A Cloudflare e a conformidade com a APPI

A Cloudflare é uma empresa de segurança, desempenho e confiabilidade sediada nos Estados Unidos (EUA). Nossas operações globais, que incluem um escritório no Japão, fornecem uma ampla gama de serviços de rede a empresas de todos os tamanhos e todas as regiões geográficas. Ajudamos a tornar os sites e aplicativos de internet de nossos clientes mais seguros, aprimoramos o desempenho de seus aplicativos críticos para os negócios e eliminamos o custo e a complexidade do gerenciamento de hardwares de rede individuais. A Rede Global da Cloudflare, alimentada por mais de 270 servidores de borda em todo o mundo conforme descrito aqui, serve como uma base sobre a qual podemos desenvolver e implantar rapidamente nossos produtos para nossos clientes.

A Cloudflare não tem acesso nem exerce qualquer controle sobre os dados que seus clientes optam por transmitir, rotear, migrar e armazenar em cache por meio da nossa Rede Global. Em um número limitado de casos, os produtos da Cloudflare podem ser usados para armazenamento de conteúdo. No entanto, independentemente dos serviços da Cloudflare que utilizam, nossos clientes são totalmente responsáveis por sua própria conformidade com a legislação aplicável e seus acordos contratuais independentes no que diz respeito aos dados que optam por transmitir, rotear, trocar e armazenar em cache, ou armazenar por meio da Rede Global da Cloudflare.

Os tipos de dados pessoais que a Cloudflare processa em nome de um cliente dependem de quais serviços da Cloudflare são implementados. A grande maioria dos dados que transitam na Rede da Cloudflare permanece nos servidores de borda da Cloudflare, enquanto os metadados referentes a essa atividade são processados em nome de nossos clientes em nossos data centers principais nos EUA e na Europa.

A Cloudflare mantém dados de registros sobre os eventos em nossa Rede. Alguns desses dados de registros incluirão informações sobre visitantes e/ou usuários autorizados dos domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) ou aplicativos de um cliente, incluindo o produto Cloudflare Zero Trust, conforme aplicável. Esses metadados contêm dados pessoais extremamente limitados, na maioria das vezes na forma de endereços de IP. Processamos esse tipo de informações em nome de nossos clientes nos nossos data centers principais nos EUA e na Europa por um período limitado.

Para a Cloudflare, a segurança é um elemento essencial para garantir a privacidade de dados. Desde o lançamento da Cloudflare em 2010, lançamos uma série de tecnologias de ponta que aprimoram a privacidade, normalmente à frente das demais empresas do ramo. Entre outras coisas, essas ferramentas permitem aos nossos clientes criptografar facilmente o conteúdo das comunicações por meio de SSL universal, criptografar os metadados em comunicações usando DNS sobre HTTPS ou DNS sobre TLS e SNI criptografado, bem como controlar onde suas chaves SSL são mantidas ou onde seu tráfego é inspecionado.

A Cloudflare mantém um programa de segurança de acordo com os padrões do setor. Nosso programa de segurança inclui mantermos políticas e procedimentos formais de segurança, estabelecermos controles de acesso lógicos e físicos adequados e implementarmos salvaguardas técnicas nos ambientes corporativos e de produção, incluindo o estabelecimento de configurações seguras, transmissão e conexões seguras, registros em log, monitoramento e a adoção de tecnologias de criptografia adequadas para dados pessoais.

Todos os funcionários da Cloudflare devem cursar um treinamento de integração que inclui a segurança da privacidade e da informação, seguido de retreinamentos anuais.

Atualmente mantemos as seguintes validações: conformidade com o ISO 27001, ISO 27701, SOC 2 Tipo II e PCI DSS Nível 1. Também mantemos um relatório SOC 3. Para saber mais sobre nossas certificações, clique aqui.

Para conferir as medidas de segurança que a Cloudflare oferece para a proteção de dados pessoais, incluindo dados pessoais transferidos do Japão para os EUA, consulte o Apêndice 2 do nosso DPA padrão.

O Adendo ao Processamento de Dados (DPA) da Cloudflare — que cobre nossas obrigações relativas ao processamento de dados pessoais em nome de nossos clientes e está incorporado por referência ao nosso Contrato de Prestações de Serviços Enterprise e ao nosso Acordo de Autosserviço de Assinatura — é considerado um equivalente padrão para legitimar transferências transfronteiriças ao abrigo do artigo 24 da APPI. Além disso:

• Pais de destino da transferência: a Cloudflare processa dados em toda a sua Rede global e os metadados podem ser armazenados em nossos data centers nos Estados Unidos e na UE. As transferências para o data center dos EUA são limitadas aos metadados de tráfego para zonas de clientes conforme o necessário para fornecer vários de nossos serviços de segurança.

