Cloudflare y la conformidad con el RGPD

Cloudflare es una empresa de seguridad, rendimiento y confiabilidad con sede en los Estados Unidos, que ofrece una amplia gama de servicios de red a empresas de todos los tamaños y en todas las ubicaciones geográficas. Contribuimos a que sean más seguras, a mejorar el rendimiento de sus aplicaciones críticas y a eliminar el coste y la complejidad de administrar hardware de red individual. La red Anycast de Cloudflare, conectada a más de 200 servidores perimetrales en todo el mundo, como se describe aquí , es la base sobre la que podemos desarrollar e implementar rápidamente nuestros productos para nuestros clientes.

Cloudflare no tiene acceso ni control de los datos que sus clientes eligen para transmitir, redirigir, cambiar y almacenar en caché a través de la red Anycast de Cloudflare. En un número limitado de casos, los productos de Cloudflare se pueden usar para el almacenamiento de contenido. Sin embargo, con independencia de los servicios de Cloudflare que utilicen, nuestros clientes son totalmente responsables de cumplir con las leyes que se les aplican y con sus acuerdos contractuales independientes en relación con los datos que elijan para transmitir, redirigir, cambiar, almacenar en caché o almacenar a través de la red Anycast de Cloudflare.

Los tipos de datos personales que Cloudflare procesa en nombre de un cliente dependen de los servicios de Cloudflare que se implementen. La gran mayoría de los datos que transitan por la red de Cloudflare permanecen en los servidores Edge de Cloudflare, mientras que los metadatos sobre esta actividad se procesan en nombre de nuestros clientes en nuestro principal centro de datos en los EE. UU.

Cloudflare mantiene los datos de registro sobre los eventos en nuestra red. Algunos de estos datos de registro incluirán información sobre los visitantes o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones ("API") o aplicaciones de un cliente, incluido el producto de Cloudflare, Cloudflare for Teams, según corresponda. Estos metadatos contienen datos personales extremadamente limitados, la mayoría de las veces como direcciones IP. Procesamos este tipo de información en nombre de nuestros clientes en nuestro principal centro de datos en los EE. UU. por un período de tiempo limitado.

Cloudflare considera la seguridad como un elemento fundamental para asegurar la privacidad de los datos. Desde el lanzamiento de Cloudflare en 2010, hemos lanzado una serie de tecnologías de última generación que mejoran la privacidad que, por lo general, están a la vanguardia del resto de la industria. Entre otras cosas, estas herramientas permiten a nuestros clientes encriptar con facilidad el contenido de las comunicaciones a través del Universal SSL, cifrar los metadatos en las comunicaciones con DNS sobre HTTPS o DNS sobre TLS, y SNI cifrado, y controlar dónde se guardan sus claves SSL o dónde se inspecciona su tráfico.

Cloudflare mantiene un programa de seguridad de acuerdo con los estándares de la industria. El programa de seguridad incluye el mantenimiento de políticas y procedimientos de seguridad formales, el establecimiento de controles de acceso lógico y físico adecuados, y la implementación de medidas de seguridad técnicas en entornos corporativos y de producción, incluidos el establecimiento de configuraciones seguras, las transmisiones y conexiones seguras, el registro, el monitoreo y contar con tecnologías de encriptación adecuadas para los datos personales.

Actualmente, mantenemos las siguientes validaciones: conformidad con ISO 27001, SOC 2 Tipo II y PCI DSS nivel 1. También tenemos un informe SOC 3. Más información sobre nuestras certificaciones aquí.

Para ver las medidas de seguridad que Cloudflare ofrece para la protección de datos personales, incluidos los datos personales transferidos desde la Unión Europea a los EE. UU., consulta el Anexo 2 de nuestra DPA estándar.

