Cloudflare e conformità al GDPR

Cloudflare is a security, performance, and reliability company headquartered in the United States with global operations including five offices in Europe that delivers a broad range of network services to businesses of all sizes and in all geographies. Aiutiamo a rendere più sicuri i siti Web dei nostri clienti e le applicazioni Internet, miglioriamo le prestazioni delle loro applicazioni critiche per le imprese ed eliminiamo i costi e la complessità della gestione hardware di singole reti. La rete globale di Cloudflare, che è alimentata da server Edge in più di 300 città in tutto il mondo, come descritto qui, funge da base su cui possiamo sviluppare e distribuire rapidamente i nostri prodotti per i nostri clienti.

I tipi di dati personali che Cloudflare elabora per conto del cliente dipendono da quali servizi Cloudflare vengono implementati. Per i nostri servizi applicativi e di rete più popolari, Cloudflare non memorizza i contenuti dei clienti, né ha alcun controllo sui dati che i nostri clienti scelgono di trasmettere, instradare, commutare e memorizzare nella cache attraverso la nostra rete globale. In un numero limitato di casi, i prodotti Cloudflare possono essere utilizzati per l'archiviazione di contenuti. A prescindere dai servizi Cloudflare che utilizzino, tuttavia, i nostri clienti sono integralmente responsabili della loro conformità alla legge applicabile e dei loro accordi contrattuali indipendenti in relazione ai dati che scelgono di trasmettere, indirizzare, scambiare, memorizzare nella cache o conservare tramite la rete globale Cloudflare.

Per le nostre applicazioni e i servizi di rete, la stragrande maggioranza dei dati che transitano sulla rete di Cloudflare rimangono sui server Edge di Cloudflare. I metadati relativi a questa attività vengono elaborati per conto dei nostri clienti nei nostri datacenter negli Stati Uniti e in Europa.

Cloudflare mantiene i dati di log sugli eventi sulla nostra rete. Alcuni di questi dati di log includono informazioni sui visitatori e/o utenti autorizzati di domini, reti, siti Web, interfacce di programmazione delle applicazioni (“API”) o applicazioni del cliente, incluso il prodotto Cloudflare Zero Trust, a seconda dei casi applicabili. Tali metadati contengono dati personali estremamente limitati, il più delle volte sotto forma di indirizzi IP. Elaboriamo questo tipo di informazioni per conto dei nostri clienti nei nostri datacenter principali negli Stati Uniti e in Europa per un periodo di tempo limitato.

Cloudflare considera la sicurezza un elemento fondamentale per garantire la privacy dei dati. Sin dal lancio di Cloudflare nel 2010, abbiamo rilasciato una serie di tecnologie all'avanguardia che migliorano la privacy, generalmente in anticipo rispetto al resto del settore. Tra le altre cose, questi strumenti consentono ai nostri clienti di crittografare facilmente il contenuto delle comunicazioni tramite SSL universale, crittografare o proteggere in altro modo i metadati nelle comunicazioni utilizzando nuovi protocolli come DNS-over-HTTPS, DNS-over-TLS e Oblivious HTTP e controllare dove sono conservate le loro chiavi SSL o dove viene ispezionato il loro traffico.

Cloudflare mantiene un programma di sicurezza in conformità con gli standard del settore. Il nostro programma di sicurezza include il mantenimento di formali politiche e procedure di sicurezza, la definizione di adeguati controlli di accesso logici e materiali, nonché l'implementazione di salvaguardie tecniche negli ambienti aziendali e di produzione, tra cui la creazione di configurazioni sicure, trasmissione e connessioni protette, registrazione, monitoraggio e tecnologie adeguate per la crittografia dei dati personali.

Attualmente manteniamo le seguenti certificazioni: conformità ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II e PCI DSS Level 1. Siamo inoltre certificati secondo il Codice di condotta europeo per il cloud e lo standard tedesco C5 2020. Puoi leggere ulteriori informazioni sulle nostre certificazioni e sui report qui.

