A Cloudflare e a conformidade com o RGPD

A Cloudflare é uma empresa de segurança, desempenho e confiabilidade, com sede nos Estados Unidos (EUA), que oferece uma grande variedade de serviços de rede para empresas de todos os portes e em todas as regiões. Ajudamos a tornar as empresas mais seguras, aprimoramos o desempenho de aplicativos críticos para os seus negócios e eliminamos o custo e a complexidade de gerenciamento de um hardware de rede individual. A rede Anycast da Cloudflare, que é alimentada por mais de 200 servidores de borda em todo o mundo conforme descrito aqui, serve como uma base sobre a qual podemos desenvolver e implantar rapidamente nossos produtos para nossos clientes.

A Cloudflare não tem acesso nem tem qualquer controle sobre os dados que seus clientes escolhem transmitir, rotear, trocar e armazenar em cache por meio da Rede Anycast da Cloudflare. Em um número limitado de casos, os produtos Cloudflare podem ser usados para armazenamento de conteúdo. No entanto, independentemente dos serviços da Cloudflare usados, nossos clientes são totalmente responsáveis por sua própria conformidade com a lei aplicável e seus acordos contratuais independentes no que diz respeito aos dados que escolhem transmitir, rotear, trocar, armazenar em cache ou armazenar por meio da Rede Anycast da Cloudflare.

Os tipos de dados pessoais que a Cloudflare processa em nome de um cliente dependem de quais serviços da Cloudflare são implementados. A grande maioria dos dados que transitam na rede da Cloudflare permanece nos servidores de borda da Cloudflare, enquanto os metadados referentes a essa atividade são processados em nome de nossos clientes no nosso principal data center nos EUA.

A Cloudflare mantém dados de log sobre os eventos em nossa rede. Alguns desses dados de log incluirão informações sobre visitantes e/ou usuários autorizados de domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) ou aplicativos de um cliente, incluindo o produto Cloudflare for Teams, conforme o caso. Estes metadados contêm dados pessoais extremamente limitados, na maioria das vezes sob a forma de endereços de IP. Processamos esse tipo de informações em nome de nossos clientes no nosso principal data center nos EUA por um período limitado.

Para a Cloudflare, a segurança é um elemento essencial para garantir a privacidade de dados. Desde o lançamento da Cloudflare em 2010, lançamos uma série de tecnologias de ponta que aprimoram a privacidade, normalmente à frente das demais empresas do ramo. Entre outras coisas, essas ferramentas permitem aos nossos clientes criptografar facilmente o conteúdo das comunicações por meio de SSL universal, criptografar os metadados em comunicações usando DNS sobre HTTPS ou DNS sobre TLS e SNI criptografado, bem como controlar onde suas chaves SSL são mantidas ou onde seu tráfego é inspecionado.

A Cloudflare mantém um programa de segurança de acordo com os padrões do setor. O programa de segurança inclui a manutenção de políticas e procedimentos formais de segurança, o estabelecimento de controles de acesso lógicos e físicos adequados e a implementação de salvaguardas técnicas em ambientes corporativos e de produção, incluindo o estabelecimento de configurações seguras, transmissão e conexões seguras, registro em log, monitoramento e ter tecnologias de criptografia adequadas para dados pessoais.

Atualmente, mantemos as seguintes validações: ISO 27001, SOC 2 Tipo II e conformidade Nível 1 com o PCI DSS. Também mantemos um relatório SOC 3. Saiba mais sobre nossas certificações aqui.

Para ver as medidas de segurança que a Cloudflare oferece para a proteção de dados pessoais, inclusive dados pessoais transferidos da União Europeia (UE) para os EUA, consulte o Anexo 2 do nosso DPA padrão.

O GDPR oferece uma série de mecanismos legais para garantir que salvaguardas apropriadas, direitos executórios e recursos legais efetivos estejam disponíveis para titulares de dados europeus cujos dados pessoais sejam transferidos do Espaço Econômico Europeu (EEE) para um país terceiro – um país não coberto pelo GDPR ou considerado como tendo leis adequadas de proteção de dados em vigor.