El GDPR proporciona una serie de mecanismos legales para garantizar que las protecciones adecuadas, los derechos ejecutables y los recursos legales efectivos estén disponibles para los sujetos de datos europeos cuyos datos personales se transfieran desde el Espacio Económico Europeo (EEE) a un tercer país, un país que no esté cubierto por el GDPR o que se considere que cuente con las leyes adecuadas de protección de datos vigentes.

Esos mecanismos incluyen los siguientes:

• Cuando la Comisión de la Unión Europea haya decidido que un tercer país garantiza un nivel de protección adecuado tras evaluar el estado de derecho de ese país, el respeto de los derechos humanos y las libertades fundamentales, entre otros factores;

• Cuando un procesador o controlador de datos ha establecido reglas corporativas vinculantes;

• Cuando un procesador o controlador de datos tenga vigente cláusulas estándares de protección de datos adoptadas por la Comisión, o

• Cuando un procesador o controlador de datos haya establecido un código de conducta aprobado o un mecanismo de certificación aprobado.

Cloudflare se basa en las Cláusulas Contractuales Estándares (SCC) como un mecanismo legal para transferir los datos personales del EEE a los EE. UU. Anteriormente, Cloudflare también se basaba en la decisión de adecuación concedida al Escudo de privacidad. Sin embargo, el Tribunal de Justicia de la Unión Europea (CJEU) en julio de 2020 invalidó el paradigma del Escudo de privacidad UE-EE. UU. en el caso “Schrems II" (Caso C-311/18, Comisionado de protección de datos frente a Facebook Ireland y Maximillian Schrems). La invalidación del Escudo de privacidad no cambia las fuertes protecciones de privacidad de datos que Cloudflare ha implementado para los datos personales que procesamos en nombre de nuestros clientes y seguiremos cumpliendo los principios de protección de datos que nos comprometimos a cumplir cuando nos certificamos bajo el Escudo de privacidad.

Yes. When Cloudflare transfers personal data from the European Economic Area, Switzerland, or the United Kingdom to the United States, we rely on our certifications under the EU-U.S. Data Privacy Framework, the Swiss-U.S. Data Privacy Framework, and the UK Extension to the EU-U.S. DPF, respectively. Should these certifications lapse or become otherwise invalidated, Cloudflare relies on the EU standard contractual clauses, including supplementary measures as necessary for transfers to the United States. We also use the standard contractual clauses for other international transfers from the EEA, Switzerland, or the United Kingdom.

In October 2022, U.S. President Biden signed Executive Order 14086 (“EO14086”), which introduced new safeguards for U.S. signals intelligence activities in order to make the EU-U.S. Data Privacy Framework possible. Based on the protections afforded by EO14086, the European Commission made an adequacy finding for the EU-U.S. DPF. Importantly, these protections apply equally to all transfers – those made pursuant to one of the DPFs or those made under the EU Standard Contractual Clauses (see the EDPB’s “Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023”).

The protections introduced by EO14086 include safeguards to ensure that privacy and civil liberties are integral considerations such that (i) signals intelligence activities shall be conducted only where “necessary” to advance a validated intelligence priority, and (ii) be conducted only to the extent and in a manner that is “proportionate” to the validated intelligence priority. EO14086 also provides a multi-layer redress mechanism for individuals to obtain independent and binding review and redress of claims that their personal information collected through U.S. signals intelligence was processed in a way that violates their privacy rights.

Dado que creemos que ganarnos la confianza de los clientes y mantenerla es esencial, Cloudflare ha implementado la protección de datos desde mucho antes del caso Schrems II. Cuando emitimos nuestro primer informe de transparencia en 2014 de los procedimientos judiciales recibidos en 2013, nos comprometimos a exigir un procedimiento judicial antes de proporcionar a cualquier entidad gubernamental cualquier dato de los clientes, salvo en casos de emergencia, y a notificar a nuestros clientes cualquier procedimiento judicial en el que se solicitara su información de cliente o de facturación antes de revelarla, salvo prohibición legal. Hemos declarado públicamente que nunca hemos entregado claves de encriptación a ningún gobierno, ni proporcionado contenido que pase por nuestra red o desplegado equipamiento de control policial en la misma. También nos comprometimos a "agotar todos los recursos legales para proteger a nuestros clientes de lo que creemos que son solicitudes ilegales o inconstitucionales" si recibimos este tipo de solicitudes. Desde que iniciamos nuestra andadura, hemos confirmado esos compromisos dos veces al año, e incluso los hemos ampliado, en nuestros Informes de transparencia.

