Compromisso da Cloudflare com a conformidade com o GDPR

A Cloudflare é uma empresa de segurança, performance e confiabilidade sediada nos Estados Unidos, com operações globais — incluindo cinco escritórios na Europa —que fornecem uma ampla gama de serviços de rede a empresas de todos os tamanhos e em todas as regiões geográficas. Ajudamos a tornar os sites e aplicativos de internet de nossos clientes mais seguros, aprimoramos a performance de seus aplicativos essenciais para os negócios e eliminamos o custo e a complexidade do gerenciamento de hardwares de rede individuais. A Rede Global da Cloudflare , que é alimentada por mais de 200 servidores de borda em todo o mundo, conforme descrito aqui, serve como uma base sobre a qual podemos desenvolver e implantar rapidamente nossos produtos para nossos clientes.

A Cloudflare não tem acesso nem exerce qualquer controle sobre os dados que seus clientes optam por transmitir, rotear, migrar e armazenar em cache por meio da nossa Rede Global. Em um número limitado de casos, os produtos da Cloudflare podem ser usados para armazenamento de conteúdo. No entanto, independentemente dos serviços da Cloudflare que utilizam, nossos clientes são totalmente responsáveis por sua própria conformidade com a legislação aplicável e seus acordos contratuais independentes no que diz respeito aos dados que optam por transmitir, rotear, trocar e armazenar em cache, ou armazenar por meio da Rede Global da Cloudflare.

Os tipos de dados pessoais que a Cloudflare processa em nome de um cliente dependem de quais serviços da Cloudflare são implementados. A grande maioria dos dados que transitam na Rede da Cloudflare permanece nos servidores de borda da Cloudflare, enquanto os metadados referentes a essa atividade são processados em nome de nossos clientes em nossos data centers principais, nos EUA e na Europa.A Cloudflare mantém dados de registros sobre os eventos em nossa Rede. Alguns desses dados de registros incluirão informações sobre visitantes e/ou usuários autorizados dos domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) ou aplicativos de um cliente, incluindo o produto Cloudflare Zero Trust, conforme aplicável. Esses metadados contêm dados pessoais extremamente limitados, na maioria das vezes na forma de endereços de IP. Processamos esse tipo de informações em nome de nossos clientes nos nossos data centers principais nos EUA e na Europa por um período limitado.

Para a Cloudflare, a segurança é um elemento essencial para garantir a privacidade de dados. Desde o lançamento da Cloudflare em 2010, lançamos uma série de tecnologias de ponta que aprimoram a privacidade, normalmente à frente das demais empresas do ramo. Entre outras coisas, essas ferramentas permitem aos nossos clientes criptografar facilmente o conteúdo das comunicações por meio de SSL universal, criptografar os metadados em comunicações usando DNS sobre HTTPS ou DNS sobre TLS e SNI criptografado, bem como controlar onde suas chaves SSL são mantidas ou onde seu tráfego é inspecionado.

A Cloudflare mantém um programa de segurança que excede os padrões do setor. Nosso programa de segurança inclui mantermos políticas e procedimentos formais de segurança, estabelecermos controles de acesso lógicos e físicos adequados e implementarmos salvaguardas técnicas nos ambientes corporativos e de produção, incluindo o estabelecimento de configurações seguras, transmissão e conexões seguras, registros em log, monitoramento e a adoção de tecnologias de criptografia adequadas para dados pessoais.

Atualmente mantemos as seguintes validações: conformidade com o ISO 27001, ISO 27701, ISO 27018, SOC 2 Tipo II e PCI DSS Nível 1. Você pode saber mais sobre nossas certificações e relatórios clicando aqui.

Para ver as medidas de segurança que a Cloudflare oferece para a proteção de dados pessoais, inclusive dados pessoais transferidos do Espaço Econômico Europeu (EEE) para os EUA, consulte o Anexo 2 do nosso DPA padrão.

O Regulamento Geral de Proteção de Dados (GDPR) da UE oferece uma série de mecanismos legais para garantir que salvaguardas apropriadas, direitos executórios e recursos legais efetivos estejam disponíveis para titulares de dados europeus cujos dados pessoais sejam transferidos do Espaço Econômico Europeu (EEE) para um país terceiro – um país não coberto pelo GDPR ou considerado como tendo leis adequadas de proteção de dados em vigor.