Esses mecanismos incluem:

• Casos em que a Comissão da União Europeia (UE) tenha decidido que um país terceiro garante um nível adequado de proteção após avaliar o Estado de Direito desse país, o respeito pelos direitos humanos e pelas liberdades fundamentais, bem como uma série de outros fatores;

• Casos em que um processador ou controlador de dados tenha implementado regras corporativas vinculativas;

• Casos em que um processador ou controlador de dados tenha em vigor cláusulas de proteção de dados padrão adotadas pela Comissão; ou

• Casos em que um processador ou controlador de dados tenha em vigor um código de conduta aprovado ou um mecanismo de certificação aprovado.

A Cloudflare se baseia nas Cláusulas Contratuais Padrão (SCCs) como mecanismo legal para transferir dados pessoais do EEE para os EUA. Anteriormente, a Cloudflare também se baseava na decisão de adequação concedida ao Privacy Shield. Entretanto, em julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) invalidou o paradigma Privacy Shield UE-EUA no caso “Schrems II” (Caso C-311/18, Data Protection Commissioner contra Facebook Ireland e Maximillian Schrems). A anulação do Privacy Shield não altera as fortes proteções de privacidade de dados que a Cloudflare tem em vigor para os dados pessoais que processamos em nome de nossos clientes. Ademais, continuaremos a seguir os princípios de proteção de dados com os quais nos comprometemos quando nos certificamos conforme os termos do Privacy Shield.

Como acreditamos que conquistar e manter a confiança do cliente é essencial, a Cloudflare já mantinha salvaguardas de proteção de dados em vigor muito antes do caso Schrems II. Quando emitimos nosso primeiro relatório de transparência em 2014, para processos legais recebidos em 2013, prometemos que exigiríamos um processo legal antes de fornecer a qualquer entidade governamental quaisquer dados de clientes se não houvesse emergência e que forneceríamos aos nossos clientes uma notificação caso qualquer processo legal solicitasse seus dados de cliente ou de cobrança antes de divulgarmos essas informações, salvo se proibido por lei. Declaramos publicamente que jamais entregamos chaves de criptografia a nenhum governo, nem fornecemos a qualquer governo um feed de conteúdo em trânsito na nossa rede ou implantamos equipamentos policiais na nossa rede. Também prometemos que, se nos pedissem para realizar qualquer uma dessas ações, “esgotaríamos todos os recursos legais para proteger nossos clientes contra o que acreditamos serem solicitações ilegais ou inconstitucionais”. Desde os primeiros dias da história da Cloudflare, reafirmamos esses compromissos duas vezes por ano e até mesmo os expandimos em nossos Relatórios de Transparência.

Também demonstramos nossa crença na transparência e nosso compromisso em proteger nossos clientes, iniciando litígios quando necessário. Em 2013, com a ajuda da Electronic Frontier Foundation, contestamos legalmente uma carta de segurança nacional (national security letter, NSL) dos EUA emitida administrativamente, de modo a proteger os direitos de nossos clientes devido a disposições que permitiam que o governo nos impedisse de divulgar informações sobre a NSL ao cliente afetado. A Cloudflare não forneceu informações sobre o cliente em resposta a essa solicitação. As disposições de confidencialidade permaneceram em vigor até que um tribunal exaltou as restrições em 2016.

Mais recentemente, em uma postagem no blog no Dia da Privacidade , em janeiro de 2020, declaramos nossa posição no sentido de que todas as solicitações governamentais de dados pessoais que estejam em conflito com as leis de privacidade do país de residência de uma pessoa devem ser legalmente contestadas. O Comitê Europeu para a Proteção de Dados (CEPD) reconheceu que o GDPR poderia representar um conflito dessa espécie em uma avaliação divulgada no ano passado. Nosso compromisso de conformidade com o GDPR significa que a Cloudflare buscaria recursos legais antes de produzir dados identificados como estando sujeitos ao GDPR em resposta a uma solicitação de dados do governo dos EUA. De forma consistente com a jurisprudência e as estruturas estatutárias existentes nos EUA, a Cloudflare poderá solicitar aos tribunais dos EUA que anulem uma solicitação de dados pessoais das autoridades dos EUA com base em tal conflito de leis.

Atualizamos nosso adendo ao processamento de dados (DPA) padrão para nossos clientes com a finalidade de incorporar salvaguardas adicionais como compromissos contratuais. Você pode conferir esses compromissos contratuais na seção 7 do nosso DPA.

