Cloudflare se enorgullece de liderar el camino con nuestro enfoque de la privacidad de los datos y la protección de la información personal, y hemos sido fervientes defensores de la necesidad del libre flujo de datos a través de las fronteras jurisdiccionales. Así que hoy, Día de la Privacidad de Datos (también conocido internacionalmente como el Día de la Protección de Datos), nos complace anunciar que añadimos nuestra cuarta y quinta validaciones de privacidad, y esta vez ¡somos los primeros a nivel mundial! Cloudflare es la primera organización en anunciar que hemos superado con éxito una auditoría de conformidad con los nuevos sistemas Global CBPR (Cross-Border Privacy Rules) para controladores de datos y Global PRP (Privacy Recognition for Processors). Estas validaciones demuestran nuestro apoyo y cumplimiento de las normas globales que garantizan flujos de datos que respetan la privacidad en todas las jurisdicciones. Las organizaciones que hayan superado con éxito la auditoría recibirán la certificación formal cuando estas certificaciones se publiquen oficialmente, lo que esperamos para este mismo año.
Nuestra participación en Global CBPR y Global PRP se añade a nuestra lista de validaciones de privacidad: fuimos una de las primeras organizaciones de ciberseguridad en certificar la norma internacional de privacidad ISO 27701:2019 cuando se publicó, y en 2022 también obtuvimos la certificación de privacidad en la nube, ISO 27018:2019. En 2023, añadimos nuestra tercera validación de privacidad, revisada por un organismo de supervisión independiente de la Unión Europea (UE) y declarada conforme al primer código de conducta oficial del RGPD: el Código de conducta en la nube de la UE.
Por qué es importante para los clientes de Cloudflare
En conjunto, Cloudflare demuestra nuestro cumplimiento de las principales validaciones oficiales en materia de privacidad en 39 jurisdicciones de todo el mundo, desde Australia y Austria hasta Suecia y Estados Unidos. Otras cuatro jurisdicciones (Reino Unido, Bermudas, Mauricio y el Centro Financiero Internacional de Dubái) también están en proceso de unirse y reconocer las certificaciones Global CBPR. Esto es importante para los clientes de Cloudflare, ya que garantiza que las prácticas de privacidad que hemos desarrollado cuentan con el reconocimiento de gobiernos de todo el mundo.
¿Qué es el sistema Global CBPR?
En los últimos tres años, gobiernos de todo el mundo han estado preparando dos nuevas normas internacionales de privacidad. El 30 de abril de 2024 se logró un hito importante cuando se instauró el sistema Global CBPR. El sistema CBPR es un sistema voluntario, aplicable, internacional y basado en la responsabilidad que facilita los flujos de datos que respetan la privacidad entre las economías de los miembros. Proporciona un nivel básico de protección de la privacidad de los consumidores gracias a un conjunto de reglas que rigen la gestión de la información personal de las personas. Esto facilita el libre flujo de datos, ya que garantiza la privacidad de los consumidores entre los miembros participantes, a pesar de que cada jurisdicción tenga sus propias leyes individuales de protección de datos.
El sistema CBPR fue desarrollado por Global CBPR Forum, un foro intergubernamental integrado por los gobiernos de Australia, Canadá, Japón, República de Corea, México, Filipinas, Singapur, China Taipéi y Estados Unidos. El Reino Unido también es miembro asociado de CBPR Forum, al igual que Bermudas, Mauricio y el Centro Financiero Internacional de Dubái, lo que indica su intención de unirse como miembros de pleno derecho en el futuro.
Durante el último año, hemos estado ocupados con la preparación del lanzamiento del sistema Global CBPR. El 1 de mayo de 2024, el primer día tras la instauración del sistema, Cloudflare solicitó unirse. Ya hemos alcanzado el importante hito de superar con éxito las auditorías de conformidad con los requisitos, lo que significa que esperamos ser la primera organización del mundo en obtener la nueva certificación del sistema Global CBPR, así como del sistema Global PRP relacionado, cuando las empresas puedan certificarse oficialmente, lo que se espera para este mismo año.
Qué incluye el sistema Global CBPR
El sistema Global CBPR contiene una lista detallada de cincuenta requisitos que las organizaciones deben cumplir si desean obtener la certificación de este sistema. Los requisitos se derivan de los nueve Principios de privacidad de Global CBPR, coherentes con los principios básicos de las Directrices sobre la protección de la privacidad y los flujos transfronterizos de datos personales de la Organización para la Cooperación y el Desarrollo Económico (OECD). Los cincuenta requisitos abarcan cómo las organizaciones deben recopilar, gestionar y proteger la información personal bajo su custodia. Para obtener la certificación Global CBPR, las organizaciones deben cumplir cada uno de los cincuenta requisitos. Estos son los nueve principios subyacentes de los requisitos:
Prevención de daños | Aviso | Limitación de la recopilación de datos |
Usos de la información personal | Elección | Integridad de la información personal |
Garantías de seguridad | Acceso y corrección | Responsabilidad |
Los nueve principios de privacidad de Global CBPR
La certificación Global CBPR cubre la gestión de la información personal controlada por la organización, como los datos personales de los clientes, empleados y solicitantes de empleo. En el caso de Cloudflare, esto también incluye la información de la red, es decir, nuestras observaciones sobre cómo nuestra plataforma global en la nube gestiona los datos de los servidores, la red o el tráfico generados por Cloudflare en el transcurso de la prestación de nuestros servicios.
