A Cloudflare e a conformidade com o RGPD

A Cloudflare é uma empresa de segurança, performance e confiabilidade sediada nos Estados Unidos, com operações globais, incluindo cinco escritórios na Europa, que fornecem uma ampla gama de serviços de rede a empresas de todos os tamanhos e em todas as regiões geográficas. Ajudamos a tornar os sites e aplicativos de internet de nossos clientes mais seguros, aprimoramos o desempenho de seus aplicativos essenciais para os negócios e eliminamos o custo e a complexidade do gerenciamento de hardwares de rede individuais. A rede global da Cloudflare, que é alimentada por servidores de borda em mais de 300 cidades ao redor do mundo, conforme descrito aqui, serve como base sobre a qual podemos desenvolver e implantar rapidamente produtos para nossos clientes.

Os tipos de dados pessoais que a Cloudflare processa em nome de um cliente dependem de quais serviços da Cloudflare são implementados. Para nossos serviços de aplicativos e serviços de rede mais populares, a Cloudflare não armazena conteúdo do cliente, nem tem qualquer controle dos dados que nossos clientes escolhem transmitir, rotear, alternar e armazenar em cache por meio de nossa rede global.Em um número limitado de casos, os produtos da Cloudflare podem ser usados para armazenamento de conteúdo. No entanto, independentemente dos serviços da Cloudflare que utilizam, nossos clientes são totalmente responsáveis por sua própria conformidade com a legislação aplicável e seus acordos contratuais independentes no que diz respeito aos dados que optam por transmitir, rotear, trocar e armazenar em cache, ou armazenar por meio da rede global da Cloudflare.

Para nossos serviços de aplicativos e de rede, a grande maioria dos dados que transitam pela rede da Cloudflare permanece nos servidores de borda da Cloudflare. Os metadados sobre essa atividade são processados em nome dos nossos clientes nos nossos data centers nos Estados Unidos e na Europa.

A Cloudflare mantém dados de log sobre os eventos em nossa rede. Alguns desses dados de log incluem informações sobre visitantes e/ou usuários autorizados dos domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) ou aplicativos de um cliente, incluindo o produto Cloudflare Zero Trust, conforme aplicável. Esses metadados contêm dados pessoais extremamente limitados, na maioria das vezes na forma de endereços de IP. Processamos esse tipo de informações em nome de nossos clientes nos nossos data centers principais nos EUA e na Europa por um período limitado.

Para a Cloudflare, a segurança é um elemento essencial para garantir a privacidade de dados. Desde o início da Cloudflare em 2010, lançamos uma série de tecnologias de ponta que aprimoram a privacidade, normalmente à frente das demais empresas do ramo. Entre outras coisas, estas ferramentas permitem aos nossos clientes criptografar facilmente o conteúdo das comunicações através de Universal SSL; criptografar ou proteger os metadados nas comunicações usando novos protocolos como DNS sobre HTTPS, DNS sobre TLS e Oblivious HTTP; e controlar onde suas chaves SSL são mantidas ou onde seu tráfego é inspecionado.

A Cloudflare mantém um programa de segurança que excede os padrões do setor. Nosso programa de segurança inclui mantermos políticas e procedimentos formais de segurança, estabelecermos controles de acesso lógicos e físicos adequados e implementarmos salvaguardas técnicas nos ambientes corporativos e de produção, incluindo o estabelecimento de configurações seguras, transmissão e conexões seguras, registros em log, monitoramento e a adoção de tecnologias de criptografia adequadas para dados pessoais.

Atualmente mantemos as seguintes validações: conformidade com o ISO 27001, ISO 27701, ISO 27018, SOC 2 Tipo II e PCI DSS Nível 1. Também somos certificados pelo European Cloud Code of Conduct e pelo padrão C5 2020 da Alemanha.Você pode saber mais sobre nossas certificações e relatórios clicando aqui.

Para ver as medidas de segurança que a Cloudflare oferece para a proteção de dados pessoais, inclusive dados pessoais transferidos do Espaço Econômico Europeu (EEE) para os EUA, consulte o Anexo 2 do nosso DPA padrão.