Per visualizzare le misure di sicurezza offerte da Cloudflare per la protezione dei dati personali, inclusi quelli trasferiti dallo Spazio economico europeo (“SEE”) agli Stati Uniti, consultare l’allegato 2 del nostro DPA standard.

Il Regolamento Generale sulla Protezione dei Dati (“GDPR”) fornisce una serie di meccanismi giuridici per garantire che siano disponibili garanzie adeguate, diritti esecutivi e mezzi di ricorso efficaci per gli interessati europei i cui dati personali vengono trasferiti dal SEE a un Paese terzo, un Paese non coperto dal GDPR o che si consideri non disponga di leggi adeguate sulla protezione dei dati.

Tali meccanismi comprendono le seguenti eventualità:

• qualora la Commissione dell'UE abbia deciso che un Paese terzo garantisce un adeguato livello di protezione dopo aver valutato lo stato di diritto di tale Paese, il rispetto dei diritti umani e delle libertà fondamentali, e una serie di altri fattori;

• qualora un titolare del trattamento dei dati o un responsabile del trattamento abbia messo in atto norme aziendali vincolanti;

• qualora un titolare del trattamento dei dati o un responsabile del trattamento abbia adottato clausole standard in materia di protezione dei dati adottate dalla Commissione; oppure

• qualora un titolare del trattamento o un responsabile del trattamento dei dati abbia messo in atto un codice di condotta o un meccanismo di certificazione approvati.

Quando Cloudflare trasferisce dati personali dall'EEA, dalla Svizzera o dal Regno Unito ("UK") a livello internazionale, ci basiamo sulle clausole contrattuali standard dell'UE ("SCC"), comprese le misure supplementari necessarie, o, per i trasferimenti negli Stati Uniti, abbiamo inoltre certificato la nostra conformità al Data Privacy Framework EU-US ("DPF EU-US"), il Data Privacy Framework Swiss-US ("DPF Swiss-US") e l’estensione del Regno Unito al DPF EU-US. Il nostro Addendum standard sul trattamento dei dati ("DPA") continuerà a incorporare le SCC dell'UE per garantire che disponiamo di molteplici basi giuridiche per il trattamento dei dati.

Sì. Quando Cloudflare trasferisce dati personali dallo Spazio economico europeo, dalla Svizzera o dal Regno Unito agli Stati Uniti, facciamo affidamento sulle nostre certificazioni ai sensi del DPF EU-US, DPF Swiss-US e l'estensione del Regno Unito al DPF EU-US, rispettivamente. Nel caso in cui tali certificazioni scadano o vengano altrimenti invalidate, Cloudflare si affida alle clausole contrattuali standard dell'UE, comprese le misure supplementari necessarie per i trasferimenti negli Stati Uniti. Utilizziamo anche le clausole contrattuali standard per altri trasferimenti internazionali dal SEE, dalla Svizzera o dal Regno Unito.

Nell'ottobre 2022, il presidente degli Stati Uniti Biden ha firmato l'ordine esecutivo 14086 ("EO14086"), che ha introdotto nuove garanzie per le attività di intelligence dei segnali degli Stati Uniti al fine di rendere possibile il Data Privacy Framework EU-US.Sulla base delle protezioni offerte dall’EO14086, la Commissione Europea ha accertato l’adeguatezza del DPF EU-US.È importante sottolineare che queste tutele si applicano allo stesso modo a tutti i trasferimenti: quelli effettuati ai sensi di uno dei DPF o quelli effettuati ai sensi delle clausole contrattuali standard dell'UE (consulta la "Nota informativa sui trasferimenti di dati ai sensi del GDPR verso gli Stati Uniti dopo l'adozione della decisione di adeguatezza del 10 luglio 2023" dell'EDPB).