También hemos demostrado nuestra creencia en la transparencia y nuestro compromiso de proteger a nuestros clientes mediante la presentación de litigios cuando sea necesario. En 2013, con la ayuda de la Fundación de Fronteras Electrónicas, impugnamos legalmente una carta de seguridad nacional (NSL) de los EE. UU. emitida administrativamente para proteger los derechos de nuestro cliente debido a las disposiciones que permitían al gobierno impedirnos divulgar información sobre la NSL al cliente afectado. Cloudflare no proporcionó información del cliente en respuesta a esa solicitud, pero las disposiciones de no divulgación permanecieron vigentes hasta que un tribunal levantó las restricciones en el 2016.

Más recientemente, en una publicación en el blog del Día de la privacidad en enero de 2020, reiteramos nuestra postura de que cualquier solicitud gubernamental de datos personales que esté en conflicto con las leyes de privacidad del país de residencia de la persona debe ser impugnada. El Comité Europeo de Protección de Datos reconoció que el RGPD podría plantear ese conflicto en una evaluación que publicó el año pasado. Nuestro compromiso con el cumplimiento del RGPD significa que Cloudflare recurriría a medidas legales antes de presentar datos identificados como sujetos al RGPD en respuesta a una solicitud de datos del Gobierno de los EE. UU. En cumplimiento con la jurisprudencia y los marcos legales existentes en los EE. UU., Cloudflare puede pedir a los tribunales de EE. UU. que anulen una solicitud de datos personales de las autoridades de EE. UU. basada en ese conflicto de leyes.

Hemos actualizado nuestro DPA estándar para que nuestros clientes incorporen ahora protecciones adicionales como compromisos contractuales. Puedes ver estos compromisos contractuales en la sección 7 de nuestra DPA.

Cloudflare seguirá poniendo los SCC a disposición de los clientes cuyos datos estén sujetos al GDPR. Seguimos de cerca los desarrollos en este ámbito, así como los mecanismos de transferencia alternativos.

Entendemos que frente al caso de Schrems II, nuestros clientes buscan garantías adicionales de que los datos sujetos al GDPR y transferidos a los EE. UU. recibirán una protección adecuada de acuerdo con el GDPR. Ya hemos hablado de esas protecciones adicionales.

Debido a que el TJUE consideró a varias autoridades de seguridad nacional de los EE. UU. en su análisis del caso Schrems II, hemos recibido algunas preguntas sobre la aplicación de esas autoridades a los procesadores de datos de los EE. UU. Para explicar si esas autoridades son pertinentes para una transferencia de datos, o de qué manera, se requiere una explicación adicional por parte de las autoridades a las que hace referencia el TJUE.

Sección 702. El artículo 702 de la Ley de vigilancia de la inteligencia extranjera (FISA, por sus siglas en inglés) es una autoridad que permite al gobierno de los EE. UU. solicitar las comunicaciones de personas no estadounidenses ubicadas fuera de los EE. UU. con fines de inteligencia extranjera. El Gobierno de los EE. UU. utiliza la sección 702 para recopilar el contenido de las comunicaciones a través de "selectores" específicos, como las direcciones de correo electrónico, que están asociadas a objetivos de inteligencia extranjeros concretos. Dado que la autoridad suele utilizarse para reunir el contenido de las comunicaciones, los "proveedores de servicios de comunicaciones electrónicas" a los que se les pide que cumplan lo dispuesto en el artículo 702 suelen ser proveedores de correo electrónico u otros proveedores con acceso al contenido de las comunicaciones.

