nossos clientes no nosso principal data center nos EUA por um período limitado.

Para a Cloudflare, a segurança é um elemento essencial para garantir a privacidade de dados. Desde o lançamento da Cloudflare em 2010, lançamos uma série de tecnologias de ponta que aprimoram a privacidade, normalmente à frente das demais empresas do ramo. Entre outras coisas, essas ferramentas permitem aos nossos clientes criptografar facilmente o conteúdo das comunicações por meio de SSL universal, criptografar os metadados em comunicações usando DNS sobre HTTPS ou DNS sobre TLS e SNI criptografado, bem como controlar onde suas chaves SSL são mantidas ou onde seu tráfego é inspecionado.

A Cloudflare mantém um programa de segurança de acordo com os padrões do setor. O programa de segurança inclui a manutenção de políticas e procedimentos formais de segurança, o estabelecimento de controles de acesso lógicos e físicos adequados e a implementação de salvaguardas técnicas em ambientes corporativos e de produção, incluindo o estabelecimento de configurações seguras, transmissão e conexões seguras, registro em log, monitoramento e ter tecnologias de criptografia adequadas para dados pessoais.

Atualmente, mantemos as seguintes validações: conformidade com ISO 27001, SOC 2 Tipo II e PCI DSS Nível 1. Também mantemos um relatório SOC 3. Saiba mais sobre nossas certificações aqui.

Para ver as medidas de segurança que a Cloudflare oferece para a proteção de dados pessoais, inclusive dados pessoais transferidos da UE para os EUA, consulte o Anexo 2 do nosso DPApadrão.

O GDPR oferece uma série de mecanismos legais para garantir que salvaguardas apropriadas, direitos executórios e recursos legais efetivos estejam disponíveis para titulares de dados europeus cujos dados pessoais sejam transferidos do EEE para um país terceiro – um país não coberto pelo GDPR ou considerado como tendo leis adequadas de proteção de dados em vigor.

Esses mecanismos incluem:

• Casos em que a Comissão da União Europeia (UE) tenha decidido que um país terceiro garante um nível adequado de proteção após avaliar o Estado de Direito desse país, o respeito pelos direitos humanos e pelas liberdades fundamentais, bem como uma série de outros fatores;

• Casos em que um processador ou controlador de dados tenha implementado regras corporativas vinculativas;

• Casos em que um processador ou controlador de dados tenha em vigor cláusulas de proteção de dados padrão adotadas pela Comissão; ou

• Casos em que um processador ou controlador de dados tenha em vigor um código de conduta aprovado ou um mecanismo de certificação aprovado.

A Cloudflare se baseia nas SCCs como mecanismo legal para transferir dados pessoais do EEE para os EUA. Anteriormente, a Cloudflare também se baseava na decisão de adequação concedida ao Privacy Shield. Entretanto, em julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) invalidou o paradigma Privacy Shield UE-EUA no caso “Schrems II” (Caso C-311/18, Data Protection Commissioner contra Facebook Ireland e Maximillian Schrems). A anulação do Privacy Shield não altera as fortes proteções de privacidade de dados que a Cloudflare tem em vigor para os dados pessoais que processamos em nome de nossos clientes. Ademais, continuaremos a seguir os princípios de proteção de dados com os quais nos comprometemos quando nos certificamos conforme os termos do Privacy Shield.

Como acreditamos que ganhar e manter a confiança do cliente é essencial, a Cloudflare tem mantido salvaguardas de proteção de dados em vigor muito antes do caso Schrems II. Quando emitimos nosso primeiro relatório de transparência em 2014 para processos legais recebidos em 2013, prometemos que exigiríamos um processo legal antes de fornecer a qualquer entidade governamental quaisquer dados de clientes fora de uma emergência e que forneceríamos aos nossos clientes um aviso de qualquer processo legal que solicitasse suas informações de cliente ou de cobrança, antes de divulgarmos essas informações, salvo se proibido por lei. Declaramos publicamente que jamais entregamos chaves de criptografia a nenhum governo, fornecemos a qualquer governo um feed de conteúdo em trânsito na nossa rede ou implantamos equipamentos policiais na nossa rede. Também prometemos que, se nos pedissem para realizar qualquer uma dessas ações, “esgotaríamos todos os recursos legais para proteger nossos clientes do que acreditamos serem solicitações ilegais ou inconstitucionais”. Desde os primeiros dias da história da Cloudflare, reafirmamos esses compromissos duas vezes por ano, e até mesmo os expandimos, nos nossos Relatórios de Transparência.