Le protezioni introdotte dall'EO14086 includono garanzie per garantire che la privacy e le libertà civili siano considerazioni integrali in modo tale che (i) le attività di intelligence dei segnali siano condotte solo dove "necessario" per promuovere una priorità di intelligence convalidata e (ii) siano condotte solo nella misura in cui e in modo “proporzionato” alla priorità dell’intelligence convalidata.L'EO14086 fornisce inoltre un meccanismo di ricorso multilivello che consente agli individui di ottenere una revisione indipendente e vincolante e un risarcimento delle accuse secondo cui le loro informazioni personali raccolte tramite l'intelligence dei segnali degli Stati Uniti sono state elaborate in un modo che viola i loro diritti alla privacy.

Poiché riteniamo che guadagnare e mantenere la fiducia dei clienti sia essenziale, Cloudflare dispone di misure di protezione dei dati ben prima del caso "Schrems II" (causa C-311/18, Data Protection Commissioner contro Facebook Ireland e Maximillian Schrems), inclusi molti di le garanzie aggiuntive raccomandate dall'EDPB nelle sue linee guida post Schrems II (Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello UE di protezione dei dati personali adottate il 18 giugno 2021).

Cloudflare è fortemente impegnato nei confronti della trasparenza e della responsabilità in merito al trattamento dei dati personali come descritto sopra e la nostra DPA rende molti di questi impegni contrattualmente vincolanti.Quando abbiamo pubblicato il nostro primissimo rapporto sulla trasparenza nel 2014 per un procedimento legale ricevuto nel 2013, ci siamo impegnati a richiedere la sussistenza di un procedimento legale prima di fornire a qualsiasi ente governativo dati dei clienti al di fuori di un'emergenza, nonché a fornire ai nostri clienti una notifica di qualsiasi procedimento legale che richieda dati sui loro clienti o relativi alla fatturazione prima di divulgarli, salvo non espressamente vietato per legge. Abbiamo dichiarato pubblicamente di non aver mai consegnato a nessun governo chiavi di crittografia né fornito feed di contenuti in transito nella nostra rete, e di non aver mai installato apparecchiature delle forze dell'ordine sulla nostra rete. Ci siamo inoltre impegnati, nel caso in cui ci fosse stato chiesto di fare una di queste cose, ad "esaurire tutti i mezzi di ricorso al fine di proteggere i nostri clienti da ciò che riteniamo essere richieste illegali o incostituzionali". Sin da quei primi giorni nella storia di Cloudflare, abbiamo ribadito questi impegni due volte l'anno, addirittura ampliandoli, nei nostri Rapporti sulla trasparenza.

Abbiamo anche dimostrato la nostra fiducia nella trasparenza e il nostro impegno nel proteggere i nostri clienti aprendo dei contenziosi, quando necessario. Nel 2013, con l'aiuto della Electronic Frontier Foundation, abbiamo contestato a livello legale una lettera di sicurezza nazionale degli Stati Uniti ("NSL"), emessa a livello amministrativo, per proteggere i diritti dei nostri clienti a causa di disposizioni che consentivano al governo di impedirci di divulgare informazioni sulla NSL al cliente interessato. In risposta a tale richiesta, Cloudflare non ha fornito informazioni sui clienti, ma le disposizioni di non divulgazione sono rimaste in vigore fino a quando, nel 2016, un tribunale non ha revocato le restrizioni.

Abbiamo spesso dichiarato la nostra posizione secondo cui qualsiasi governo richiede dati personali che sono in conflitto con le leggi sulla privacy del Paese di residenza di una persona dovrebbe essere legalmente contestata. (Consulta ad esempio il nostro Rapporto sulla trasparenza e leggi il nostro whitepaper, Politiche di Cloudflare in merito alla privacy dei dati e alle richieste di applicazione della legge, sulle richieste di dati da parte del governo.) L’EDPB ha riconosciuto che il GDPR potrebbe porre tale conflitto in questa valutazione. Il nostro impegno per il rispetto del GDPR significa che Cloudflare perseguirà mezzi di ricorso prima di produrre dati identificati come soggetti al GDPR in risposta a una richiesta di dati da parte del governo degli Stati Uniti. Coerentemente con la giurisprudenza degli Stati Uniti e i quadri normativi esistenti, Cloudflare può chiedere ai tribunali statunitensi di far decadere una richiesta da parte delle autorità statunitensi di dati personali che si basi su tale conflitto normativo.

