Cloudflare y la conformidad con el RGPD

Cloudflare es una empresa de soluciones de seguridad, rendimiento y fiabilidad con sede en Estados Unidos. Cuenta con operaciones internacionales, incluidas cinco oficinas en Europa, y presta una amplia gama de servicios de red a empresas de todos los tamaños y en todas las geografías. Ayudamos a mejorar la seguridad de los sitios y aplicaciones web de nuestros clientes, optimizamos el rendimiento de sus aplicaciones esenciales para el negocio y eliminamos el coste y la complejidad de la gestión del hardware de red individual. La red global de Cloudflare, que cuenta con servidores perimetrales en más de 300 ciudades de todo el mundo, como se describe aquí, sirve como base sobre la que podemos desarrollar e implementar rápidamente nuestros productos para nuestros clientes.

Los tipos de datos personales que Cloudflare procesa en nombre de un cliente dependen de los servicios de Cloudflare que se implementen. En el caso de nuestros servicios para aplicaciones y servicios de red más populares, Cloudflare no almacena el contenido del cliente, ni tenemos ningún control sobre los datos que nuestros clientes deciden transmitir, enrutar, cambiar y almacenar en caché a través de nuestra red global. En un número limitado de casos, los productos de Cloudflare se pueden utilizar para almacenar contenido. Sin embargo, independientemente de los servicios de Cloudflare que utilicen, nuestros clientes son totalmente responsables del cumplimiento de la legislación vigente y de sus acuerdos contractuales independientes en relación con los datos que elijan transmitir, enrutar, conmutar, almacenar en caché o guardar a través de la red global de Cloudflare.

Para nuestros servicios para aplicaciones y servicios de red, la gran mayoría de los datos que transitan por la red de Cloudflare permanecen en los servidores perimetrales de Cloudflare. Los metadatos sobre esta actividad se procesan en nombre de nuestros clientes en nuestros centros de datos de Estados Unidos y Europa.

Cloudflare mantiene los datos de registro de eventos en nuestra red. Algunos de estos datos de registro incluyen información sobre los visitantes o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones (API) o aplicaciones de los clientes, incluido nuestro producto Cloudflare Zero Trust, según proceda. Estos metadatos contienen muy poca información personal, principalmente en forma de direcciones IP. Procesamos este tipo de información en nombre de nuestros clientes en nuestros principales centros de datos de Estados Unidos y Europa durante un periodo de tiempo limitado.

Cloudflare considera la seguridad como un elemento fundamental para garantizar la privacidad de los datos. Desde que Cloudflare inició su andadura en 2010, hemos sacado al mercado una serie de tecnologías de última generación que mejoran la privacidad, normalmente adelantándonos al resto del sector. Entre otras cosas, estas herramientas permiten a nuestros clientes encriptar fácilmente el contenido de las comunicaciones mediante Universal SSL: encriptar o proteger de otro modo los metadatos de las comunicaciones utilizando nuevos protocolos como DNS-sobre-HTTPS, DNS-sobre-TLS y Oblivious HTTP, y controlar dónde se guardan sus claves SSL o dónde se inspecciona su tráfico.

Cloudflare mantiene un programa de seguridad que supera los estándares del sector. El programa de seguridad incluye el mantenimiento de políticas y procedimientos de seguridad formales, el establecimiento de controles de acceso lógico y físico adecuados, y la implementación de garantías técnicas en entornos corporativos y de producción, tales como el establecimiento de configuraciones seguras, la transmisión y las conexiones seguras, el registro, la supervisión y la posesión de tecnologías de encriptación adecuadas para datos personales.

Actualmente, mantenemos las siguientes validaciones: conformidad con ISO 27001, ISO 27701, ISO 27018, SOC 2 Tipo II y PCI DSS nivel 1. También estamos certificados según el Código de conducta de la nube de la Unión Europea y la norma C5 2020 de Alemania. Más información sobre nuestras certificaciones e informes aquí.

