A Cloudflare e a conformidade com a LGPD

A Cloudflare é uma empresa de segurança, desempenho e confiabilidade sediada nos Estados Unidos (EUA). Nossas operações globais, que incluem um escritório na Coreia do Sul, fornecem uma ampla gama de serviços de rede a empresas de todos os tamanhos e todas as regiões geográficas. Ajudamos a tornar os sites e aplicativos de internet de nossos clientes mais seguros, aprimoramos o desempenho de seus aplicativos essenciais para os negócios e eliminamos o custo e a complexidade do gerenciamento de hardwares de rede individuais. A rede global da Cloudflare, que é alimentada por servidores de borda em mais de 320 cidades ao redor do mundo, conforme descrito aqui, serve como base na qual podemos desenvolver e implantar rapidamente produtos para nossos clientes.

Os tipos de dados pessoais que a Cloudflare processa em nome de um cliente dependem de quais serviços da Cloudflare são implementados. Para nossos serviços de aplicativos e serviços de rede mais populares, a Cloudflare não armazena conteúdo do cliente, nem tem qualquer controle dos dados que nossos clientes escolhem transmitir, rotear, alternar e armazenar em cache por meio de nossa rede global. Em um número limitado de casos, os produtos da Cloudflare podem ser usados para armazenamento de conteúdo. No entanto, independentemente dos serviços da Cloudflare que utilizam, nossos clientes são totalmente responsáveis por sua própria conformidade com a legislação aplicável e seus acordos contratuais independentes no que diz respeito aos dados que optam por transmitir, rotear, trocar e armazenar em cache, ou armazenar por meio da rede global da Cloudflare.

Para nossos serviços de aplicativos e de rede, a grande maioria dos dados que transitam pela nossa rede permanece nos servidores de borda da Cloudflare. Os metadados sobre essa atividade são processados em nome dos nossos clientes nos nossos data centers nos Estados Unidos e na Europa.

A Cloudflare mantém dados de log sobre os eventos em nossa rede. Alguns desses dados de log incluem informações sobre visitantes e/ou usuários autorizados dos domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) ou aplicativos de um cliente, incluindo o produto Cloudflare Zero Trust, conforme aplicável. Esses metadados contêm dados pessoais extremamente limitados, na maioria das vezes na forma de endereços de IP. Processamos esse tipo de informações em nome de nossos clientes nos nossos data centers nos EUA e na Europa por um período limitado.

Para a Cloudflare, a segurança é um elemento essencial para garantir a privacidade de dados. Desde o início da Cloudflare, em 2010, lançamos uma série de tecnologias de ponta que aprimoram a privacidade, normalmente à frente das demais empresas do ramo. Entre outras coisas, estas ferramentas permitem aos nossos clientes criptografar facilmente o conteúdo das comunicações através de Universal SSL; criptografar ou proteger os metadados nas comunicações usando novos protocolos como DNS sobre HTTPS, DNS sobre TLS e Oblivious HTTP além de controlar onde suas chaves SSL são mantidas ou onde seu tráfego é inspecionado.

A Cloudflare mantém um programa de segurança de acordo com os padrões líderes do setor. Nosso programa de segurança inclui mantermos políticas e procedimentos formais de segurança, estabelecermos controles de acesso lógicos e físicos adequados e implementarmos salvaguardas técnicas nos ambientes corporativos e de produção, incluindo o estabelecimento de configurações seguras, transmissão e conexões seguras, registros em log, monitoramento e a adoção de tecnologias de criptografia adequadas para dados pessoais.

Todos os funcionários da Cloudflare devem cursar um treinamento de integração que inclui a segurança da privacidade e da informação, seguido de retreinamentos anuais.

Atualmente mantemos as seguintes validações: conformidade com o ISO 27001, ISO 27701, SOC 2 Tipo II e PCI DSS Nível 1. Também somos certificados pelo European Cloud Code of Conduct e pelo padrão C5 2020 da Alemanha. Para saber mais sobre nossas certificações, clique aqui.

Para conferir as medidas de segurança que a Cloudflare oferece para a proteção de dados pessoais, inclusive dados pessoais transferidos da Coreia do Sul para os EUA, consulte o Apêndice 2 do nosso DPA padrão.

A Cloudflare incorpora em nossos produtos e serviços princípios de processamento de dados que são consistentes com a LGPD: coletar apenas os dados pessoais necessários para fornecer o serviço que você está oferecendo; não vender informações pessoais; dar às pessoas a capacidade de acessar, corrigir ou excluir suas informações pessoais; e, de acordo com nossa função como processador de dados, dar aos nossos clientes controle sobre as informações que, por exemplo, são armazenadas em cache em nossa rede de distribuição de conteúdo (CDN), armazenadas no Workers Key Value Store ou capturadas por nosso firewall de aplicativos web (WAF). Além disso, nosso Adendo ao Processamento de Dados (DPA), que cobre nossas obrigações de processamento de dados pessoais em nome de nossos clientes e é incorporado por referência em nosso Contrato de Serviço Enterprise e em nosso Contrato de Assinatura de Autoatendimento, oferece uma série de proteções adicionais para dados que processamos em nome de nossos clientes que são consistentes e, em muitos casos, vão além das proteções da LGPD. Como resultado, os dados pessoais do Brasil transferidos para os EUA têm proteção comparável àquela fornecida pela LGPD.