Também demonstramos nossa crença na transparência e nosso compromisso em proteger nossos clientes, iniciando litígios quando necessário. Em 2013, com a ajuda da Electronic Frontier Foundation, contestamos legalmente uma carta de segurança nacional (national security letter, NSL) dos EUA emitida administrativamente, de modo a proteger os direitos de nossos clientes devido a disposições que permitiam que o governo nos impedisse de divulgar informações sobre a NSL ao cliente afetado. A Cloudflare não forneceu informações sobre o cliente em resposta a essa solicitação. As disposições de confidencialidade permaneceram em vigor até que um tribunal exaltou as restrições em 2016.

Mais recentemente, em uma postagem no blog no Dia da Privacidade , em janeiro de 2020, declaramos nossa posição de que todas as solicitações governamentais de dados pessoais que estejam em conflito com as leis de privacidade do país de residência de uma pessoa devem ser legalmente contestadas. O EDPB reconheceu que o GDPR poderia representar um conflito dessa espécie em uma avaliação divulgada no ano passado. Nosso compromisso com a conformidade com o GDPR significa que a Cloudflare buscaria recursos legais antes de produzir dados identificados como estando sujeitos ao GDPR em resposta a uma solicitação de dados do governo dos EUA. De forma consistente com a jurisprudência e as estruturas estatutárias dos EUA existentes, a Cloudflare pode solicitar aos tribunais dos EUA que anulem uma solicitação das autoridades dos EUA de dados pessoais com base em tal conflito de leis.

Atualizamos nosso DPA padrão para nossos clientes com a finalidade e incorporar salvaguardas adicionais como compromissos contratuais. É possível visualizar esses compromissos contratuais na seção 7 do nosso DPA.

A Cloudflare continuará a disponibilizar as SCCs aos nossos clientes cujos dados estão sujeitos ao GDPR. Estamos acompanhando de perto os acontecimentos nessa área, bem como em torno de mecanismos de transferência alternativos.

Entendemos que, à luz do caso Schrems II, nossos clientes estão buscando garantias adicionais de que os dados sujeitos ao GDPR e transferidos aos EUA receberão proteção adequada no âmbito do GDPR. Discutimos essas salvaguardas adicionais acima.

Como o TJUE considerou várias autoridades de segurança nacional dos EUA em sua análise no caso Schrems II, vimos algumas perguntas sobre a aplicação dessas autoridades aos processadores de dados dos EUA. Explicar se, ou como, essas autoridades são relevantes para uma transferência de dados requer uma explicação adicional das autoridades mencionadas pelo TJUE.

Seção 702. A seção 702 da Lei de vigilância de inteligência estrangeira (Foreign Intelligence Surveillance Act, FISA) é uma autoridade que permite que o governo dos EUA solicite as comunicações de pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Uma vez que a autoridade é normalmente utilizada para recolher o conteúdo das comunicações, os “prestadores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na secção 702 são, em geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.

Conforme observado no nosso relatório de transparência, a Cloudflare normalmente não tem acesso a esse tipo de conteúdo do cliente tradicional. Além disso, a Cloudflare tem um compromisso público há muitos anos no sentido de que jamais fornecemos a nenhum governo um feed do conteúdo de nossos clientes que transita na nossa rede e que esgotaríamos todos os recursos legais se nos pedissem para fazer isso, para proteger nossos clientes do que acreditamos ser pedidos ilegais ou inconstitucionais.

Ordem Executiva 12333. A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições para obrigar a assistência de empresas dos EUA.

A Cloudflare tem um compromisso de longa data de exigir um processo legal antes de fornecer a qualquer entidade governamental acesso a dados de clientes fora de uma emergência. Portanto, não cumpriremos solicitações voluntárias de dados conforme a Ordem Executiva 12333. Além disso, a Cloudflare é líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o Universal SSL, tornando a criptografia (algo que costumava ser caro e difícil) gratuita para todos os clientes da Cloudflare. Na semana do lançamento, dobramos o tamanho da web criptografada. Devido a um número crescente de leis que tentam tratar da criptografia, até declaramos que jamais enfraquecemos, comprometemos ou subvertemos nossa criptografia a pedido de um governo ou outro terceiro.

A Cloudflare já implementou muitas das proteções adicionais recomendadas pelo EDPB no seu projeto de orientação (Recomendações 01/2020 sobre medidas que complementam as ferramentas de transferência, para assegurar a conformidade com o nível de proteção de dados pessoais da UE adotado em 10 de novembro de 2020), que ainda estão sob consulta até 21 de dezembro de 2020.