Para ver las medidas de seguridad que Cloudflare ofrece para la protección de datos personales, incluidos los datos personales transferidos desde el Espacio Económico Europeo ("EEE") a los EE. UU., consulta el Anexo 2 de nuestro DPA estándar.

El Reglamento general de protección de datos (RGPD) proporciona una serie de mecanismos legales para garantizar que haya salvaguardias adecuadas, derechos protegidos jurídicamente y vías legales efectivas disponibles para los interesados europeos cuyos datos personales se transfieran desde el EEE a un tercer país que no esté cubierto por el RGPD o que se considere que no cuente con leyes adecuadas de protección de datos.

Esos mecanismos incluyen:

• Cuando la Comisión Europea haya decidido que un tercer país garantiza un nivel de protección adecuado tras evaluar el estado de derecho de ese país, el respeto de los derechos humanos y las libertades fundamentales, y una serie de factores adicionales;

• Cuando un responsable o encargado del tratamiento de datos haya establecido normas corporativas vinculantes;

• Cuando un responsable o encargado del tratamiento de datos haya establecido cláusulas de protección de datos tipo adoptadas por la Comisión; o

• Cuando un responsable o encargado del tratamiento de datos haya establecido un código de conducta aprobado o un mecanismo de certificación aprobado.

Cuando Cloudflare transfiere internacionalmente datos personales desde el EEE, Suiza o el Reino Unido, nos basamos en las cláusulas contractuales tipo de la Comisión Europea (en lo sucesivo, "CCT"), incluidas las medidas complementarias que sean necesarias, o, para las transferencias a los Estados Unidos, también hemos certificado nuestra conformidad con el marco de privacidad de datos UE-EE .UU. (en lo sucesivo, "MPD UE-EE. UU."), el marco de privacidad de datos Suiza-EE. UU. (en lo sucesivo, "MPD Suiza-EE. UU.") y la extensión del Reino Unido del MPD UE-EE. UU. Nuestro anexo de procesamiento de datos (en lo sucesivo, "DPA") estándar seguirá incorporando las CCT de la Unión Europea para garantizar que disponemos de numerosas bases jurídicas para el procesamiento de datos.

Sí. Cuando Cloudflare transfiere datos personales desde el Espacio Económico Europeo (EEE), Suiza o el Reino Unido a Estados Unidos, nos basamos en nuestras certificaciones en virtud del marco de privacidad de datos UE-EE. UU., el marco de privacidad de datos Suiza-EE. UU. y la extensión del Reino Unido al DPF UE-EE. UU., respectivamente. En caso de que estas certificaciones caduquen o queden invalidadas, Cloudflare se basará en las cláusulas contractuales tipo de la Unión Europea, incluidas las medidas complementarias necesarias para las transferencias a Estados Unidos. También utilizamos las cláusulas contractuales tipo para otras transferencias internacionales desde el Espacio Económico Europeo (EEA), Suiza o el Reino Unido.

En octubre de 2022, el presidente de Estados Unidos Biden firmó el decreto 14086 (en lo sucesivo, "EO 14086"), que aplicaba nuevas salvaguardias para las actividades de inteligencia de señales de Estados Unidos con el fin de posibilitar el marco de privacidad de datos UE-EE .UU. Sobre la base de las protecciones ofrecidas por la EO 14086, la Comisión Europea concluyó que el MPD UE-EE. UU. era adecuado. Es importante destacar que estas protecciones se aplican por igual a todas las transferencias: las realizadas en virtud de uno de los MPD o las realizadas en virtud de las cláusulas contractuales tipo de la Unión Europea (véase la "Nota informativa sobre las transferencias de datos en virtud del Reglamento general de protección de datos (en lo sucesivo, RGPD) a Estados Unidos tras la adopción de la decisión de adecuación el 10 de julio de 2023" del Comité Europeo de Protección de Datos (en lo sucesivo, CEPD).