Esses mecanismos incluem:

• Casos em que a Comissão da União Europeia (UE) tenha decidido que um país terceiro garante um nível adequado de proteção após avaliar o Estado de Direito desse país, o respeito pelos direitos humanos e pelas liberdades fundamentais, bem como uma série de outros fatores;

• Casos em que um processador ou controlador de dados tenha implementado regras corporativas vinculativas;

• Casos em que um processador ou controlador de dados tenha em vigor cláusulas de proteção de dados padrão adotadas pela Comissão; ou

• Casos em que um processador ou controlador de dados tenha em vigor um código de conduta aprovado ou um mecanismo de certificação aprovado.

A Cloudflare se baseia nas Cláusulas Contratuais Padrão ("SCCs") europeias, além de medidas complementares como um mecanismo legal para transferir dados pessoais do EEE para os EUA. Anteriormente, a Cloudflare também se baseava na decisão de adequação concedida ao Privacy Shield. Entretanto, em julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) invalidou o paradigma Privacy Shield UE-EUA no caso “Schrems II” (Caso C-311/18, Data Protection Commissioner contra Facebook Ireland e Maximillian Schrems). A anulação do Privacy Shield não altera as fortes proteções de privacidade de dados que a Cloudflare tem em vigor para os dados pessoais que processamos em nome de nossos clientes. Ademais, continuaremos a seguir os princípios de proteção de dados com os quais nos comprometemos quando nos certificamos conforme os termos do Privacy Shield.Em Março de 2022, a Comissão da UE e o Departamento de Comércio dos EUA se comprometeram com uma nova Estrutura de Privacidade de Dados Transatlântica que iria reger as transferências de dados do EEE aos EUA. Estamos acompanhando de perto esses desenvolvimentos, e determinaremos se iremos utilizar esta estrutura quando mais detalhes sobre sua implementação estiverem disponíveis.

Como acreditamos que ganhar e manter a confiança do cliente é essencial, a Cloudflare tem mantido salvaguardas de proteção de dados em vigor muito antes do caso Schrems II. Quando emitimos nosso primeiro relatório de transparência em 2014 para processos legais recebidos em 2013, prometemos que exigiríamos um processo legal antes de fornecer a qualquer entidade governamental quaisquer dados de clientes fora de uma emergência e que forneceríamos aos nossos clientes um aviso de qualquer processo legal que solicitasse suas informações de cliente ou de cobrança, antes de divulgarmos essas informações, salvo se proibido por lei. Declaramos publicamente que jamais entregamos chaves de criptografia a nenhum governo, fornecemos a qualquer governo um feed de conteúdo em trânsito na nossa rede ou implantamos equipamentos policiais na nossa rede. Também prometemos que, se nos pedissem para realizar qualquer uma dessas ações, “esgotaríamos todos os recursos legais para proteger nossos clientes do que acreditamos serem solicitações ilegais ou inconstitucionais”. Desde os primeiros dias da história da Cloudflare, reafirmamos esses compromissos duas vezes por ano, e até mesmo os expandimos, nos nossos Relatórios de Transparência.

Também demonstramos nossa crença na transparência e nosso compromisso em proteger nossos clientes, movendo uma ação sempre que necessário. Em 2013, com a ajuda da Fundação das Fronteiras Eletrônicas, de modo a proteger os direitos de nossos clientes, contestamos legalmente uma carta de segurança nacional ("NSL") dos EUA emitida administrativamente com base em disposições que permitiam que o governo nos impedisse de divulgar informações sobre a NSL ao cliente envolvido. A Cloudflare não forneceu informações sobre o cliente em resposta a essa solicitação, mas as disposições de confidencialidade permaneceram em vigor até que um tribunal levantou as restrições em 2016.

Com frequência reafirmamos nossa posição no sentido de que todas as solicitações governamentais de dados pessoais que estejam em conflito com as leis de privacidade do país de residência de uma pessoa devem ser contestadas judicialmente. (confira, como um exemplo, nosso Relatório de Transparência e nosso artigo técnico Políticas da Cloudflare relativas à privacidade de dados e às solicitações das autoridades no que se refere a solicitações de dados por parte do governo). O EDPB reconheceu que o GDPR pode causar tal conflito nesta avaliação. Nosso compromisso de conformidade com o GDPR significa que a Cloudflare buscaria recursos legais antes de produzir dados identificados como estando sujeitos ao GDPR em resposta a uma solicitação de dados do governo dos EUA. Em consonância com a jurisprudência e as estruturas estatutárias existentes nos EUA, a Cloudflare pode solicitar aos tribunais dos EUA que anulem uma solicitação de dados pessoais por parte das autoridades dos EUA com base em tal conflito de leis.