O Regulamento Geral de Proteção de Dados (GDPR) da UE oferece uma série de mecanismos legais para garantir que salvaguardas apropriadas, direitos executórios e recursos legais efetivos estejam disponíveis para titulares de dados europeus cujos dados pessoais sejam transferidos do Espaço Econômico Europeu (EEE) para um país terceiro – um país não coberto pelo GDPR ou considerado como tendo leis adequadas de proteção de dados em vigor.

Esses mecanismos incluem:

• Casos em que a Comissão da União Europeia (UE) tenha decidido que um país terceiro garante um nível adequado de proteção após avaliar o Estado de Direito desse país, o respeito pelos direitos humanos e pelas liberdades fundamentais, bem como uma série de outros fatores;

• Casos em que um processador ou controlador de dados tenha implementado regras corporativas vinculativas;

• Casos em que um processador ou controlador de dados tenha em vigor cláusulas de proteção de dados padrão adotadas pela Comissão; ou

• Casos em que um processador ou controlador de dados tenha em vigor um código de conduta aprovado ou um mecanismo de certificação aprovado.

Quando a Cloudflare transfere dados pessoais do EEE, da Suíça ou do Reino Unido (“UK”) internacionalmente, contamos com as Cláusulas Contratuais Padrão da UE (“SCCs”), incluindo medidas suplementares conforme necessário, ou, para transferências para os Estados Unidos, também certificamos nossa conformidade com a Estrutura de Privacidade de Dados UE-EUA (“DPF UE-EUA”), a Estrutura de Privacidade de Dados Suíça-EUA.(“DPF Suíça-EUA”) e/ou a Extensão do Reino Unido da DPF UE-EUA. Nosso Adendo padrão ao Processamento de Dados (“DPA”) continuará a incorporar as SCCs da UE para garantir que tenhamos múltiplas bases jurídicas para o processamento de dados.

Sim.Quando a Cloudflare transfere dados pessoais do Espaço Econômico Europeu, da Suíça ou do Reino Unido para os Estados Unidos, contamos com nossas certificações no âmbito da Estrutura de Privacidade de Dados UE-EUA, a Estrutura de privacidade de dados Suíça-EUA e a Extensão do Reino Unido da DPF UE-EUA, respectivamente. Caso essas certificações caduquem ou sejam invalidadas de outra forma, a Cloudflare dependerá das cláusulas contratuais padrão da UE, incluindo medidas suplementares conforme necessário para transferências para os Estados Unidos. Também utilizamos as cláusulas contratuais padrão para outras transferências internacionais do EEE, da Suíça ou do Reino Unido.

Em outubro de 2022, o presidente dos EUA, Biden, assinou a Ordem Executiva 14086 (“EO14086”), que introduziu novas salvaguardas para as atividades de inteligência de sinais dos EUA, a fim de tornar possível a Estrutura de Privacidade de Dados UE-(DPF) UE-EUA. Com base nas proteções proporcionadas pela EO14086, a Comissão Europeia concluiu a adequação da relação da DPF UE-EUA. É importante ressaltar que estas proteções se aplicam igualmente a todas as transferências, aquelas feitas de acordo com um das DPFs ou aquelas feitas sob as Cláusulas Contratuais Padrão da UE (veja a “Nota informativa sobre transferências de dados sob o GDPR para os Estados Unidos após a adoção da decisão de adequação de 10 de julho de 2023” do EDPB [European Data Protection Board]).

As proteções introduzidas pela EO14086 incluem salvaguardas para garantir que a privacidade e as liberdades civis sejam considerações integrais, de modo que (i) as atividades de inteligência de sinais sejam realizadas apenas quando “necessário” para promover uma prioridade de inteligência validada, e (ii) sejam conduzidas apenas na medida em que e de uma forma que seja “proporcional” à prioridade de inteligência validada. A EO14086 também fornece um mecanismo de reparação multicamadas para que os indivíduos obtenham revisão e reparação independentes e vinculativas de alegações de que as suas informações pessoais recolhidas através da inteligência de sinais dos EUA foram processadas de uma forma que viola os seus direitos de privacidade.