Las protecciones implementadas por la EO 14086 incluyen salvaguardias para garantizar que la privacidad y las libertades civiles son consideraciones integrales, de modo que (i) las actividades de información de señales solo se llevarán a cabo cuando sean "necesarias" para avanzar en una prioridad de inteligencia validada, y (ii) solo se llevarán a cabo en la medida y de una manera que sea "proporcionada" a la prioridad de inteligencia validada. La EO 14086 también proporciona un mecanismo de recurso de varios niveles para que las personas obtengan una revisión y reparación independientes y vinculantes de las reclamaciones de que su información personal recopilada a través de la inteligencia de señales de Estados Unidos se procesó de un modo que viola sus derechos de privacidad.

Porque creemos que ganarse y mantener la confianza de los clientes es esencial, Cloudflare cuenta con salvaguardias de protección de datos desde mucho antes del caso "Schrems II" (Asunto C-311/18, Comisario de Protección de Datos vs. Facebook Irlanda y Maximillian Schrems), incluidas muchas de las salvaguardias adicionales recomendadas por el CEPD en sus orientaciones posteriores a Schrems II (Recomendaciones 01/2020 sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la Unión Europea adoptado el 18 de junio de 2021).

Cloudflare tiene un compromiso firme con la transparencia y la responsabilidad en relación con el procesamiento de datos personales, como se ha descrito anteriormente, y nuestro DPA hace que muchos de estos compromisos sean vinculantes. Cuando publicamos nuestro primer informe de transparencia en 2014 para los procedimientos judiciales recibidos en 2013, nos comprometimos a exigir un procedimiento judicial antes de facilitar información sobre nuestros clientes a cualquier entidad gubernamental, salvo en casos de emergencia, y a notificar a nuestros clientes cualquier procedimiento judicial en el que se solicitara su información de cliente o de facturación antes de revelarla, salvo prohibición legal. Hemos declarado públicamente que nunca hemos entregado claves de encriptación a ningún gobierno, ni proporcionado a ningún gobierno fuentes de contenido que transiten por nuestra red o implementado equipamiento de control policial en nuestra red. También nos comprometimos a que si se nos pedía que hiciéramos alguna de esas acciones, "agotaríamos todos los recursos legales para proteger a nuestros clientes de lo que creemos que son solicitudes ilegales o inconstitucionales". Desde nuestros inicios, hemos reafirmado esos compromisos dos veces al año, e incluso los hemos ampliado, en nuestros informes de transparencia.

También hemos demostrado nuestra creencia en la transparencia y nuestro compromiso de proteger a nuestros clientes, presentando demandas cuando es necesario. En 2013, con la ayuda de la Electronic Frontier Foundation, impugnamos una carta de seguridad nacional (NSL) emitida con carácter administrativo por EE. UU., para proteger los derechos de nuestro cliente, debido a las disposiciones mediante las que el Gobierno nos impedía revelar información de la NSL al cliente afectado. Cloudflare no proporcionó información del cliente en respuesta a esa solicitud, pero las disposiciones de no revelación siguieron en vigor hasta que un tribunal levantó las restricciones en 2016.

Hemos reiterado en muchas ocasiones nuestra postura de que cualquier requerimiento gubernamental de datos personales que entre en conflicto con las legislación en materia de privacidad del país de residencia de una persona debe ser impugnada legalmente. (Consulta, por ejemplo, nuestro informe de transparencia y nuestro documento técnico Políticas de privacidad y gestión de los requerimientos gubernamentales de información.) El CEPD reconoció que el RGPD podría plantear este conflicto en esta evaluación. Nuestro compromiso con el cumplimiento del RGPD significa que Cloudflare recurrirá a medidas legales antes de elaborar datos de los que se haya comprobado que son objeto del RGPD en respuesta a una solicitud de datos del Gobierno de EE. UU. En consonancia con la jurisprudencia y los marcos legales vigentes en EE. UU., Cloudflare puede pedir a los tribunales estadounidenses que anulen los requerimientos de datos personales de las autoridades, de acuerdo con ese conflicto de legislaciones.