Atualizamos nosso Adendo ao Processamento de Dados (DPA) padrão para nossos clientes com a finalidade de incorporar as medidas e proteções adicionais descritas acima na forma de compromissos contratuais. Você pode conferir esses compromissos contratuais na seção 7 do nosso DPA.

Acreditamos que as solicitações por parte do governo dos EUA de dados pessoais de uma pessoa que não é cidadã dos EUA e que entrem em conflito com as leis de privacidade do país de residência dessa pessoa (como, por exemplo, o GDPR na UE) devem ser contestadas judicialmente.

A Lei CLOUD não amplia o alcance da autoridade investigativa dos EUA. As rigorosas exigências para que as autoridades policiais obtenham um mandado de busca válido permanecem inalteradas. A Lei CLOUD também se aplica ao acesso a conteúdo que, de modo geral, não armazenamos, conforme descrito acima. Além disso, a Lei CLOUD não altera as práticas existentes quando as autoridades policiais dos EUA buscam acesso a dados corporativos. É importante observar que, usualmente, as autoridades policiais buscam obter dados junto à entidade que exerce um controle efetivo sobre esses dados (isto é, nossos clientes) e não junto aos provedores de nuvem.

A Cloudflare continuará disponibilizando as SCCs, além das medidas complementares, aos nossos clientes cujos dados estejam sujeitos ao GDPR. Estamos acompanhando de perto os acontecimentos nessa área, bem como em torno de mecanismos de transferência alternativos.

Entendemos que, à luz do caso Schrems II, nossos clientes estão buscando garantias adicionais de que os dados sujeitos ao GDPR e transferidos aos EUA receberão proteção adequada no âmbito do GDPR. Discutimos essas salvaguardas adicionais acima.

Como o TJUE considerou várias autoridades de segurança nacional dos EUA em sua análise no caso Schrems II, vimos algumas perguntas sobre a aplicação dessas autoridades aos processadores de dados dos EUA. Explicar se, ou como, essas autoridades são relevantes para uma transferência de dados requer uma explicação adicional das autoridades mencionadas pelo TJUE.Seção 702. A seção 702 da Lei de Vigilância de Inteligência Estrangeira (“FISA”) confere autoridade ao governo dos EUA para solicitar comunicações de pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Como o instrumento é normalmente utilizado para coletar o conteúdo de comunicações, os “provedores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na seção 702 são, de modo geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.

Conforme observado no nosso Relatório de Transparência, a Cloudflare não tem acesso a esse tipo de conteúdo tradicional de clientes para os fins de seus serviços básicos. Além disso, a Cloudflare mantém um compromisso público assumido há muitos anos no sentido de que jamais fornecemos a nenhum governo o feed de conteúdo de nossos clientes que transita na nossa rede e de que esgotaríamos todos os recursos legais se nos pedissem para fazê-lo, para proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais

Ordem Executiva 12333 A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas não americanas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições que obriguem empresas dos EUA a prestar assistência.

A Cloudflare tem um compromisso de longa data de exigir um processo legal antes de fornecer a qualquer entidade governamental acesso a dados de clientes fora de uma emergência. Portanto, não cumpriremos solicitações voluntárias de dados conforme a Ordem Executiva 12333. Além disso, a Cloudflare é líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o Universal SSL, tornando a criptografia (algo que costumava ser caro e difícil) gratuita para todos os clientes da Cloudflare. Na semana do lançamento, dobramos o tamanho da web criptografada. Devido a um número crescente de leis que tentam tratar da criptografia, até declaramos que jamais enfraquecemos, comprometemos ou subvertemos nossa criptografia a pedido de um governo ou outro terceiro.