La certificación Global PRP (Privacy Recognition for Processors) aborda la gestión de la información personal que procesa la organización en nombre de otra organización, normalmente su cliente. Los dieciocho requisitos de PRP están relacionados con los dos principios de privacidad más relevantes cuando se procesa esta información en nombre de otra organización: las garantías de seguridad y responsabilidad. Para Cloudflare, esto cubre el tratamiento de datos de conformidad con el Acuerdo de tratamiento de datos (DPA) que firmamos con todos nuestros clientes, principalmente, el Contenido del cliente que fluye a través de nuestra red y los Registros del cliente generados por esos flujos de datos. Para obtener la certificación Global PRP, las organizaciones deben cumplir cada uno de los dieciocho requisitos.
Como se ha señalado, los principales requisitos de los sistemas Global CBPR y Global PRP abarcan los conocidos principios de protección de datos de aviso, elección, limitación de la recopilación (minimización de datos), el derecho de acceso y corrección del interesado, la seguridad adecuada, la prevención de daños, la integridad de la información personal, la responsabilidad y los usos de la información personal. Docenas de requisitos incluyen estos principios, así que aquí solo mencionaremos algunos de ellos.
Veamos primero el principio de aviso. Uno de los requisitos más obvios de CBPR es la pregunta 1:
¿Proporcionas declaraciones claras y fácilmente accesibles sobre tus prácticas y políticas que rigen la información personal descrita anteriormente (una declaración de privacidad)?
La transparencia en la recopilación y el uso de la información personal es un principio clave de la privacidad y la protección de datos, y la transparencia es uno de los compromisos fundamentales de Cloudflare. La documentación de nuestras prácticas y políticas con respecto a cómo utilizamos la información personal permite a los usuarios decidir si desean proporcionar su información, y por eso es una práctica recomendable que el aviso de privacidad esté disponible y visible en el momento de recopilación de la información. De hecho, este concepto de proporcionar un aviso a los usuarios se desprende claramente del artículo 13 del RGPD de la UE. Cloudflare cumple con este requisito de CBPR proporcionando un aviso de privacidad claro y accesible, visible en el pie de todas las páginas de nuestro sitio web. También facilitamos un enlace al aviso cuando recopilamos datos personales, por ejemplo, a través de un formulario en una página web.
En cuanto a cómo utilizamos la información personal, la pregunta 8 plantea:
¿Limitas el uso de la información personal que recopilas (ya sea directamente o mediante el uso de terceros que actúen en tu nombre) tal como se identifica en tu declaración de privacidad?
Hace mucho tiempo que Cloudflare asumió el compromiso de utilizar la información personal que recopilamos únicamente para los fines de nuestros servicios. Nuestro negocio se basa en proporcionar a los clientes las herramientas necesarias para proteger sus aplicaciones de red y mejorar su velocidad, fiabilidad y privacidad. En nuestra Política de privacidad, nos comprometemos a que "solo compartiremos o divulgaremos tu información personal según sea necesario para prestar nuestros Servicios o según se describa de otro modo en esta Política, excepto en los casos en los que primero te lo notifiquemos y tengas la oportunidad de dar tu consentimiento". Además, mantenemos documentación interna (de conformidad con el principio de responsabilidad de CBPR) para documentar los datos que procesamos y los fines con los que los procesamos.
Otros requisitos importantes de los sistemas Global CBPR y Global PRP están relacionados con las garantías de seguridad. La pregunta 27 del requisito CBPR plantea:
¿Puedes describir las medidas de protección físicas, técnicas y administrativas que has implementado para proteger la información personal contra riesgos tales como la pérdida o el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación de información u otros usos indebidos?
En Global PRP, un requisito similar es la pregunta 2:
¿Puedes describir las medidas de protección físicas, técnicas y administrativas que implementan la política de seguridad de la información de tu organización?
Cloudflare ha implementado un programa de seguridad de la información de acuerdo con la familia de normas ISO/IEC 27000. Los detalles del programa de seguridad de Cloudflare están documentados en el Anexo 2 ("Medidas de seguridad técnicas y organizativas") del Acuerdo de tratamiento de datos de clientes de Cloudflare, incluidas las medidas de protección físicas, técnicas y administrativas implementadas con el fin de proteger la información personal.
En relación con el principio de responsabilidad, la pregunta 46 plantea:
¿Dispones de mecanismos para garantizar que se cumplan tus obligaciones con los usuarios aplicables a procesadores de información personal, agentes, contratistas u otros proveedores de servicios relacionados con la información personal que procesen en tu nombre?
Cuando tenemos proveedores que gestionan información personal nuestra o de nuestros clientes, les exigimos que firmen un Acuerdo de tratamiento de datos (DPA) con nosotros. Esto garantiza que los compromisos que asumimos para con nuestros clientes en nuestros acuerdos de cliente se transmitan a su vez a nuestros proveedores, incluidos los requisitos de seguridad, haciéndoles, y haciéndonos, responsables.
Estamos entusiasmados con el lanzamiento de las certificaciones Global CBPR, que se espera para este mismo año, y estamos orgullosos de que hoy, Día de la Privacidad de Datos, podamos demostrar una vez más nuestro compromiso con los principios universales para la protección de la privacidad de los datos personales.
Consulta globalcbpr.org si deseas más información sobre los sistemas Global CBPR y Global PRP, descargar una copia completa de los requisitos y estar al día de las noticias relacionadas.
Para obtener información actualizada sobre nuestras certificaciones, visita nuestro Centro de confianza. Los clientes también pueden descubrir cómo descargar una copia de las certificaciones y los informes de Cloudflare desde el panel de control de Cloudflare.