Nuestro anexo estándar de procesamiento de datos (en lo sucesivo "DPA") para nuestros clientes incorpora las medidas y salvaguardas suplementarias descritas anteriormente como compromisos contractuales. Puedes ver estos compromisos contractuales en la sección 7 de nuestro DPA. Por último, pero no por ello menos importante, contamos con sólidas medidas de seguridad y protocolos de encriptación, que se pueden consultar en el anexo 2 de nuestro DPA.

Seguiremos aplicando estas medidas y salvaguardias complementarias, además de las salvaguardias adicionales que ofrece la EO 14086.

Como siempre, seguimos haciendo un seguimiento continúo de la evolución actual en este ámbito y nos aseguraremos de cumplir los artículos 44 y 46 del RGPD de la Unión Europea. Durante este tiempo, seguiremos cumpliendo nuestros compromisos en virtud de los actuales DPA, y nuestros compromisos en virtud de las actuales CCT, y nuestros compromisos en virtud de nuestra certificación para la certificación de los marcos de privacidad de datos.

Creemos que los requerimientos de los datos personales de un individuo extranjero por parte del Gobierno de EE. UU. que entren en conflicto con la legislación en materia de privacidad del país de residencia de dicho individuo (como el RGPD en la UE) deben ser impugnados legalmente.

La Ley CLOUD no amplía el poder de la autoridad de investigación de los Estados Unidos. Los estrictos requisitos para que las fuerzas del orden obtengan una orden judicial válida permanecen sin cambios. La Ley CLOUD también se aplica al acceso a los contenidos, que por lo general no almacenamos, como se ha descrito anteriormente. Además, la ley CLOUD no cambia las prácticas vigentes cuando las fuerzas de seguridad de Estados Unidos intentan acceder a los datos de las empresas. Es importante señalar que las fuerzas del orden suelen tratar de obtener los datos de la entidad que tiene el control efectivo de los mismos (es decir, nuestros clientes) y no de los proveedores de soluciones en la nube. En caso de que las fuerzas de seguridad soliciten dichos datos a Cloudflare, les animaríamos a que los solicitaran a nuestro cliente en lugar de a nosotros.

Creemos que puede ser útil ofrecer más detalles sobre las autoridades de seguridad nacional estadounidenses a las que hace referencia el Tribunal de Justicia de la Unión Europea (TJEU) en su análisis de la decisión "Schrems II" (Asunto C-311/18, Comisario de Protección de Datos vs. Facebook Irlanda y Maximillian Schrems).

Sección 702. La sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (FISA) es una autorización que permite al Gobierno de EE. UU. solicitar las comunicaciones de personas extranjeras que no residan en Estados Unidos para fines relacionados con la actividad de inteligencia extranjera. El Gobierno de EE. UU. esgrime la sección 702 para recopilar contenido de las comunicaciones mediante elementos específicos, como las direcciones de correo electrónico, asociados a objetivos de inteligencia extranjeros concretos. Debido a que la autorización se utiliza, en general, para recopilar el contenido de las comunicaciones, los "proveedores de servicios de comunicaciones electrónicas" a los que se les pide que cumplan con la sección 702 son generalmente proveedores de correo electrónico u otros proveedores con acceso al contenido de las comunicaciones.

Como se indica en nuestro informe de transparencia, Cloudflare no tiene acceso a este tipo de contenido de los clientes en nuestros principales servicios. Además, Cloudflare ha mantenido el compromiso público durante muchos años de no proporcionar a ningún gobierno la fuente del contenido de nuestros clientes que transite por nuestra red, y de agotar todos los recursos legales si se nos solicitara hacerlo, para proteger a nuestros clientes de lo que creemos que son peticiones ilegales o inconstitucionales.