A Cloudflare já implementou muitas das proteções adicionais recomendadas pelo EDPB em suas orientações (Recomendações 01/2020 sobre medidas que complementam as ferramentas de transferência, para assegurar a conformidade com o nível de proteção de dados pessoais da UE adotadas em 18 de junho de 2021). A Cloudflare tem um forte compromisso com a transparência e responsabilidade em relação ao processamento de dados pessoais, conforme descrito acima, e já atualizamos o nosso Adendo de processamento de dados (Data Processing Addendum, DPA) para assumir uma série dos nossos compromissos contratualmente vinculativos. Também seguiremos publicando nosso Relatório de Transparência. Por fim, mas não menos importante, temos em vigor medidas de segurança e protocolos de criptografia eficazes, os quais podem ser visualizados no Anexo 2 do nosso DPA.

Como sempre, continuamos a monitorar os desenvolvimentos contínuos neste período e asseguraremos nossa conformidade contínua com os artigos 44 e 46 do GDPR da UE. Durante esse período, prosseguiremos com os nossos compromissos nos termos dos DPAs existentes e nos termos em vigor conforme previstos nas Cláusulas contratuais padrão SCCs.

Nosso Contrato de assinatura de autoatendimento incorpora nosso DPA padrão por referência. Além disso, se os dados pessoais que processamos em nome de um cliente de autoatendimento forem regidos pelo GDPR, nosso DPA incorpora as cláusulas contratuais padrão da UE para esses dados. Por conseguinte, não é necessária nenhuma ação para garantir que as cláusulas contratuais padrão estejam em vigor. Nosso DPA também incorpora as seguintes garantias descritas acima.

Embora o DPA seja incorporado por referência, disponibilizamos nosso DPA padrão no painel do cliente. Quando estiver em seu Painel, acesse a guia Configurações, depois clique em Preferências para visualizar e acessar o DPA.

Nosso Contrato de assinatura Enterprise (“ESA”) padrão incorpora nosso DPA padrão por referência. Portanto, nenhuma ação é necessária para esses clientes. Na medida em que os dados pessoais que processamos em nome de um cliente forem regidos pelo GDPR, nosso DPA incorpora as clausulas contratuais padrão da UE. Nosso DPA padrão também incorpora as proteções adicionais descritas acima.

Os clientes do plano Enterprise estarão sujeitos ao nosso ESA padrão se tiverem celebrado o ESA com a Cloudflare após 8 de agosto de 2019, inclusive, e não tiverem um contrato personalizado. Os clientes Enterprise com versões mais antigas do nosso ESA, ou ainda com ESAs ou DPAs personalizados, podem não ter as cláusulas contratuais padrão da UE em vigor, no entanto. Estamos contatando esses clientes para assegurar que eles tenham o idioma contratual mais atualizado em vigor. Esses Clientes podem concordar com nosso DPA padrão, disponível no painel do cliente, visto que ele inclui as cláusulas contratuais padrão de 2021 da UE e nosso idioma adicional de garantia. Os clientes que, anteriormente, contavam com as certificações do Privacy Shield da UE-EUA e Suíça-EUA da Cloudflare, devem concordar com o nosso DPA atualizado disponível no painel do cliente também. Ao acessar o seu painel, vá para a aba Configurações e, em seguida, Preferências. Favor revisar e aceitar o DPA.

Os clientes Enterprise podem entrar em contato com seus Gerentes de Customer Success para apresentar suas dúvidas acerca de seus DPA.

Incorporamos as novas SCCs da Comissão Europeia, lançadas em 4 de julho de 2021, a todos os contratos de novos clientes sujeitos ao GDPR. As novas SCCs contêm uma cláusula de caducidade de 18 meses para permitir a implementação e serão aplicadas aos nossos clientes durante esse período.

Sabemos que alguns de nossos clientes preferem que todos os dados pessoais sujeitos ao GDPR permaneçam na UE e não sejam transferidos para os EUA para processamento. Com isso em mente, anunciamos o Data Localization Suite, que ajuda as empresas a obter os benefícios de performance e segurança da rede global da Cloudflare e, ao mesmo tempo, facilita a definição de normas e controles periféricos sobre onde os seus dados são armazenados e protegidos.