A Cloudflare tem um forte compromisso com a transparência e responsabilidade em relação ao processamento de dados pessoais, conforme descrito acima, e já atualizamos o nosso Adendo de processamento de dados (Data Processing Addendum, DPA) para assumir uma série dos nossos compromissos contratualmente vinculativos. Também continuamos a publicar o nosso relatório de transparência, o qual pode ser visualizado aqui: https://www.cloudflare.com/en-gb/transparency/. E, ainda, temos em vigor medidas de segurança e protocolos de criptografia eficazes, os quais podem ser visualizados no Anexo 2 do nosso DPA atualizado. A Cloudflare tem um compromisso com os nossos clientes europeus e estamos ansiosos para receber orientações finais do EDPB após o período de consulta.

Como sempre, continuamos a monitorar os desenvolvimentos contínuos neste período e asseguraremos nossa conformidade contínua com os artigos 44 e 46 do Regulamento Geral de Proteção de Dados (General Data Protection Regulation, GDPR) da UE. Durante esse período, prosseguiremos com os nossos compromissos nos termos dos DPAs existentes e nos termos em vigor conforme previstos nas Cláusulas contratuais padrão (Standard Contractual Clauses, SCCs).

Em 5 de outubro de 2020, atualizamos nosso Contrato de Assinatura por Autoatendimento de modo a incorporar o DPA padrão atualizado por referência. Além disso, se os dados pessoais que processamos em nome de um cliente de autoatendimento forem regidos pelo GDPR, o nosso DPA incorpora as cláusulas contratuais padrão da UE para esses dados. Por conseguinte, não é necessária qualquer ação para garantir que as cláusulas contratuais padrão estejam em vigor. Nosso DPA atualizado também incorpora as salvaguardas adicionais descritas acima.

Disponibilizamos nosso DPA atualizado no painel do cliente, e o DPA é incorporado por referência. Ao acessar o seu painel, vá para a aba Configurações e, em seguida, Preferências.

Em 1º de outubro de 2020, atualizamos nosso Contrato de Assinatura Enterprise (Enterprise Subscription Agreement, ESA) padrão para incorporar o DPA padrão atualizado por referência. Os Clientes Enterprise estarão sujeitos ao nosso ESA padrão se tiverem celebrado o ESA com a Cloudflare em 8 de agosto de 2019 ou posteriormente e não tiverem um contrato personalizado. Nenhuma ação é necessária para esses clientes, uma vez que o DPA atualizado é incorporado por referência no nosso ESA e, se os dados pessoais que processamos em nome do cliente forem regidos pelo GDPR, o nosso DPA incorpora as cláusulas contratuais padrão da UE. Nosso DPA atualizado também incorpora as proteções adicionais descritas acima. Nosso DPA padrão atualizado está disponível aqui.

Os clientes Enterprise com versões mais antigas do nosso ESA podem já ter as cláusulas contratuais padrão da UE em vigor com a Cloudflare. Se esse for o caso, então nenhuma ação é necessária, mas eles também podem concordar com o nosso DPA atualizado disponível no painel do cliente, pois inclui o nosso texto sobre proteção adicional. Os clientes que, anteriormente, contavam com as certificações do Escudo de Privacidade da UE-EUA e Suíça-EUA da Cloudflare, devem concordar com o nosso DPA atualizado disponível no painel do cliente. Ao acessar o seu painel, vá para a aba Configurações e, em seguida, Preferências. Favor revisar e aceitar o DPA.

Os clientes Enterprise que tenham um contrato personalizado com a Cloudflare e tiverem dúvidas a respeito do seu DPA devem entrar em contato com o gerente de Customer Success.

Estamos analisando cuidadosamente o novo esboço das SCCs da Comissão Europeia e aguardamos ansiosamente por um conjunto aprovado de SCCs após o período de consulta. Uma vez aprovadas, as novas SCCs contêm uma provisão transitória de um ano para permitir a implementação, e providenciaremos a implementação das novas SCCs aos nossos clientes durante esse período.

Sabemos que alguns de nossos clientes preferem que todos os dados pessoais sujeitos ao GDPR permaneçam na UE e não sejam transferidos para os EUA para processamento. Com isso em mente, anunciamos o Data Localization Suite, que ajuda as empresas a obter os benefícios de performance e segurança da rede global da Cloudflare e, ao mesmo tempo, facilita a definição de normas e controles periféricos sobre onde os seus dados são armazenados e protegidos.

O Data Localisation Suite reúne algumas ofertas existentes com alguns novos recursos:

• Serviços regionais. A Cloudflare tem data centers em mais de 200 cidades, localizadas em mais de 100 países. Juntamente com nossa solução Geo Key Manager, os Serviços Regionais permitem que os Clientes escolham as localizações dos data centers onde as chaves TLS são armazenadas e a desativação TLS ocorre. O tráfego é ingerido globalmente, com a aplicação de mitigações de DDoS L3/L4, já as funções de segurança, performance e confiabilidade (como WAF, CDN, mitigação de DDoS etc.) são executadas somente nos data centers da Cloudflare designados. Com os Serviços Regionais, alguns metadados ainda serão transmitidos ao nosso data center central em Portland, Oregon, nos Estados Unidos. Todavia, os únicos dados pessoais que coletamos nesses logs são os endereços de IP.