A Cloudflare continuará a disponibilizar as SCCs aos nossos clientes cujos dados estão sujeitos ao GDPR. Estamos acompanhando de perto os acontecimentos nessa área, bem como em torno de mecanismos de transferência alternativos.

Entendemos que, à luz do caso Schrems II, nossos clientes estão buscando garantias adicionais de que os dados sujeitos ao GDPR e transferidos aos EUA receberão proteção adequada no âmbito do GDPR. Discutimos essas salvaguardas adicionais acima.

Como o TJUE considerou várias autoridades de segurança nacional dos EUA em sua análise no caso Schrems II, vimos algumas perguntas sobre a aplicação dessas autoridades aos processadores de dados dos EUA. Explicar se, ou como, essas autoridades são relevantes para uma transferência de dados requer uma explicação adicional das autoridades mencionadas pelo TJUE.

Seção 702. A Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA) confere autoridade ao governo dos EUA para solicitar as comunicações de pessoas não americanas localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a Seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Uma vez que a autoridade é normalmente utilizada para coletar o conteúdo das comunicações, os “prestadores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na Seção 702 são, em geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.

Conforme observado em nosso relatório de transparência, a Cloudflare normalmente não tem acesso a esse tipo de conteúdo de cliente tradicional. Além disso, a Cloudflare mantém um compromisso público assumido há muitos anos no sentido de que jamais fornecemos a nenhum governo o feed de conteúdo de nossos clientes que transita na nossa rede e de que esgotaríamos todos os recursos legais se nos pedissem para fazê-lo, para proteger nossos clientes contra o que acreditamos serem solicitações ilegais ou inconstitucionais.

Ordem Executiva 12333. A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas não americanas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições que obriguem empresas dos EUA a prestar assistência.

A Cloudflare tem um compromisso de longa data no sentido de exigir um processo legal antes de fornecer a qualquer entidade governamental um acesso a dados de clientes se não houver uma emergência. Portanto, não iremos satisfazer solicitações voluntárias de dados ao abrigo da Ordem Executiva 12333. Além disso, a Cloudflare é líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o SSL Universal, tornando a criptografia, algo que costumava ser caro e difícil, gratuita para todos os clientes da Cloudflare. Na semana do lançamento, duplicamos o tamanho da web criptografada. Devido a um número crescente de leis que tentam afetar a criptografia, até assumimos um compromisso no sentido de jamais enfraquecer, comprometer ou subverter nossa criptografia a pedido de um governo ou outro terceiro.

A Cloudflare já implementou muitas das proteções adicionais recomendadas pelo Conselho Europeu de Proteção de Dados (EDPB) no seu projeto de orientação (Recomendações 01/2020 sobre medidas que complementam as ferramentas de transferência, para assegurar a conformidade com o nível de proteção de dados pessoais da UE adotadas em 10 de novembro de 2020), que ainda estão sob consulta até 21 de dezembro de 2020.

A Cloudflare tem um forte compromisso com a transparência e responsabilidade em relação ao processamento de dados pessoais, conforme descrito acima, e já atualizamos o nosso Adendo de processamento de dados (Data Processing Addendum, DPA) para assumir uma série dos nossos compromissos contratualmente vinculativos. Também continuamos a publicar o nosso relatório de transparência, o qual pode ser visualizado aqui: https://www.cloudflare.com/en-gb/transparency/. E, ainda, temos em vigor medidas de segurança e protocolos de criptografia eficazes, os quais podem ser visualizados no Anexo 2 do nosso DPA atualizado. A Cloudflare tem um compromisso com os nossos clientes europeus e estamos ansiosos para receber orientações finais do EDPB após o período de consulta.

Como sempre, continuamos a monitorar os desenvolvimentos contínuos neste período e asseguraremos nossa conformidade contínua com os artigos 44 e 46 do GDPR da UE. Durante esse período, prosseguiremos com os nossos compromissos nos termos dos DPAs existentes e nos termos em vigor conforme previstos nas Cláusulas contratuais padrão SCCs.