Como acreditamos que conquistar e manter a confiança do cliente é essencial, a Cloudflare implementou salvaguardas de proteção de dados muito antes do caso “Schrems II” (Caso C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems), incluindo muitas das salvaguardas adicionais recomendadas pelo EDPB nas suas orientações após o Schrems II (Recomendações 01/2020 sobre medidas que complementam as ferramentas de transferência para garantir a conformidade com o nível de proteção de dados pessoais da UE, adotada em 18 de junho de 2021).

A Cloudflare tem um forte compromisso com a transparência e a responsabilidade em relação ao processamento de dados pessoais conforme descrito acima, e nosso DPA torna muitos desses compromissos contratualmente vinculativos.Quando emitimos nosso primeiro relatório de transparência em 2014 para processos judiciais recebidos em 2013, prometemos que exigiríamos um processo judicial antes de fornecer a qualquer entidade governamental quaisquer dados de clientes caso não se tratasse de uma emergência e que notificaríamos nossos clientes em caso de qualquer processo judicial que solicitasse suas informações de cliente ou de faturamento antes de divulgarmos tais informações, salvo se proibido por lei. Declaramos publicamente que jamais entregamos chaves de criptografia a nenhum governo, nem fornecemos a qualquer governo um feed de conteúdo que transita em nossa rede ou implantamos equipamentos policiais em nossa rede. Também nos comprometemos a que, se nos pedissem para realizar qualquer uma dessas ações, “esgotaríamos todos os recursos legais para proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais.” Desde os primeiros dias da história da Cloudflare, reafirmamos esses compromissos duas vezes por ano e até mesmo os expandimos em nossos Relatórios de Transparência.

Também demonstramos nossa crença na transparência e nosso compromisso em proteger nossos clientes, movendo uma ação sempre que necessário. Em 2013, com a ajuda da Fundação das Fronteiras Eletrônicas, de modo a proteger os direitos de nossos clientes, contestamos legalmente uma carta de segurança nacional ("NSL") dos EUA emitida administrativamente com base em disposições que permitiam que o governo nos impedisse de divulgar informações sobre a NSL ao cliente envolvido. A Cloudflare não forneceu informações sobre o cliente em resposta a essa solicitação, mas as disposições de confidencialidade permaneceram em vigor até que um tribunal levantou as restrições em 2016.

Com frequência reafirmamos nossa posição no sentido de que todas as solicitações governamentais de dados pessoais que estejam em conflito com as leis de privacidade do país de residência de uma pessoa devem ser contestadas judicialmente. (confira, como um exemplo, nosso Relatório de Transparência e nosso artigo técnico Políticas da Cloudflare relativas à privacidade de dados e às solicitações das autoridades no que se refere a solicitações de dados por parte do governo). O EDPB reconheceu que o GDPR pode causar tal conflito nesta avaliação. Nosso compromisso de conformidade com o GDPR significa que a Cloudflare buscaria recursos legais antes de produzir dados identificados como estando sujeitos ao GDPR em resposta a uma solicitação de dados do governo dos EUA. Em consonância com a jurisprudência e as estruturas estatutárias existentes nos EUA, a Cloudflare pode solicitar aos tribunais dos EUA que anulem uma solicitação de dados pessoais por parte das autoridades dos EUA com base em tal conflito de leis.

Nosso adendo padrão ao processamento de dados (“DPA”) para nossos clientes incorpora as medidas e salvaguardas suplementares descritas acima como compromissos contratuais.Você pode conferir esses compromissos contratuais na seção 7 do nosso DPA. Por fim, mas não menos importante, temos em vigor medidas de segurança e protocolos de criptografia eficazes, os quais podem ser visualizados no Anexo 2 do nosso DPA.

Continuaremos a aplicar estas medidas e salvaguardas suplementares, além das salvaguardas adicionais concedidas ao abrigo da EO14086.

Como sempre, continuamos a monitorar os desenvolvimentos contínuos neste período e asseguraremos nossa conformidade contínua com os artigos 44 e 46 do GDPR da UE. Durante este período, continuaremos a cumprir os nossos compromissos no âmbito dos DPAs existentes, os nossos compromissos no âmbito das SCCs atuais e nossos compromissos sob nossa certificação no âmbito do certificado das Estruturas de Privacidade de Dados.