• Keyless SSL. O Keyless SSL permite que o cliente armazene e gerencie suas próprias chaves privadas de SSL para uso com a Cloudflare. Os clientes podem usar uma variedade de sistemas para seu armazenamento de chaves, inclusive módulos de segurança de hardware (hardware security modules, HSMs), servidores virtuais e hardware executando Unix/Linux e Windows que esteja alocado em ambientes controlados pelos clientes.

• Geo Key Manager. A Cloudflare tem uma base de clientes verdadeiramente internacional. Aprendemos que os clientes em todo o mundo têm diferentes exigências regulamentares e estatutárias, além de perfis de risco distintos, no que diz respeito ao posicionamento de suas chaves privadas. Com essa filosofia em mente, nos propusemos a desenvolver um sistema muito flexível para decidir onde as chaves podem ser mantidas. O Geo Key Manager permite que os clientes limitem a exposição de suas chaves privadas a determinados locais. É semelhante ao Keyless SSL mas, em vez de ter que executar um servidor de chaves dentro de sua infraestrutura, a Cloudflare hospeda servidores de chaves nos locais de sua escolha.

• Entrega de registro de borda. Os clientes podem enviar registros diretamente da borda para o parceiro de sua escolha — p. ex., um bucket de armazenamento Azure na sua região preferencial ou um recurso de Splunk executado em um data center local. Com essa opção, os clientes ainda podem obter seus registros completos na sua região preferencial, sem que esses registros primeiro fluam por meio de nossos data centers principais nos EUA ou na UE.

• Restrições de jurisdição para o Workers Durable Objects. Os Durable Objects são uma tecnologia de armazenamento e coordenação sem servidor que permite aos desenvolvedores gerenciar o estado sem sobrecarga de infraestrutura. As restrições de jurisdição asseguram que o processamento e armazenamento desses dados estejam em conformidade com as regulamentações locais e, ao mesmo tempo, evitem qualquer configuração de infraestrutura por parte dos desenvolvedores. Esse recurso ajuda as equipes de desenvolvimento a criar facilmente seus próprios aplicativos globais compatíveis.

Conforme descrito no nosso Relatório de Transparência, a Cloudflare exige um processo legal válido antes de fornecer as informações pessoais de nossos clientes a entidades governamentais ou litigantes civis, salvo em caso de emergência. Não fornecemos informações pessoais de nossos clientes a representantes do governo em resposta a solicitações que não incluem processos legais.

Para garantir que nossos clientes tenham a oportunidade de fazer valer seus direitos, é política da Cloudflare notificá-los sobre uma intimação ou outro processo legal que solicite suas informações antes da divulgação dessas informações, seja o processo legal proveniente do governo ou de partes privadas envolvidas em um litígio cível, salvo se proibido por lei. Especificamente, o nosso DPA declara que, salvo se proibido por lei, notificaremos os Clientes se conseguirmos identificar que o processo legal de terceiros que solicita dados pessoais que processamos em nome desse Cliente provoca um conflito de leis, por exemplo, quando os dados pessoais são regidos pelo GDPR. Os Clientes notificados de uma solicitação legal pendente de seus dados pessoais podem procurar intervir para impedir que sejam divulgados.

Além disso, a lei dos EUA forneceu mecanismos para que as empresas contestem pedidos que apresentem potenciais conflitos de leis, como uma solicitação legal de dados sujeitos ao GDPR. A Lei de Esclarecimento do uso legal de dados no exterior (Clarifying Legal Overseas Use of Data, CLOUD), por exemplo, oferece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare comprometeu-se a contestar legalmente quaisquer ordens que representem tal conflito de leis. Até o momento, não recebemos ordens que identificamos como apresentando tal conflito.

Temos prestado muita atenção às discussões sobre proteção de dados em torno da Brexit e do Reino Unido que saem da União Europeia, em vigor a partir de 1.º de janeiro de 2021, e tomamos medidas para assegurar que estamos preparados para a adoção do GDPR na legislação local do Reino Unido. A Cloudflare continuará a utilizar o mecanismo das SCCs, as quais estão incluídas no nosso DPA padrão, para transferir dados pessoais para fora do Reino Unido e do Espaço Econômico Europeu (EEE). Consulte nossas instruções acima para assegurar que você tenha o devido DPA em vigor. Continuamos a monitorar os desenvolvimentos contínuos nesse período e asseguraremos nossa conformidade contínua com os regulamentos globais e de proteção de dados do Reino Unido.