Como se señala en nuestro informe de transparencia, Cloudflare generalmente no tiene acceso a este tipo de contenido de los clientes. Además, nuestro compromiso público desde hace muchos años es no facilitar a ningún gobierno el contenido que pasa por nuestra red y agotar todos los recursos legales si se nos solicitara, para proteger a nuestros clientes de lo que, a nuestro parecer, son solicitudes ilegales o inconstitucionales.

Orden ejecutiva 12333. La orden ejecutiva 12333 regula la recopilación de información de los organismos de inteligencia de los EE. UU. en el extranjero dirigida a personas no estadounidenses fuera de los EE. UU. La orden ejecutiva 12333 no tiene disposiciones para obligar a la asistencia de las empresas estadounidenses.

Cloudflare mantiene el compromiso de requerir un procedimiento judicial antes de facilitar a cualquier entidad gubernamental acceso a los datos de los clientes, excepto en casos de emergencia. Por lo tanto, no cumpliríamos con las solicitudes voluntarias de datos bajo la orden ejecutiva 12333. Además, Cloudflare es una de las empresas líderes en soluciones que ofrecen mayor seguridad para los datos en tránsito, tanto para el contenido como para los metadatos, a fin de proteger la privacidad de los datos personales. En 2014, por ejemplo, lanzamos Universal SSL, lo que hizo que la encriptación, algo que hasta entonces era costoso y difícil, fuera gratuita para todos los clientes de Cloudflare. La semana de lanzamiento, duplicamos el tamaño de la web encriptada. Debido al creciente número de leyes en materia de encriptación, nos hemos comprometido a no debilitar, poner en riesgo o socavar nuestra encriptación a petición de un gobierno o terceros.

We think it will be helpful to provide additional explanation of the U.S. national security authorities referenced by the CJEU in its analysis in the “Schrems II” decision (Case C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems).

Section 702. Section 702 of the Foreign Intelligence Surveillance Act (“FISA”) is an authority that allows the U.S. government to request the communications of non-U.S. persons located outside of the United States for foreign intelligence purposes. The U.S. government uses section 702 to collect the content of communications through specifical “selectors”, such as email addresses, that are associated with specific foreign intelligence targets. Because the authority is typically used to collect the content of communications, the “electronic communications service providers” asked to comply with section 702 are typically email providers or other providers with access to the content of communications.

As noted in our transparency report, Cloudflare does not have access to this type of traditional customer content for Cloudflare’s core services. In addition, Cloudflare has had a public commitment for many years that we have never provided any government a feed of our customers' content transiting our network and that we would exhaust all legal remedies if we were asked to do so in order to protect our customers from what we believe are illegal or unconstitutional requests.

Executive Order 12333. Executive Order 12333 governs U.S. intelligence agencies' foreign intelligence collection targeting non-U.S. persons outside the United States. Executive Order 12333 does not have provisions to compel the assistance of U.S. companies.

Cloudflare has a longstanding commitment to require legal process before providing any government entity with access to any customer data outside of an emergency. We therefore would not comply with voluntary requests for data under Executive Order 12333. In addition, Cloudflare has been a leader in encouraging additional security for data in transit, for both content and metadata, to prevent personal data from any type of prying eyes. In 2014, for example, we launched Universal SSL, making encryption — something that had been expensive and difficult — free for all Cloudflare customers. The week we launched it, we doubled the size of the encrypted web. Because of an increasing number of laws attempting to target encryption, we have even committed that we have never weakened, compromised, or subverted any of our encryption at the request of a government or other third party.

When Cloudflare transfers personal data from the EEA, Switzerland or the United Kingdom (“UK”) internationally, we rely on the EU Standard Contractual Clauses (“SCCs”), including supplementary measures as necessary, or, for transfers to the United States, we have also certified our compliance with the EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), the Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”), and the UK Extension to the EU-U.S. DPF. These representations are contained in our standard DPA, which is incorporated by reference into our Self-Serve Subscription Agreement. To the extent the personal data transfer requires the SCCs, then our DPA incorporates the SCCs for this data. Therefore, no action is required to ensure that the appropriate cross-border data transfer mechanisms are in place.