O Data Localisation Suite reúne algumas ofertas existentes com alguns novos recursos:

• Serviços regionais. A Cloudflare tem data centers em mais de 200 cidades, localizadas em mais de 100 países. Juntamente com nossa solução Geo Key Manager, os Serviços Regionais permitem que os Clientes escolham as localizações dos data centers onde as chaves TLS são armazenadas e a desativação TLS ocorre. O tráfego é ingerido globalmente, com a aplicação de mitigações de DDoS nas camadas 3/4, enquanto as funções de segurança, desempenho e confiabilidade (como WAF, CDN, mitigação de DDoS etc.) são executadas somente em data centers designados da Cloudflare.

• Metadata Boundary. O Customer Metadata Boundary garante que os metadados de tráfego do usuário final possam identificar um cliente que permanece na União Europeia. Isso inclui todos os logs e análises de dados que um cliente pode visualizar. Isso é feito assegurando que os metadados do usuário final possam identificar se há fluxo de cliente através de um serviço único em nossa borda, antes de ser encaminhado a um de nossos data centers principais. Quando o Metadata Boundary estiver habilitado para um cliente, nossa Borda assegura que qualquer mensagem de log que identifique aquele cliente (ou seja, contém a ID da conta daquele cliente) não seja enviada para fora da UE. Ela será enviada somente ao nosso data center principal na UE.

• Keyless SSL. O Keyless SSL permite que um cliente armazene e gerencie suas próprias chaves SSL Privadas para usar com a Cloudflare. Os clientes podem usar vários sistemas para armazenar suas chaves, incluindo módulos de segurança de hardware ("HSMs"), servidores virtuais e hardware rodando Unix/Linux e Windows hospedado em ambientes controlados pelos clientes.

• Geo Key Manager. A Cloudflare tem uma base de clientes verdadeiramente internacional, e aprendemos que os clientes em todo o mundo têm diferentes exigências regulamentares e estatutárias, além de perfis de risco distintos no que diz respeito ao posicionamento de suas chaves privadas. Com essa filosofia em mente, nos propusemos a desenvolver um sistema muito flexível para decidir onde as chaves podem ser mantidas. O Geo Key Manager permite que os clientes limitem a exposição de suas chaves privadas a determinados locais. É semelhante ao Keyless SSL, mas, em vez de requerer a execução de um servidor de chaves dentro de sua infraestrutura, é a Cloudflare que hospeda servidores de chaves nos locais de sua escolha.

Conforme descrito no nosso Relatório de Transparência, a Cloudflare exige um processo legal válido antes de fornecer as informações pessoais de nossos clientes a entidades governamentais ou litigantes civis, salvo em caso de emergência. Não fornecemos informações pessoais de nossos clientes a representantes do governo em resposta a solicitações que não incluem processos legais.

Para garantir que nossos clientes tenham a oportunidade de fazer valer seus direitos, é política da Cloudflare notificá-los sobre uma intimação ou outro processo legal que solicite suas informações antes da divulgação dessas informações, seja o processo legal proveniente do governo ou de partes privadas envolvidas em um litígio cível, salvo se proibido por lei. Especificamente, o nosso DPA declara que, salvo se proibido por lei, notificaremos os Clientes se conseguirmos identificar que o processo legal de terceiros que solicita dados pessoais que processamos em nome desse Cliente provoca um conflito de leis, por exemplo, quando os dados pessoais são regidos pelo GDPR. Os Clientes notificados de uma solicitação legal pendente de seus dados pessoais podem procurar intervir para evitar que sejam divulgados.

Além disso, a lei dos EUA fornece mecanismos para que as empresas contestem pedidos que apresentem potenciais conflitos de leis, como uma solicitação legal de dados sujeitos ao GDPR. A Lei CLOUD, por exemplo, fornece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare mantém um compromisso no sentido de contestar judicialmente quaisquer ordens judiciais que representem tais conflitos de leis. Até o momento, não recebemos ordens que identificamos como apresentando tal conflito.

Temos prestado muita atenção às mudanças que o Reino Unido está fazendo na área de proteção de dados desde sua saída da União Europeia. A Cloudflare continuará utilizando o mecanismo das SCCs da UE em conjunto com o adendo de transferência de dados do Reino Unido, os quais estão incluídos em nosso DPA padrão para transferência de dados pessoais fora do Reino Unido e do EEE. Consulte nossas instruções acima para assegurar que você tenha o devido DPA em vigor. Continuamos a monitorar os desenvolvimentos contínuos nesse período e asseguraremos nossa conformidade contínua com os regulamentos globais e de proteção de dados do Reino Unido.