Os Estados Unidos não contam com uma lei de privacidade abrangente válida em todo o território nacional. Em vez disso, os EUA adotam uma abordagem de privacidade e proteção de dados específica para cada setor. Por exemplo, os EUA têm leis federais que regem a privacidade das informações sobre saúde pessoal (a Lei de Portabilidade e Responsabilidade de Seguros de Saúde, ou “HIPAA”), as informações processadas por instituições financeiras (a Lei Gramm-Leach-Bliley, ou “GLBA”) e instituições educacionais (a Lei de Privacidade e Direitos Educacionais da Família, ou “FERPA”). Além disso, a Comissão Federal de Comércio dos EUA (“FTC”) tem poderes para investigar e aplicar a lei de forma a proteger os consumidores contra práticas comerciais injustas e enganosas. Este poder da FTC tem sido usado para tomar medidas contra empresas por não implementarem medidas razoáveis de segurança de dados e por fazerem declarações de privacidade e segurança substancialmente imprecisas ou enganosas, inclusive nas políticas de privacidade.

A Cloudflare publica periodicamente um Relatório de Transparência detalhando as solicitações de divulgação recebidas e explicando como iremos responder. Em termos gerais, se recebermos uma solicitação de qualquer agência governamental ou autoridades de aplicação da lei solicitando dados de nossos clientes, assumimos um compromisso em nosso DPA no sentido de, salvo se proibido por lei, notificarmos nossos clientes a respeito de tal solicitação. Os clientes notificados a respeito de uma solicitação judicial pendente podem tentar intervir para evitar a divulgação de seus dados pessoais. Caso identifiquemos que tal pedido apresenta um conflito de leis, tal como quando o sujeito do pedido é um residente de uma jurisdição fora dos EUA, comprometemo-nos no nosso DPA a rejeitar tais pedidos e a procurar soluções legais.

Executive Order 14086 (“EO14086”). Em outubro de 2022, o presidente dos EUA, Biden, assinou a EO14086, que introduziu novas salvaguardas para as atividades de inteligência de sinais dos EUA, incluindo aquelas realizadas de acordo com a seção 702 da FISA, descrita abaixo. As proteções da EO14086 aplicáveis às transferências da Coreia do Sul para os EUA incluem salvaguardas para garantir que a privacidade e as liberdades civis sejam considerações integrais, de modo que (i) as atividades de inteligência de sinais sejam realizadas apenas quando “necessário” para promover uma prioridade de inteligência validada, e (ii) ) sejam realizadas apenas na medida e de maneira “proporcional” à prioridade de inteligência validada.

Seção 702. A Seção 702 da Lei de Vigilância de Inteligência Estrangeira (“FISA”) confere autoridade ao governo dos EUA para solicitar comunicações de pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Como o instrumento é normalmente utilizado para coletar o conteúdo de comunicações, os “provedores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na seção 702 são, de modo geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.

Conforme observado no nosso Relatório de Transparência, a Cloudflare não tem acesso a esse tipo de conteúdo tradicional de clientes para os fins de seus serviços básicos. Além disso, a Cloudflare há vários anos assumiu um compromisso público no sentido de jamais fornecer a nenhum governo um feed de conteúdo de nossos clientes em trânsito por nossa rede e que esgotaríamos todos os recursos legais caso nos pedissem para fazê-lo, de modo a proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais.

Ordem Executiva 12333. A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições que obriguem empresas dos EUA a prestar assistência.

A Cloudflare tem um compromisso de longa data no sentido de exigir um processo legal antes de fornecer a qualquer entidade governamental o acesso a dados de clientes se não houver uma emergência. Portanto, não iremos satisfazer solicitações voluntárias de dados ao abrigo da Ordem Executiva 12333. Além disso, a Cloudflare é líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o Universal SSL, tornando a criptografia, algo que costumava ser caro e difícil, gratuita para todos os clientes da Cloudflare. Na semana do lançamento, duplicamos o tamanho da web criptografada. Devido a um número crescente de leis que tentam afetar a criptografia, até assumimos um compromisso no sentido de jamais enfraquecer, comprometer ou subverter nossa criptografia a pedido de um governo ou outro terceiro.