Orden ejecutiva 12333. La Orden ejecutiva 12333 rige la recopilación de información de inteligencia extranjera por parte de los organismos de inteligencia de los Estados Unidos, con personas no estadounidenses ubicadas fuera de Estados Unidos como objetivo. La Orden Ejecutiva 12333 no cuenta con disposiciones para obligar a que las empresas estadounidenses presten asistencia.

Cloudflare mantiene un compromiso de larga duración de requerir un procedimiento judicial antes de proporcionar a cualquier entidad gubernamental acceso a los datos de los clientes, excepto en casos de emergencia. Por lo tanto, no cumpliríamos con las solicitudes voluntarias de datos bajo la Orden ejecutiva 12333. Además, Cloudflare ha sido líder en el fomento de una mayor seguridad para los datos en tránsito, tanto para el contenido como para los metadatos, a fin de evitar que los datos personales sean objeto de cualquier tipo de intromisión. En 2014, por ejemplo, lanzamos Universal SSL, lo que hizo que la encriptación, antes costosa y difícil, fuera gratuita para todos los clientes de Cloudflare. La semana que lo lanzamos, duplicamos el tamaño de la web cifrada. Debido al creciente número de leyes que intentan atacar la encriptación, incluso nos hemos comprometido a no debilitar, comprometer o subvertir ninguna de nuestras encriptaciones a petición de un gobierno u otra tercera parte.

Cuando Cloudflare transfiere internacionalmente datos personales desde el EEE, Suiza o el Reino Unido, nos basamos en las cláusulas contractuales tipo de la Unión Europea (en lo sucesivo, "CCT"), incluidas las medidas complementarias que sean necesarias, o, para las transferencias a los Estados Unidos, también hemos certificado nuestra conformidad con el marco de privacidad de datos UE-EE. UU. (en lo sucesivo, "MPD UE-EE. UU."), el marco de privacidad de datos Suiza-EE. UU. (en lo sucesivo, "MPD Suiza-EE. UU.") y la extensión del Reino Unido del MPD UE-EE. UU. Estas declaraciones están incluidas en nuestro DPA estándar, que se incorpora por referencia a nuestro Acuerdo de suscripción de autoservicio. En la medida en que la transferencia de datos personales requiera las CCT, entonces nuestro DPA incorpora las CCT para estos datos. Por lo tanto, no se requiere ninguna medida para garantizar que existen los mecanismos adecuados de transferencia transfronteriza de datos.

Cuando Cloudflare transfiere internacionalmente datos personales desde el EEE, Suiza o el Reino Unido, nos basamos en las cláusulas contractuales tipo de la Unión Europea (en lo sucesivo, "CCT"), incluidas las medidas complementarias que sean necesarias, o, para las transferencias a los Estados Unidos, también hemos certificado nuestra conformidad con el marco de privacidad de datos UE-EE .UU. (en lo sucesivo, "MPD UE-EE. UU."), el marco de privacidad de datos Suiza-EE. UU. (en lo sucesivo, "MPD Suiza-EE. UU.") y la extensión del Reino Unido del MPD UE-EE. UU. Estas declaraciones están incluidas en nuestro DPA estándar, que se incorpora a nuestro Acuerdo de suscripción Enterprise estándar. Por lo tanto, no es necesario tomar ninguna medida para garantizar que existen los mecanismos adecuados de transferencia transfronteriza de datos.

Los clientes Enterprise están sujetos a nuestro Acuerdo de suscripción Enterprise estándar si iniciaron su acuerdo con Cloudflare el 8 de agosto de 2019, o en una fecha posterior, y no tienen un acuerdo personalizado. Es posible que los clientes Enterprise con versiones anteriores de nuestro Acuerdo de suscripción Enterprise o Acuerdos de suscripción Enterprise personalizados o DPA personalizados no tengan documentado el mecanismo de transferencia transfronteriza de datos. Estos clientes o cualquier otro cliente de empresa que tenga preguntas sobre su DPA puede ponerse en contacto con su gestor de Customer Success.