• Medidas de segurança: as medidas de segurança da Cloudflare estão listadas no Apêndice 2 do nosso DPA;

• Confirmação: a Cloudflare valida nossas medidas de segurança periodicamente conforme demonstrado pelas certificações que mantemos, descritas acima;

• Limitação de Finalidade: somente processamos dados pessoais de acordo com as instruções de nossos clientes. Não vendemos, retemos, usamos nem divulgamos dados pessoais para qualquer finalidade que não seja a execução dos serviços da Cloudflare e não perfilamos, monitoramos nem usamos dados dos usuários finais de nossos clientes para nenhuma finalidade de marketing ou publicidade;

• Notificação de Violação: sem nenhum atraso indevido, a Cloudflare notifica os clientes afetados sobre Violações de Dados Pessoais (conforme definidas em nosso DPA) e oferece cooperação e assistência na medida do razoável aos clientes em questão no que diz respeito à Violação de Dados Pessoais.

• Subprocessadores: nossos subprocessadores incluem nossas subsidiárias, com exceção da nossa subsidiária chinesa. Nenhum dado de nossos clientes ou de nossa Rede em âmbito global fica acessível para os funcionários de nossa subsidiária chinesa.

Os Estados Unidos não contam com uma lei de privacidade abrangente válida em todo o território nacional. Em vez disso, os EUA adotam uma abordagem de privacidade e proteção de dados específica para cada setor. Por exemplo, os EUA têm leis federais que regem a privacidade das informações sobre saúde pessoal (a Lei de Portabilidade e Responsabilidade de Seguros de Saúde, ou “HIPAA”), as informações processadas por instituições financeiras (a Lei Gramm-Leach-Bliley, ou “GLBA”) e instituições educacionais (a Lei de Privacidade e Direitos Educacionais da Família, ou “FERPA”). Além disso, a Comissão Federal de Comércio dos EUA (“FTC”) tem poderes para investigar e aplicar a lei de forma a proteger os consumidores contra práticas comerciais injustas e enganosas. Esse poder da FTC vem sendo usado para agir contra empresas que falham em implementar medidas de segurança de dados na medida do razoável ou fazem declarações substancialmente imprecisas ou enganosas referentes à privacidade e à segurança, incluindo políticas de segurança.

A Cloudflare publica periodicamente um Relatório de Transparência detalhando as solicitações de divulgação recebidas e explicando como iremos responder. Em termos gerais, se recebermos uma solicitação de qualquer agência governamental ou autoridade policial solicitando dados de nossos clientes, assumimos um compromisso em nosso DPA no sentido de, salvo se proibido por lei, notificarmos nossos clientes a respeito de tal solicitação. Os clientes notificados a respeito de uma solicitação judicial pendente podem tentar intervir para evitar a divulgação de seus dados pessoais. Na eventualidade de identificarmos que tal solicitação apresenta um conflito de leis — como no caso de o sujeito da solicitação residir em uma jurisdição fora dos EUA — assumimos um compromisso em nosso DPA no sentido de reagirmos contra tais solicitações e buscarmos uma solução legal.

Seção 702. A seção 702 da Lei de Vigilância de Inteligência Estrangeira confere autoridade ao governo dos EUA para solicitar comunicações de pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Como o instrumento é normalmente utilizado para coletar o conteúdo de comunicações, os “provedores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na seção 702 são, de modo geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.

Conforme observado no nosso Relatório de Transparência, a Cloudflare não tem acesso a esse tipo de conteúdo tradicional de clientes para os fins de seus serviços básicos. Além disso, a Cloudflare há vários anos assumiu um compromisso público no sentido jamais fornecer a nenhum governo um feed de conteúdo de nossos clientes em trânsito por nossa Rede e que esgotaríamos todos os recursos legais caso nos pedissem para fazê-lo, de modo a proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais.

Ordem Executiva 12333. A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições para obrigar a assistência de empresas dos EUA.