Em 5 de outubro de 2020, atualizamos nosso Contrato de Assinatura por Autoatendimento de modo a incorporar nosso DPA padrão atualizado por referência. Além disso, se os dados pessoais que processamos em nome de um cliente de autoatendimento forem regidos pelo GDPR, nosso DPA incorpora as cláusulas contratuais padrão da UE para esses dados. Por conseguinte, não é necessária nenhuma ação para garantir que as cláusulas contratuais padrão estejam em vigor. Nosso DPA atualizado também incorpora as salvaguardas adicionais descritas acima.

Disponibilizamos nosso DPA atualizado no painel do cliente, e o DPA é incorporado por referência. Ao acessar o seu painel, vá para a aba Configurações e, em seguida, Preferências.

Em 1º de outubro de 2020, atualizamos nosso Contrato de Assinatura do Plano Enterprise (ESA) padrão para incorporar o DPA padrão atualizado por referência. Os clientes do plano Enterprise estarão sujeitos ao nosso ESA padrão se tiverem celebrado o ESA com a Cloudflare após 8 de agosto de 2019, inclusive, e não tiverem um contrato personalizado. Nenhuma ação é necessária para esses clientes, uma vez que o DPA atualizado é incorporado por referência ao nosso ESA e, se os dados pessoais que processamos em nome do cliente forem regidos pelo GDPR, nosso DPA incorpora as cláusulas contratuais padrão da UE. Nosso DPA atualizado também incorpora as salvaguardas adicionais descritas acima. Nosso DPA padrão atualizado está disponível aqui.

Os clientes Enterprise com versões mais antigas do nosso ESA podem já ter as cláusulas contratuais padrão da UE em vigor com a Cloudflare. Se esse for o caso, então nenhuma ação é necessária, mas eles também podem concordar com o nosso DPA atualizado disponível no painel do cliente, pois inclui o nosso texto sobre proteção adicional. Os clientes que, anteriormente, contavam com as certificações do Escudo de Privacidade da UE-EUA e Suíça-EUA da Cloudflare, devem concordar com o nosso DPA atualizado disponível no painel do cliente. Ao acessar o seu painel, vá para a aba Configurações e, em seguida, Preferências. Favor revisar e aceitar o DPA.

Os clientes Enterprise que tenham um contrato personalizado com a Cloudflare e tiverem dúvidas a respeito do seu DPA devem entrar em contato com o gerente de Sucesso do Cliente.

Estamos analisando cuidadosamente o novo esboço das Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia e aguardamos ansiosamente por um conjunto aprovado de SCCs após o período de consulta. Uma vez aprovadas, as novas SCCs contêm uma provisão transitória de um ano para permitir a implementação, e providenciaremos a implementação das novas SCCs aos nossos clientes durante esse período.

Sabemos que alguns de nossos clientes preferem que todos os dados pessoais sujeitos ao GDPR permaneçam na UE e não sejam transferidos para os EUA para processamento. Com isso em mente, anunciamos o Data Localization Suite, que ajuda as empresas a obter os benefícios de performance e segurança da rede global da Cloudflare e, ao mesmo tempo, facilita a definição de normas e controles periféricos sobre onde os seus dados são armazenados e protegidos.

O Data Localisation Suite reúne algumas ofertas existentes com alguns novos recursos:

• Serviços regionais. A Cloudflare tem data centers em mais de 200 cidades, localizadas em mais de 100 países. Juntamente com nossa solução Geo Key Manager, os Serviços Regionais permitem que os Clientes escolham as localizações dos data centers onde as chaves TLS são armazenadas e a desativação TLS ocorre. O tráfego é ingerido globalmente, com a aplicação de mitigações de DDoS nas camadas 3/4, enquanto as funções de segurança, desempenho e confiabilidade (como WAF, CDN, mitigação de DDoS etc.) são executadas somente em data centers designados da Cloudflare. Com os Serviços Regionais, alguns metadados continuarão sendo transmitidos ao nosso data center central em Portland, no estado de Oregon, Estados Unidos. Todavia, os únicos Dados Pessoais que coletamos nesses logs são os endereços de IP.

• Keyless SSL. O Keyless SSL permite que um cliente armazene e gerencie suas próprias chaves SSL Privadas para usar com a Cloudflare. Os clientes podem usar vários sistemas para armazenar suas chaves, incluindo módulos de segurança de hardware ("HSMs"), servidores virtuais e hardware rodando Unix/Linux e Windows hospedado em ambientes controlados pelos clientes.