Il nostro addendum standard sul trattamento dei dati ("DPA") per i nostri clienti incorpora le misure e le garanzie supplementari sopra descritte come impegni contrattuali. È possibile visualizzare questi impegni contrattuali alla sezione 7 del nostro DPA. Un ultimo aspetto, ma non meno importante: abbiamo in atto robuste misure di sicurezza e protocolli di crittografia, che possono essere visualizzati nell’Allegato 2 del nostro DPA.

Continueremo ad applicare queste misure e garanzie supplementari in aggiunta alle garanzie aggiuntive previste dall'EO14086.

Come sempre, continuiamo a monitorare gli sviluppi in corso in questo ambito e garantiremo la nostra costante conformità agli Articoli 44 e 46 GDPR dell'UE. Durante questo periodo, continueremo a rispettare i nostri impegni ai sensi delle DPA esistenti, i nostri impegni ai sensi delle attuali SCC e i nostri impegni ai sensi della nostra certificazione per la certificazione dei quadri sulla privacy dei dati.

Riteniamo che le richieste del governo degli Stati Uniti per i dati personali di una persona non statunitense che sono in conflitto con le leggi sulla privacy del paese di residenza di tale persona (come il GDPR nell'UE) dovrebbero essere impugnate legalmente.

Il CLOUD Act non espande l'autorità investigativa degli Stati Uniti. I severi requisiti per l'applicazione delle normative per ottenere un mandato valido rimangono invariati. Il CLOUD Act si applica anche all'accesso ai contenuti che generalmente non archiviamo, come descritto sopra. Inoltre, non modifica le pratiche esistenti quando i servizi incaricati dell'applicazione della legge statunitensi cercano di accedere ai dati aziendali. È importante notare che l'applicazione delle normative cercherebbe in genere di ottenere dati dall'entità che ha un controllo efficace dei dati (ovvero i nostri clienti) piuttosto che dei provider di cloud. Nel caso in cui le forze dell'ordine richiedano tali dati a Cloudflare, li incoraggiamo a richiedere i dati al nostro cliente invece che a noi.

Riteniamo che sarà utile fornire ulteriori spiegazioni sulle autorità di sicurezza nazionali degli Stati Uniti a cui fa riferimento la CGUE nella sua analisi nella decisione “Schrems II” (causa C-311/18, Data Protection Commissioner contro Facebook Ireland e Maximillian Schrems).

Sezione 702. La Sezione 702 del Foreign Intelligence Surveillance Act (FISA) è un'autorità che consente al governo degli Stati Uniti di richiedere comunicazioni di soggetti non statunitensi situati al di fuori degli Stati Uniti per scopi di intelligence estera. Il governo degli Stati Uniti utilizza la Sezione 702 per raccogliere il contenuto delle comunicazioni attraverso specifici "selettori", come ad es. gli indirizzi e-mail, associati a specifici obiettivi di intelligence estera. Poiché l'autorità viene solitamente utilizzata per raccogliere il contenuto delle comunicazioni, i "provider di servizi di comunicazione elettronica" invitati a conformarsi alla Sezione 702 sono in genere provider di posta elettronica o altri fornitori che hanno accesso al contenuto delle comunicazioni.