El 5 de octubre de 2020, actualizamos nuestro Acuerdo de suscripción de autoservicio para incorporar, como referencia, nuestro DPA estándar actualizado . Y, en la medida en que los datos personales que procesamos en nombre de un cliente de autosuscripción estén regulados por el RGDP, nuestra DPA incorpora las cláusulas contractuales estándares de la UE para estos datos. Por lo tanto, no se requiere ninguna medida para asegurar que las cláusulas contractuales estándares estén vigentes. Nuestra DPA actualizada también incorpora las protecciones adicionales descritas anteriormente.

Sin bien la DPA se incorpora como referencia, también hemos puesto a disposición nuestra DPA actualizada en el Panel de control del cliente. Cuando esté en su Panel de control, vaya a la pestaña Configuraciones y luego a Preferencias.

El 1 de octubre de 2020, actualizamos nuestro Acuerdo de suscripción Enterprise (ESA, por sus siglas en inglés) para incorporar, como referencia, nuestro DPA estándar actualizado . Los clientes Enterprise están sujetos a nuestro ESA estándar si se suscribieron al ESA con Cloudflare el 8 de agosto de 2019, o después, y no tienen un acuerdo personalizado. Estos clientes no tienen que llevar a cabo ninguna acción, ya que el DPA actualizado está incorporado como referencia en nuestro ESA, y en la medida en que los datos personales que procesamos en nombre del cliente sean regulados por el RGPD, nuestro DPA incorpora las cláusulas contractuales estándar de la UE. Nuestro DPA actualizado también incorpora las protecciones adicionales descritas anteriormente. Nuestro DPA estándar actualizado está disponible aquí.

Los clientes empresariles de versiones antiguas de nuestro ESA podrían tener ya las cláusulas contractuales estándares de la UE con Cloudflare. Si así fuera, no se necesita ninguna acción, pero también pueden aceptar nuestra DPA actualizada disponible en el Panel de control del cliente, ya que incluye el texto de protección adicional. Los clientes que anteriormente dependían de las certificaciones del Escudo de privacidad UE-EE. UU. y Suiza-EE. UU. de Cloudflare deben aceptar nuestra DPA disponible en el Panel de control del cliente. Cuando esté en su Panel de control, vaya a la pestaña Configuraciones y luego a Preferencias. Revise y acepte la DPA allí.

Los clientes Enterprise que hayan firmado un acuerdo personalizado con Cloudflare deben ponerse en contacto con su Gerente de Éxito del Cliente si tienen preguntas sobre su DPA.

Estamos revisando cuidadosamente el nuevo proyecto de las nuevas SCC de la Comisión Europea y estamos esperamos que se apruebe una serie de SCC después del periodo de consulta. Una vez aprobadas, las nuevas SCC contendrán una disposición de caducidad de un año para permitir su implementación y, durante ese periodo, pasaremos a implementar las nuevas SCC para nuestros clientes.

Hemos estado prestando especial atención a las conversaciones sobre la protección de datos relacionadas con el Brexit y la salida del Reino Unido de la Unión Europea a partir del 1 de enero de 2021 y hemos tomado medidas para asegurarnos de estar preparados para que el Reino Unido adopte el GDPR en la legislación local. Cloudflare continuará utilizando el mecanismo de las SCC, que se incluyen en nuestra DPA estándar para transferir datos personales fuera del Reino Unido y del Espacio Económico Europeo (EEE). Consulta nuestras instrucciones anteriores para asegurarte de que se esté implementando la DPA adecuada. Seguimos monitoreando los avances continuos en este espacio y nos aseguraremos de nuestro cumplimiento continuo de las regulaciones sobre protección de los datos del Reino Unido y de todo el mundo.