Reconocemos que algunos de nuestros clientes preferirían que los datos personales sujetos al RGDP (o sus equivalentes en el Reino Unido o Suiza) permanecieran en la Unión Europea y no se transfirieran a Estados Unidos para su procesamiento. A tal fin, hemos presentado la solución Data Localization Suite de Cloudflare, que permite a las empresas aprovechar las ventajas de rendimiento y seguridad de la red global de Cloudflare, facilitando al mismo tiempo la creación de reglas y controles en el perímetro sobre el lugar donde se almacenan y protegen sus datos.

Además, combina algunas ofertas existentes con algunas funciones nuevas:

a) Regional Services. Cloudflare cuenta con centros de datos en más de 300 ciudades y más de 100 países. Regional Services, junto con nuestra solución Geo Key Manager, permite que los clientes elijan las ubicaciones de los centros de datos donde se almacenan las claves TLS y donde se produce la terminación de TLS. El tráfico se recibe a nivel global, para lo que se aplican medidas de mitigación de DDoS de capas 3 y 4, mientras que las funciones de seguridad, rendimiento y fiabilidad (como WAF, CDN, mitigación de DDoS, etc.) se sirven únicamente en centros de datos de Cloudflare específicos.

b) Metadata Boundary. Metadata Boundary garantiza que los metadatos del tráfico del usuario final que puedan identificar a un cliente permanezcan en la Unión Europea. Esto incluye todos los registros y los análisis que puede ver un cliente. Se consigue garantizando que los metadatos del usuario final que puedan identificar a un cliente circulen a través de un único servicio en nuestro perímetro, antes de que se reenvíen a uno de nuestros centros de datos centrales. Cuando se activa Metadata Boundary para un cliente, nuestro perímetro garantiza que cualquier mensaje de registro que identifique a ese cliente (es decir, que contenga el Id. de cuenta de ese cliente) no se transfiera fuera de la Unión Europea. Solo se enviará a nuestro centro de datos principal en la Unión Europea.

c) SSL sin clave. Permite a un cliente almacenar y administrar sus propias claves privadas SSL para su uso con Cloudflare. Los clientes pueden utilizar una variedad de sistemas para su depósito de claves, incluidos módulos de seguridad de hardware ("HSM"), servidores virtuales y hardware compatible con Unix/Linux y Windows y que esté alojado en entornos controlados por los clientes.

d) Geo Key Manager. Cloudflare tiene una base de clientes internacional y hemos aprendido que los clientes de todo el mundo tienen diferentes requisitos normativos y legales, además de diferentes perfiles de riesgo, con respecto a la colocación de sus claves privadas. Con esa filosofía en mente, nos propusimos diseñar un sistema muy flexible para decidir dónde se pueden guardar las claves. Geo Key Manager permite que los clientes limiten la exposición de sus claves privadas a ciertos lugares. Es similar a SSL sin clave, pero en lugar de tener que ejecutar un servidor de claves dentro de tu infraestructura, Cloudflare aloja servidores de claves en las ubicaciones de tu elección.

Como se indica en nuestro informe de transparencia, Cloudflare exige un proceso legal válido antes de proporcionar la información personal de nuestros clientes a entidades gubernamentales o litigantes en materia civil. Excepto en el caso de una emergencia que implique peligro de muerte o lesiones físicas graves para cualquier persona, no proporcionamos información personal de nuestros clientes a funcionarios gubernamentales en respuesta a solicitudes que no incluyan un proceso legal.