Come indicato nel nostro report sulla trasparenza, Cloudflare in genere non ha accesso a questo tipo di contenuti tradizionali dei clienti per i servizi principali. In aggiunta, Cloudflare ha assunto da molti anni un impegno pubblico in virtù del quale non abbiamo mai fornito a nessun governo feed dei contenuti dei nostri clienti che transitano sulla nostra rete e, se ci venisse chiesto di farlo, esauriremmo tutti i mezzi di ricorso al fine di proteggere i nostri clienti da quelle che riteniamo richieste illegali o incostituzionali.

Ordine esecutivo 12333. L'Ordine esecutivo 12333 governa la raccolta di intelligence estera delle agenzie di intelligence statunitensi che hanno come obiettivo soggetti non statunitensi situati al di fuori degli Stati Uniti. L'Ordine Esecutivo 12333 non ha disposizioni per obbligare l'assistenza delle società statunitensi.

Cloudflare si impegna da tempo a richiedere un procedimento legale prima di fornire a qualsiasi ente governativo l'accesso ai dati dei clienti al di fuori di un'emergenza. Pertanto, ai sensi dell'Ordine Esecutivo 12333, non ottemperiamo alle richieste volontarie di dati. Inoltre, Cloudflare è stato leader nell'incoraggiare una maggiore sicurezza per i dati in transito, sia per i contenuti che per i metadati, al fine di proteggere da sguardi indiscreti i dati personali di qualsiasi tipo. Nel 2014, ad esempio, abbiamo lanciato Universal SSL, rendendo la crittografia — che si era dimostrata costosa e complicata — gratuita per tutti i clienti Cloudflare. Nella settimana del lancio, abbiamo raddoppiato le dimensioni del web criptato. A causa del crescente numero di leggi con la crittografia nel mirino, abbiamo persino dichiarato di non aver mai indebolito, compromesso o sovvertito nessuna delle nostre cifrature su richiesta di un governo o di altre terze parti.

Quando Cloudflare trasferisce dati personali dal SEE, dalla Svizzera o dal Regno Unito ("UK") a livello internazionale, ci basiamo sulle clausole contrattuali standard dell'UE ("SCC"), comprese le misure supplementari necessarie, o, per i trasferimenti negli Stati Uniti, abbiamo inoltre certificato la nostra conformità al Data Privacy Framework EU-US ("DPF EU-US"), il Data Privacy Framework Swiss-US ("DPF Swiss-US") e l’estensione del Regno Unito al DPF EU-US.Queste rappresentazioni sono contenute nel nostro DPA standard, che è incorporato per riferimento nel nostro Accordo di sottoscrizione self-service. Nella misura in cui il trasferimento dei dati personali richiede le SCC, il nostro DPA incorpora le SCC per questi dati. Pertanto, non è necessaria alcuna azione per garantire che siano predisposti adeguati meccanismi di trasferimento transfrontaliero dei dati.

Quando Cloudflare trasferisce dati personali dal SEE, dalla Svizzera o dal Regno Unito ("UK") a livello internazionale, ci basiamo sulle clausole contrattuali standard dell'UE ("SCC"), comprese le misure supplementari necessarie, o, per i trasferimenti negli Stati Uniti, abbiamo inoltre certificato la nostra conformità al Data Privacy Framework EU-US ("DPF EU-US"), il Data Privacy Framework Swiss-US ("DPF Swiss-US") e l’estensione del Regno Unito al DPF EU-US.Queste rappresentazioni sono contenute nel nostro DPA standard, che è integrato nel nostro Accordo di sottoscrizione aziendle (“ESA”). Pertanto, non è necessaria alcuna azione per garantire che siano predisposti adeguati meccanismi di trasferimento transfrontaliero dei dati.

I clienti Enterprise sono soggetti al nostro ESA standard se lo hanno sottoscritto con Cloudflare in data 8 agosto 2019 o successivamente, e non hanno un contratto su misura. I clienti aziendali che utilizzano versioni precedenti della nostra ESA o ESA personalizzate o DPA personalizzati potrebbero non avere documentato il meccanismo di trasferimento dati transfrontaliero. Questi clienti o qualsiasi altro cliente aziendale con domande sul proprio DPA possono contattare il proprio Customer Success Manager.