• Geo Key Manager. A Cloudflare tem uma base de clientes verdadeiramente internacional, e aprendemos que os clientes em todo o mundo têm diferentes exigências regulamentares e estatutárias, além de perfis de risco distintos no que diz respeito ao posicionamento de suas chaves privadas. Com essa filosofia em mente, nos propusemos a desenvolver um sistema muito flexível para decidir onde as chaves podem ser mantidas. O Geo Key Manager permite que os clientes limitem a exposição de suas chaves privadas a determinados locais. É semelhante ao Keyless SSL, mas, em vez de requerer a execução de um servidor de chaves dentro de sua infraestrutura, é a Cloudflare que hospeda servidores de chaves nos locais de sua escolha.

• Distribuição de logs na borda. Os clientes podem enviar logs diretamente da borda para o parceiro de sua escolha — por exemplo, um bucket de armazenamento do Azure na região de sua preferência ou uma instância do Splunk que roda em um data center no local. Com essa opção, os clientes continuam podendo obter seus logs completos na região de sua preferência, sem que esses logs precisem primeiro fluir por nossos data centers principais nos EUA ou na UE.

• Restrições de Jurisdição para Objetos Duráveis do Workers. Objetos Duráveis são uma tecnologia de coordenação e armazenamento sem servidor que permite que os desenvolvedores gerenciem o estado sem custo de infraestrutura. As Restrições de Jurisdição garantem que o processamento e armazenamento desses dados estejam em conformidade com os regulamentos locais e, ao mesmo tempo, evitem qualquer configuração de infraestrutura pelos desenvolvedores. Esse recurso ajuda as equipes de desenvolvimento a criar com facilidade seus próprios aplicativos globais mantendo a conformidade.

Conforme descrito em nosso Relatório de Transparência, a Cloudflare exige um processo legal válido antes de fornecer informações pessoais de nossos clientes a entidades governamentais ou litigantes civis, salvo em caso de emergência. Não fornecemos informações pessoais de nossos clientes a representantes do governo em resposta a solicitações que não incluam processos legais.

Para garantir que nossos clientes tenham a oportunidade de fazer valer seus direitos, é política da Cloudflare notificá-los sobre uma intimação ou outro processo legal que solicite seus dados antes da divulgação desses dados, seja o processo legal proveniente do governo ou de pessoas ou instituições privadas envolvidas em um litígio civil, salvo se proibido por lei. Especificamente, nosso DPA assume um compromisso de notificar os Clientes, salvo se proibido por lei, se conseguirmos identificar que o processo legal de terceiros que está solicitando os dados pessoais que processamos em nome desse Cliente provoca um conflito de leis — por exemplo, quando os dados pessoais são regidos pelo GDPR. Os Clientes notificados de uma solicitação legal pendente de seus dados pessoais podem tentar intervir para evitar que sejam divulgados.

Além disso, a lei dos EUA forneceu mecanismos para que as empresas contestem pedidos que apresentem potenciais conflitos de leis, como uma solicitação legal de dados sujeitos ao GDPR. A Lei de Esclarecimento do uso legal de dados no exterior (Clarifying Legal Overseas Use of Data, CLOUD), por exemplo, oferece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare comprometeu-se a contestar legalmente quaisquer ordens que representem tal conflito de leis. Até o momento, não recebemos ordens que identificamos como apresentando tal conflito.

Temos prestado muita atenção às discussões sobre proteção de dados em torno do Brexit e do Reino Unido que saem da União Europeia, em vigor a partir de 1.º de janeiro de 2021 e tomamos medidas para assegurar que estamos preparados para a adoção do GDPR na legislação local do Reino Unido. A Cloudflare continuará a utilizar o mecanismo das SCCs, as quais estão incluídas no nosso DPA padrão, para transferir dados pessoais para fora do Reino Unido e do EEE. Consulte nossas instruções acima para assegurar que você tenha o devido DPA em vigor. Continuamos a monitorar os desenvolvimentos contínuos nesse período e asseguraremos nossa conformidade contínua com os regulamentos globais e de proteção de dados do Reino Unido.