Lei CLOUD. A Lei CLOUD (Clarifying Lawful Overseas Use of Data [Esclarecimento do Uso Legítimo de Dados no Exterior]) não amplia o alcance da autoridade investigativa dos EUA. As rigorosas exigências para que as autoridades de aplicação da lei obtenham um mandado de busca válido permanecem inalteradas. A Lei CLOUD também se aplica ao acesso a conteúdo que, de modo geral, não armazenamos, conforme descrito acima. É importante observar que, normalmente, as autoridades de aplicação da lei buscam obter dados junto à entidade que exerce um controle efetivo sobre esses dados (ou seja, nossos clientes) e não junto aos provedores de nuvem.

A Lei CLOUD fornece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare mantém um compromisso no sentido de contestar judicialmente quaisquer ordens judiciais que representem tais conflitos de leis. Até o momento não recebemos nenhuma ordem judicial que identificamos como apresentando conflitos dessa natureza.

Para terminar, tenham em mente que o nosso DPA assume um compromisso no sentido de que, salvo se proibido por lei, notificaremos o cliente se conseguirmos identificar que um processo judicial de terceiros, que solicite os dados pessoais que processamos em nome desse cliente, resulta em um conflito de leis. Os clientes notificados a respeito de uma solicitação judicial pendente podem tentar intervir para evitar a divulgação de seus dados pessoais.

A Cloudflare tem um forte compromisso com a transparência e a responsabilidade em relação ao processamento de dados pessoais conforme descrito acima, e nosso DPA torna muitos desses compromissos contratualmente vinculativos. Quando emitimos nosso primeiro relatório de transparência em 2014 para processos judiciais recebidos em 2013, prometemos que exigiríamos um processo judicial antes de fornecer a qualquer entidade governamental quaisquer dados de clientes caso não se tratasse de uma emergência e que notificaríamos nossos clientes em caso de qualquer processo judicial que solicitasse suas informações de cliente ou de faturamento antes de divulgarmos tais informações, salvo se proibido por lei. Declaramos publicamente que jamais entregamos chaves de criptografia a nenhum governo, nem fornecemos a qualquer governo um feed de conteúdo que transita em nossa rede ou implantamos equipamentos policiais em nossa rede. Também nos comprometemos a que, se nos pedissem para realizar qualquer uma dessas ações, “esgotaríamos todos os recursos legais para proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais.” Desde os primeiros dias da história da Cloudflare, reafirmamos esses compromissos duas vezes por ano e até mesmo os expandimos em nossos Relatórios de Transparência.

Também demonstramos nossa crença na transparência e nosso compromisso em proteger nossos clientes, movendo uma ação sempre que necessário. Em 2013, com a ajuda da Electronic Frontier Foundation, contestamos legalmente uma carta de segurança nacional (national security letter, NSL) dos EUA emitida administrativamente, de modo a proteger os direitos de nossos clientes devido a disposições que permitiam que o governo nos impedisse de divulgar informações sobre a NSL ao cliente afetado. A Cloudflare não forneceu informações sobre o cliente em resposta a essa solicitação, mas as disposições de confidencialidade permaneceram em vigor até que um tribunal suspendeu as restrições em 2016.

Com frequência reafirmamos nossa posição no sentido de que todas as solicitações governamentais de dados pessoais que estejam em conflito com as leis de privacidade do país de residência de uma pessoa devem ser contestadas judicialmente. (Confira, como um exemplo, nosso Relatório de Transparência e nosso artigo técnico Cloudflare’s policies around data privacy and law enforcement requests no que se refere a solicitações de dados por parte do governo). Em consonância com a jurisprudência e as estruturas estatutárias existentes nos EUA, a Cloudflare pode solicitar aos tribunais dos EUA que anulem uma solicitação de dados pessoais por parte das autoridades dos EUA com base em tal conflito de leis.

Nosso DPA padrão para nossos clientes incorpora o acréscimo das medidas complementares descritas acima e salvaguardas adicionais como compromissos contratuais. Você pode conferir esses compromissos contratuais na seção 7 do nosso DPA.

A LGPD permite transferências transfronteiriças de dados se determinadas condições forem atendidas. Acreditamos que nossa rede está em conformidade com a LGPD sem localizar dados porque nossos sistemas estão em conformidade com a LGPD devido às medidas de segurança que implementamos e devido aos compromissos de processamento de dados que assumimos em nosso Adendo ao Processamento de Dados (DPA), que é incorporado por referência em nossos acordos contratuais com todos os clientes.

Com isso em mente, reconhecemos que alguns de nossos clientes no Brasil precisariam que certos tipos de dados regulamentados permanecessem no Brasil e não fossem transferidos para os EUA para processamento. Estamos trabalhando na expansão do nosso pacote de localização de dados para o Brasil, para ajudar as empresas no Brasil a obter os benefícios de desempenho e segurança da rede global da Cloudflare, ao mesmo tempo que facilitamos a definição de regras e controles na borda sobre onde seus dados são armazenados e protegidos. Fique atento a este espaço para atualizações.