Acreditamos que as solicitações por parte do governo dos EUA de dados pessoais de uma pessoa que não é cidadã dos EUA e que entrem em conflito com as leis de privacidade do país de residência dessa pessoa (como, por exemplo, o GDPR na UE) devem ser contestadas judicialmente.

A Lei CLOUD não amplia o alcance da autoridade investigativa dos EUA. As rigorosas exigências para que as autoridades policiais obtenham um mandado de busca válido permanecem inalteradas. A Lei CLOUD também se aplica ao acesso a conteúdo que, de modo geral, não armazenamos, conforme descrito acima. Além disso, a Lei CLOUD não altera as práticas existentes quando as autoridades policiais dos EUA buscam acesso a dados corporativos. É importante observar que, normalmente, as autoridades policiais buscam obter dados junto à entidade que exerce um controle efetivo sobre esses dados (ou seja, nossos clientes) e não junto aos provedores de nuvem. Caso as autoridades policiais solicitem esses dados à Cloudflare, nós os encorajamos a solicitar os dados diretamente de nosso cliente e não de nós.

Achamos que será útil fornecer explicações adicionais sobre as autoridades de segurança nacional dos EUA referenciadas pelo TJUE (Tribunal de Justiça da União Europeia) na sua análise na decisão “Schrems II” (Case C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems).

Seção 702. A seção 702 da Lei de Vigilância de Inteligência Estrangeira confere autoridade ao governo dos EUA para solicitar comunicações de pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Como o instrumento é normalmente utilizado para coletar o conteúdo de comunicações, os “provedores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na seção 702 são, de modo geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.

Conforme observado no nosso Relatório de Transparência, a Cloudflare não tem acesso a esse tipo de conteúdo tradicional de clientes para os fins de seus serviços básicos. Além disso, a Cloudflare há vários anos assumiu um compromisso público no sentido jamais fornecer a nenhum governo um feed de conteúdo de nossos clientes em trânsito por nossa Rede e que esgotaríamos todos os recursos legais caso nos pedissem para fazê-lo, de modo a proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais.

Ordem Executiva 12333. A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições para obrigar a assistência de empresas dos EUA.

A Cloudflare tem um compromisso de longa data de exigir um processo legal antes de fornecer a qualquer entidade governamental acesso a dados de clientes fora de uma emergência. Portanto, não cumpriremos solicitações voluntárias de dados conforme a Ordem Executiva 12333. Além disso, a Cloudflare é líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o Universal SSL, tornando a criptografia (algo que costumava ser caro e difícil) gratuita para todos os clientes da Cloudflare. Na semana do lançamento, dobramos o tamanho da web criptografada. Devido a um número crescente de leis que tentam tratar da criptografia, até declaramos que jamais enfraquecemos, comprometemos ou subvertemos nossa criptografia a pedido de um governo ou outro terceiro.

Quando a Cloudflare transfere dados pessoais do EEE, da Suíça ou do Reino Unido (“UK”) internacionalmente, contamos com as Cláusulas Contratuais Padrão da UE (“SCCs”), incluindo medidas suplementares conforme necessário, ou, para transferências para os Estados Unidos, também certificamos nossa conformidade com a Estrutura de Privacidade de Dados UE-EUA (“DPF UE-EUA”), a Estrutura de Privacidade de Dados Suíça-EUA.(“DPF Suíça-EUA”) e a Extensão do Reino Unido da DPF UE-EUA. Essas declarações estão contidas em nosso DPA padrão, que é incorporado por referência em nosso Contrato de Assinatura de Autoatendimento. Na medida em que a transferência de dados pessoais exija as SCCs, o nosso DPA incorpora as SCCs para estes dados. Por conseguinte, não são necessárias quaisquer medidas para garantir a existência de mecanismos adequados de transferência transfronteiriça de dados.