Riconosciamo che alcuni dei nostri clienti preferirebbero che tutti i dati personali soggetti al GDPR (o ai suoi equivalenti nel Regno Unito o in Svizzera) rimangano nell'UE e non siano trasferiti negli Stati Uniti per l'elaborazione.Siamo lieti di annunciare la Data Localization Suite di Cloudflare, la soluzione che consente alle aziende di sfruttare le prestazioni e la sicurezza della rete globale di Cloudflare, semplificando nel contempo il settaggio di regole e controlli a livello perimetrale su dove vengono archiviati e protetti i dati.

La Data Localization Suite include alcune offerte esistenti con delle nuove funzionalità:

a) Servizi regionali. Cloudflare ha datacenter in più di 200 città in oltre 100 Paesi. Regional Services, insieme alla nostra soluzione Geo Key Manager, consente ai clienti di scegliere le posizioni del datacenter in cui sono archiviate le chiavi TLS e dove avviene la terminazione TLS. Il traffico viene ingerito a livello globale, applicando le attenuazioni DDoS L3/L4, mentre le funzioni di sicurezza, prestazioni e affidabilità (come WAF, CDN, mitigazione DDoS, ecc.) vengono servite solo nei datacenter Cloudflare designati.

b) Limite dei metadati. Il Limite dei metadati del cliente garantisce che i metadati del traffico dell’utente finale che possono identificare un cliente rimangano nell’UE. Ciò include tutti i registri e le analisi che un cliente può vedere. Ciò avviene assicurando che i metadati dell’utente finale in grado di identificare un cliente passino attraverso un unico servizio al nostro Edge, prima di essere inoltrati a uno dei nostri datacenter. Quando il limite dei metadati è abilitato per un cliente, il nostro Edge garantisce che qualsiasi messaggio di log che identifichi quel cliente (cioè, contiene l’ID account del cliente) non venga inviato al di fuori dell’UE. Verrà inviato solo al nostro datacenter principale nell’UE.

c) Keyless SSL. Keyless SSL consente al cliente di archiviare e gestire le proprie chiavi private SSL per l'utilizzo con Cloudflare. I clienti possono impiegare una varietà di sistemi per il loro keystore, tra cui moduli di sicurezza hardware ("HSM"), server virtuali e hardware con Unix/Linux e Windows, ospitato in ambienti controllati dai clienti.

d) Geo Key Manager. Cloudflare ha una base clienti veramente internazionale e abbiamo imparato che clienti di tutto il mondo hanno requisiti normativi, giuridici e profili di rischio diversi per quanto concerne il posizionamento delle chiavi private. Con questa filosofia in mente, abbiamo deciso di progettare un sistema molto flessibile per decidere dove conservare le chiavi. Geo Key Manager permette ai clienti di limitare l'esposizione delle proprie chiavi private a determinate località. È simile a Keyless SSL, ma invece di dover eseguire un server chiave all'interno dell'infrastruttura, Cloudflare ospita i server chiave nelle posizioni preferite del cliente.

Come riportato nel nostro Rapporto sulla trasparenza, Cloudflare richiede un procedimento legale valido prima di fornire le informazioni personali dei nostri clienti a enti governativi o parti civili.Tranne nel caso di un'emergenza che comporti pericolo di morte o gravi lesioni fisiche a qualsiasi persona, non forniamo le informazioni personali dei nostri clienti a funzionari governativi in risposta a richieste che non includono procedimenti legali.