Para garantizar que nuestros clientes tengan la oportunidad de hacer valer sus derechos, Cloudflare tiene como política notificar a nuestros clientes de una citación u otro procedimiento judicial que solicite su información antes de la divulgación de dicha información, ya provenga el procedimiento judicial del gobierno o de partes privadas implicadas en un litigio civil, a menos que esté prohibido por ley. Concretamente, nuestro DPA se compromete a que, a menos que esté prohibido por ley, notifiquemos a los clientes si somos capaces de identificar que el procedimiento judicial de terceros que solicitan datos personales que procesamos en nombre de ese cliente plantea un conflicto de ley, como cuando los datos personales se rigen por el RGPD. Los clientes a los que se les notifica de una solicitud judicial pendiente de sus datos personales pueden tratar de intervenir para evitar la divulgación de los mismos.

Además, la legislación de EE. UU. provee mecanismos para que las empresas puedan impugnar las solicitudes que planteen posibles conflictos de ley, como la solicitud judicial de datos sujetos al RGPD. La Ley CLOUD, por ejemplo, proporciona mecanismos para que un proveedor solicite a un tribunal que anule o modifique un requerimiento judicial que plantee tal conflicto de leyes. Ese proceso también permite al proveedor divulgar la existencia del requerimiento a un gobierno extranjero cuyo ciudadano se vea afectado, si ese gobierno ha firmado un acuerdo de la Ley CLOUD con los Estados Unidos. Cloudflare se ha comprometido a impugnar cualquier orden judicial que plantee tal conflicto de leyes. Hasta la fecha, no hemos recibido ninguna orden que hayamos identificado que plantee un conflicto de este tipo.

En octubre de 2022, el presidente de EE.UU. Biden firmó el decreto 14086, que implementó nuevas salvaguardias para las actividades de inteligencia de señales de Estados Unidos con el fin de posibilitar el nuevo marco de privacidad de datos UE-EE. UU. Entre estas salvaguardias se encuentra la creación de un mecanismo de recurso para las personas que afirmen que sus datos personales se han recopilado ilegalmente a través de programas de inteligencia de señales. Las personas físicas pueden presentar una denuncia ante el funcionario de protección de las libertades civiles de Estados Unidos (en lo sucesivo, "CPLO"), que puede investigar estas denuncias y emitir decisiones vinculantes contra las agencias de inteligencia. Las decisiones del CPLO se pueden recurrir ante un recién creado Tribunal de Revisión de la Protección de Datos (en lo sucesivo, "DPRC").

Por último, de conformidad con el MPD UE-EE. UU., la extensión del Reino Unido al MPD UE-EE. UU. (conjuntamente, "los MPD") y el MPD Suiza-EE. UU. (conjuntamente, los "MPD"), Cloudflare se compromete a resolver las reclamaciones relacionadas con los principios del marco de protección de datos sobre nuestra recopilación y uso de tu información personal. Para obtener más información, consulta la sección 7 de nuestra política de privacidad.

Hemos prestado mucha atención a los cambios que el Reino Unido está implementando en el ámbito de la protección de datos desde que abandonó la Unión Europea. Actualmente, el RGPD de la Unión Europea se ha incorporado a la legislación del Reino Unido en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 y la Ley de Protección de Datos del Reino Unido de 2018 (el "RGPD del Reino Unido"). De conformidad con el Anexo de Transferencia Internacional de Datos (Versión B1.0) emitido por la Oficina del Comisario de Información del Reino Unido en virtud del artículo 119(A) de la Ley de Protección de Datos del Reino Unido de 2018 (el "Anexo del Reino Unido"), Cloudflare puede transferir datos personales del Reino Unido fuera del Reino Unido en virtud del mecanismo de las CCT de la Unión Europea junto con el Anexo del Reino Unido. En función de los acuerdos con nuestros clientes, Cloudflare se basa en el mecanismo de las CCT de la Unión Europea junto con el Anexo del Reino Unido, más medidas complementarias, o Cloudflare se basará en la ampliación del Reino Unido del marco de privacidad de datos UE-EE. UU. una vez que se apruebe.