Quando a Cloudflare transfere dados pessoais do EEE, da Suíça ou do Reino Unido (“UK”) internacionalmente, contamos com as Cláusulas Contratuais Padrão da UE (“SCCs”), incluindo medidas suplementares conforme necessário, ou, para transferências para os Estados Unidos, também certificamos nossa conformidade com a Estrutura de Privacidade de Dados UE-EUA (“DPF UE-EUA”), a Estrutura de Privacidade de Dados Suíça-EUA.(“DPF Suíça-EUA”) e a Extensão do Reino Unido da DPF UE-EUA. Essas declarações estão contidas em nosso DPA padrão, que é incorporado em nosso Contrato de assinatura Enterprise ("ESA") padrão. Por conseguinte, não são necessárias quaisquer medidas para garantir a existência de mecanismos adequados de transferência transfronteiriça de dados.

Os clientes do plano Enterprise estão sujeitos ao nosso ESA padrão se tiverem celebrado o ESA com a Cloudflare após 8 de agosto de 2019, inclusive, e não tiverem um contrato personalizado. Os clientes Enterprise com versões mais antigas do nosso ESA ou com ESAs ou DPAs personalizados podem não ter o mecanismo de transferência de dados transfronteiriço documentado. Esses clientes ou quaisquer outros clientes Enterprise com dúvidas sobre seu DPA podem entrar em contato com o gerente de Customer Success.

Sabemos que alguns de nossos clientes preferem que todos os dados pessoais sujeitos ao GDPR (ou aos seus equivalentes no Reino Unido ou na Suíça) permaneçam na UE e não sejam transferidos para os EUA para processamento. Com isso em mente, anunciamos o Cloudflare Data Localization Suite, que ajuda as empresas a obter os benefícios de desempenho e segurança da rede global da Cloudflare e, ao mesmo tempo, facilita a definição de regras e controles na borda sobre onde os seus dados são armazenados e protegidos.

O Pacote de Localização de Dados reúne algumas ofertas existentes com alguns recursos novos:

a) Serviços Regionais. A Cloudflare tem data centers em mais de 300 cidades, localizadas em mais de 100 países. Juntamente com nossa solução Geo Key Manager, os Serviços Regionais permitem que os clientes escolham as localizações dos data centers onde as chaves TLS são armazenadas e a terminação do TLS ocorre. O tráfego é ingerido globalmente, aplicando mitigações de DDoS nas camadas 3 e 4, enquanto as funções de segurança, desempenho e confiabilidade (como WAF, CDN, mitigação de DDoS etc.) são executadas somente em data centers designados da Cloudflare.

b) Metadata Boundary. O Customer Metadata Boundary garante que os metadados de tráfego do usuário final possam identificar um cliente que permanece na União Europeia. Isso inclui todos os logs e análises de dados que um cliente pode visualizar. Isso é feito assegurando que os metadados do usuário final possam identificar se há fluxo de cliente através de um serviço único em nossa borda, antes de ser encaminhado a um de nossos data centers principais. Quando o Metadata Boundary estiver habilitado para um cliente, nossa Borda assegura que qualquer mensagem de log que identifique aquele cliente (ou seja, contém o ID da conta daquele cliente) não seja enviada para fora da UE. Ela será enviada somente ao nosso data center principal na UE.

c) Keyless SSL. O Keyless SSL permite que um cliente armazene e gerencie suas próprias chaves privadas de SSL que serão usadas com a Cloudflare. Os clientes podem usar vários sistemas para armazenar suas chaves, incluindo módulos de segurança de hardware ("HSMs"), servidores virtuais e hardware rodando Unix/Linux e Windows hospedado em ambientes controlados pelos clientes.

d) Geo key Manager. A Cloudflare tem uma base de clientes verdadeiramente internacional. Aprendemos que os clientes em todo o mundo têm diferentes exigências regulamentares e estatutárias, além de perfis de risco distintos no que diz respeito à colocação de suas chaves privadas. Com essa filosofia em mente, nos propusemos a desenvolver um sistema muito flexível para decidir onde as chaves podem ser guardadas. O Geo Key Manager permite que os clientes limitem a exposição de suas chaves privadas a determinados locais. É semelhante ao Keyless SSL, mas você não precisa executar um servidor de chaves dentro de sua infraestrutura: a Cloudflare hospeda servidores de chaves nos locais de sua escolha.