A Cloudflare tem um compromisso de longa data de exigir um processo legal antes de fornecer a qualquer entidade governamental acesso a dados de clientes caso não se trate de uma emergência. Portanto, não cumpriremos solicitações voluntárias de dados conforme a Ordem Executiva 12333. Além disso, a Cloudflare é líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o Universal SSL, tornando a criptografia — que costumava ser cara e difícil — gratuita para todos os clientes da Cloudflare. Na semana do lançamento, dobramos o tamanho da web criptografada. Devido a um número crescente de leis que tentam tratar da criptografia, até declaramos que jamais enfraquecemos, comprometemos ou subvertemos nossa criptografia a pedido de um governo ou outro terceiro.

Lei CLOUD. A Lei CLOUD (Clarifying Lawful Overseas Use of Data [Esclarecimento do Uso Legítimo de Dados no Exterior]) não amplia o alcance da autoridade investigativa dos EUA. As rigorosas exigências para que as autoridades policiais obtenham um mandado de busca válido permanecem inalterados. A Lei CLOUD também se aplica ao acesso a conteúdo que, de modo geral, não armazenamos, conforme descrito acima. É importante observar que, usualmente, as autoridades policiais buscam obter dados junto à entidade que exerce um controle efetivo sobre esses dados (isto é, nossos clientes) e não junto aos provedores de nuvem.

A Lei CLOUD fornece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare mantém um compromisso no sentido de contestar judicialmente quaisquer ordens judiciais que representem tais conflitos de leis. Até o momento não recebemos nenhuma ordem judicial que identificamos como representando conflitos dessa natureza.

Para terminar, tenham em mente que o nosso DPA assume um compromisso no sentido de que, salvo se proibido por lei, notificaremos o cliente se conseguirmos identificar que um processo judicial de terceiros que solicite os dados pessoais que processamos em nome desse cliente resulta em um conflito de leis. Os clientes notificados a respeito de uma solicitação judicial pendente podem tentar intervir para evitar a divulgação de seus dados pessoais.

Como acreditamos que ganhar e manter a confiança do cliente é essencial, a Cloudflare já tinha salvaguardas de proteção de dados em vigor muito antes das alterações da APPI em 2022. Quando emitimos nosso primeiro relatório de transparência em 2014 para processos judiciais recebidos em 2013, prometemos que exigiríamos um processo judicial antes de fornecer a qualquer entidade governamental quaisquer dados de clientes caso não se tratasse de uma emergência e que notificaríamos nossos clientes em caso de qualquer processo judicial que solicitasse suas informações de cliente ou de faturamento antes de divulgarmos tais informações, salvo se proibido por lei. Declaramos publicamente que jamais entregamos chaves de criptografia a nenhum governo, fornecemos a qualquer governo um feed de conteúdo em trânsito na nossa Rede nem implantamos equipamentos policiais na nossa Rede. Também prometemos que, se nos pedissem para realizar qualquer uma dessas ações, “esgotaríamos todos os recursos legais para proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais”. Desde os primeiros dias da história da Cloudflare, reafirmamos esses compromissos duas vezes por ano e até mesmo os expandimos em nossos Relatórios de Transparência.

Também demonstramos nossa crença na transparência e nosso compromisso em proteger nossos clientes, iniciando litígios quando necessário. Em 2013, com a ajuda da Electronic Frontier Foundation, contestamos legalmente uma carta de segurança nacional (national security letter, NSL) dos EUA emitida administrativamente, de modo a proteger os direitos de nossos clientes devido a disposições que permitiam que o governo nos impedisse de divulgar informações sobre a NSL ao cliente afetado. A Cloudflare não forneceu informações sobre o cliente em resposta a essa solicitação. As disposições de confidencialidade permaneceram em vigor até que um tribunal exaltou as restrições em 2016.

Com frequência reafirmamos nossa posição no sentido de que todas as solicitações governamentais de dados pessoais que estejam em conflito com as leis de privacidade do país de residência de uma pessoa devem ser contestadas judicialmente (confira, como um exemplo, nosso Relatório de Transparência e nosso artigo técnico Políticas da Cloudflare relativas à privacidade de dados e às solicitações das autoridades no que se refere a solicitações de dados por parte do governo). Em consonância com a jurisprudência e as estruturas estatutárias existentes nos EUA, a Cloudflare pode solicitar aos tribunais dos EUA que anulem uma solicitação de dados pessoais por parte das autoridades dos EUA com base em tal conflito de leis.

Atualizamos nosso DPA padrão para nossos clientes de forma a incorporar o acréscimo das medidas complementares descritas acima e salvaguardas adicionais como compromissos contratuais. Você pode conferir esses compromissos contratuais na seção 7 do nosso DPA.