Per garantire che i nostri clienti abbiano l'opportunità di far valere i loro diritti, la politica di Cloudflare è informarli su mandati di comparizione o altri procedimenti legali che richiedano le loro informazioni prima di divulgarle, indipendentemente dal fatto che il procedimento legale provenga dal governo o da soggetti privati coinvolti in un contenzioso civile, salvo non espressamente vietato per legge. In particolare, il nostro DPA si impegna a informare i clienti, salvo vietato per legge, qualora riuscissimo a identificare se un procedimento legale di terze parti che richieda dati personali che elaboriamo per conto del Cliente sollevi un conflitto normativo, ad esempio laddove i dati personali sono disciplinati dal GDPR. I clienti che vengano notificati di una richiesta legale in essere per i loro dati personali possono cercare di intervenire per impedirne la divulgazione.

Inoltre, la legge statunitense prevede per le aziende meccanismi per contestare quelle ordinanze che presentano potenziali conflitti normativi, come una richiesta legale di dati soggetti al GDPR. Il CLOUD Act, ad esempio, fornisce ai provider i meccanismi per presentare una petizione a un tribunale per annullare o modificare una richiesta legale che rappresenta un tale conflitto normativo. Tale processo consente inoltre al provider di rivelare l’esistenza della richiesta al governo straniero del cittadino interessato, se tale governo ha sottoscritto un accordo CLOUD Act con gli Stati Uniti. Cloudflare si è impegnata a contestare legalmente qualsiasi ordinanza che costituisca un tale conflitto normativo. Ad oggi, non abbiamo ricevuto ordinanze che a nostro avviso ponessero un simile conflitto.

Nell’ottobre 2022 il presidente degli Stati Uniti Biden ha firmato l'ordine esecutivo 14086, che ha introdotto nuove garanzie per le attività di intelligence dei segnali degli Stati Uniti al fine di rendere possibile il nuovo Data Privacy Framework (DPF) EU-US. Tra queste garanzie c’è la creazione di un meccanismo di ricorso per le persone che sostengono che i loro dati personali sono stati raccolti illegalmente attraverso programmi di intelligence dei segnali.Gli individui possono presentare un reclamo al Civil Liberties Protection Officer (“CPLO”) degli Stati Uniti, che può indagare su questi reclami ed emettere decisioni vincolanti contro le agenzie di intelligence.Le decisioni del CPLO possono essere impugnate dinanzi a un tribunale di revisione della protezione dei dati ("DPRC") di recente creazione.

Infine, in conformità con gli accordi DPF EU-US, l’estensione del Regno Unito al DPF EU-US (insieme, “i DPF”) e il DPF Swiss-US (collettivamente, i “DPF”), Cloudflare si impegna a risolvere i reclami relativi ai Principi DPF sulla nostra raccolta e utilizzo delle tue informazioni personali.Per ulteriori informazioni, consulta la Sezione 7 della nostra Informativa sulla privacy.

Abbiamo prestato molta attenzione alle modifiche sulla protezione dei dati che il Regno Unito sta effettuando dall’uscita dall’Unione europea. Attualmente, il GDPR dell'UE è stato salvato nella legislazione del Regno Unito in virtù della sezione 3 della legge sull'Unione europea (di ritiro) del Regno Unito del 2018 e della legge sulla protezione dei dati del Regno Unito del 2018 (il "GDPR del Regno Unito").Ai sensi dell'Addendum sul trasferimento internazionale dei dati (versione B1.0) emesso dall'Ufficio del Commissario per l'informazione del Regno Unito ai sensi della sezione 119(A) dello UK Data Protection Act 2018 ("Addendum del Regno Unito"), Cloudflare può trasferire i dati personali del Regno Unito al di fuori del Il Regno Unito fa affidamento sul meccanismo SCC dell’UE abbinato all’Addendum del Regno Unito.A seconda degli accordi stipulati con i nostri clienti, Cloudflare si affida al meccanismo SCC dell'UE abbinato all'Addendum del Regno Unito, oltre a misure supplementari, oppure Cloudflare si baserà sull'estensione del Regno Unito al Data Privacy Framework EU-US una volta approvato.