Conforme descrito no nosso Relatório de Transparência, a Cloudflare exige um processo legal válido antes de fornecer as informações pessoais de nossos clientes a entidades governamentais ou litigantes civis.Exceto no caso de uma emergência que envolva perigo de morte ou lesões físicas graves a qualquer pessoa, não fornecemos informações pessoais dos nossos clientes a funcionários governamentais em resposta a solicitações que não incluam processos legais.

Para garantir que nossos clientes tenham a oportunidade de fazer valer seus direitos, é política da Cloudflare notificá-los sobre uma intimação ou outro processo legal que solicite suas informações antes da divulgação dessas informações, seja o processo legal proveniente do governo ou de partes privadas envolvidas em um litígio cível, salvo se proibido por lei. Especificamente, o nosso DPA declara que, salvo se proibido por lei, notificaremos os Clientes se conseguirmos identificar que o processo legal de terceiros que solicita dados pessoais que processamos em nome desse Cliente provoca um conflito de leis, por exemplo, quando os dados pessoais são regidos pelo GDPR. Os Clientes notificados de uma solicitação legal pendente de seus dados pessoais podem procurar intervir para evitar que sejam divulgados.

Além disso, a lei dos EUA fornece mecanismos para que as empresas contestem pedidos que apresentem potenciais conflitos de leis, como uma solicitação legal de dados sujeitos ao GDPR. A Lei CLOUD, por exemplo, fornece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare mantém um compromisso no sentido de contestar judicialmente quaisquer ordens judiciais que representem tais conflitos de leis. Até o momento, não recebemos ordens que identificamos como apresentando tal conflito.

Em outubro de 2022, o presidente dos EUA, Biden, assinou a Ordem Executiva 14086, que introduziu novas salvaguardas para as atividades de inteligência de sinais dos EUA, a fim de tornar possível a Estrutura de Privacidade de Dados UE-EUA. Entre estas salvaguardas está a criação de um mecanismo de reparação para indivíduos que aleguem que os seus dados pessoais foram recolhidos ilegalmente através de programas de inteligência de sinais.Os indivíduos podem apresentar uma queixa junto ao Civil Liberties Protection Officer (“CPLO”) dos EUA, que pode investigar essas queixas e emitir decisões vinculativas contra as agências de inteligência.As decisões do CPLO podem ser objeto de recurso para um recém-criado Data Protection Review Court (“DPRC”).

Finalmente, em conformidade com o DPF UE-EUA, a extensão do Reino Unido ao DPF UE-EUA (em conjunto, “os DPFs”) e o DPF Suíça-EUA (em conjunto, os “DPFs”), a Cloudflare se compromete a resolver as reclamações relacionadas aos princípios dos DPFs sobre nossa coleta e uso de suas informações pessoais.Para mais informações, consulte a seção 7 da nossa Política de Privacidade.

Temos prestado muita atenção às mudanças que o Reino Unido está fazendo na área de proteção de dados desde sua saída da União Europeia. Atualmente, o GDPR da UE foi salvo na legislação do Reino Unido em virtude da seção 3 da Lei (Retirada) da União Europeia do Reino Unido de 2018 e da Lei de Proteção de Dados do Reino Unido de 2018 (o "GDPR do Reino Unido"). De acordo com o Adendo de Transferência Internacional de Dados (Versão B1.0) emitido pelo Gabinete do Comissário de Informação do Reino Unido sob o s.119(A) da Lei de Proteção de Dados do Reino Unido de 2018 (o “Adendo do Reino Unido”), a Cloudflare pode transferir dados pessoais do Reino Unido para fora do Reino Unido com base no mecanismo de SCC da UE, juntamente com o Adendo do Reino Unido. Dependendo de nossos acordos com nossos clientes, a Cloudflare contará com o mecanismo de SCCs da UE juntamente com o Adendo do Reino Unido, além de medidas suplementares, ou a Cloudflare contará com a extensão do Reino Unido da Estrutura de Privacidade de Dados UE-EUA assim que for aprovada.