Reglamento General de Protección de Datos (RGPD) y Marco de Protección de Datos
El Reglamento General de Protección de Datos (RGPD) es una ley de la Unión Europea que se aplica a todas las organizaciones, independientemente de su ubicación, que procesan datos personales de personas en el Espacio Económico Europeo (EEE; los 27 estados miembros de la UE más Islandia, Noruega y Liechtenstein) en el contexto de ofrecerles bienes o servicios o monitorear su comportamiento. Según el RGPD, las organizaciones deben identificar una base legal para procesar datos personales, notificar a las personas qué datos se recopilan y cómo se utilizarán, atender las solicitudes de las personas para acceder, corregir o eliminar información sobre ellas, emplear controles de seguridad adecuados para proteger los datos personales del acceso no autorizado, notificar a las personas y a las autoridades sobre las violaciones de datos, designar un responsable de protección de datos y considerar la privacidad al comienzo de una actividad, en lugar de como una ocurrencia tardía. El RGPD también restringe la transferencia de datos personales fuera del EEE a menos que existan garantías para asegurar una protección esencialmente equivalente en la jurisdicción receptora.
F5 cumple con el RGPD, como se detalla en nuestro aviso de privacidad . F5 opera servicios como procesador para sus clientes de la Plataforma de Nube Distribuida que son controladores (o como subprocesador para un cliente que es procesador). En consecuencia, F5 cumple con el Artículo 28 para cada una de nuestras ofertas de nube distribuida. F5 es un participante en el Marco de Privacidad de Datos UE-EE. UU., que la Comisión Europea ha determinado que brinda protección adecuada para las transferencias a empresas participantes en los Estados Unidos, y utiliza las Cláusulas Contractuales Estándar para proteger los datos personales transferidos a ubicaciones SOC globales para fines de soporte. Además, F5 cuenta con un sólido programa de privacidad y seguridad para garantizar que los clientes puedan cumplir con sus obligaciones bajo el RGPD. Comuníquese con un representante de ventas para solicitar una copia del informe SOC 2 Tipo II emitido anualmente por F5, que está disponible bajo NDA e incluye una tabla que asigna sus controles a los requisitos del RGPD.
PREGUNTAS FRECUENTES
¿Qué datos personales procesa F5 de sus clientes?
Para muchos servicios, F5 actúa como “procesador” (no controlador) de los datos personales necesarios para prestar un servicio. Los detalles sobre los datos personales que procesa F5 se detallan en las Declaraciones de Privacidad de cada servicio. Encuentre todos los enlaces de la Declaración de privacidad específica del servicio en la introducción del Aviso de privacidad de F5 en https://www.f5.com/company/policies/privacy-notice .
¿Qué medidas de seguridad específicas ofrece F5 para los datos personales?
F5 y sus servicios priorizan la protección de datos personales y mantienen los más altos estándares de privacidad de datos. [TJ1] [AC2] Los controles técnicos y organizativos que protegen los datos personales recopilados por F5 se enumeran en los contratos de servicio específicos (por ejemplo, los Términos específicos del servicio aplicables a los servicios prestados bajo nuestro Acuerdo de servicios de usuario final) y en el informe SOC2 Tipo II de F5. F5 Global Support cuenta con la certificación ISO 27001 y F5 Distributed Cloud Services cuenta con la certificación ISO 27001 con una extensión de ISO 27017 e ISO 27018. F5 también cumple con el estándar PCI-DSS como proveedor de servicios de nivel 1 para los servicios de nube distribuida de F5. Se aplican certificaciones de seguridad adicionales a servicios y hardware específicos de F5. Encuentre información más detallada sobre las prácticas de seguridad de datos en https://www.f5.com/company/policies/privacy-notice .
¿Cómo abordan F5 y sus clientes los requisitos del Capítulo V del RGPD y requisitos similares bajo la legislación del Reino Unido y Suiza con respecto a las transferencias de datos personales a los EE. UU. y otros países?
Los clientes cuyo lugar principal de negocios se encuentra en Europa, Medio Oriente o África (colectivamente, EMEA) reciben servicios a través de contratos con F5 Networks, Ltd. F5 Networks, cuya sede se encuentra e constituida bajo las leyes del Reino Unido, es el centro de las operaciones de F5 en EMEA. Las autoridades de la UE y Suiza han reconocido que las leyes del Reino Unido brindan protección a los datos personales, satisfaciendo plenamente los requisitos del Capítulo V del RGPD y la legislación suiza equivalente.
Los clientes con sede en la región Asia-Pacífico (APAC) contratan a F5 Networks Singapore Pte Ltd. en Singapur. Todos los demás clientes (incluidos aquellos con sede en América del Norte) contratan con F5, Inc. en los Estados Unidos. Para todos los servicios de F5, el Anexo de Protección de Datos (DPA) , complementado por los Términos Específicos del Servicio , incluye las Cláusulas Contractuales Estándar y las disposiciones que se aplican a todas las transferencias legalmente aplicables a F5. Estas cláusulas contractuales estándar están acompañadas por el anexo sobre transferencias internacionales de datos publicado por el gobierno del Reino Unido para las transferencias en el Reino Unido, así como por un lenguaje adicional publicado por el Comisionado Federal de Información y Protección de Datos de Suiza para las transferencias suizas. Para los servicios relevantes, F5 también mantiene una certificación bajo el marco UE-EE.UU. Marco de privacidad de datos, la extensión del Reino Unido al marco UE-EE. UU. Marco de privacidad de datos y el acuerdo entre Suiza y Estados Unidos Marco de privacidad de datos.
¿F5 está certificado según el Marco de Privacidad de Datos?
Sí. Para los servicios relevantes, F5 mantiene una certificación bajo el marco del escudo de privacidad UE-EE.UU. Marco de privacidad de datos, extensión del Reino Unido al marco UE-EE.UU. Marco de privacidad de datos y el marco de protección de datos entre Suiza y Estados Unidos. Marco de privacidad de datos.
¿Los Estados Unidos? ¿La Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (“FISA”) y la Orden Ejecutiva (EO) 12333 analizadas en la decisión Schrems II afectan al F5?
No. Estas dos disposiciones jurídicas estadounidenses, que fueron el foco de la decisión Schrems II , no afectan a F5. En cualquier caso, debido a las mejoras en la legislación estadounidense tras la decisión Schrems II , la Comisión Europea determinó en su Decisión de Ejecución de 10.7.2023 de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de datos personales en el marco del acuerdo UE-EE.UU. Marco de Privacidad de Datos que las preocupaciones anteriores sobre dichas disposiciones han sido resueltas. El Comité Europeo de Protección de Datos (CEPD) analizó la decisión de la Comisión Europea y señaló (en su nota informativa sobre transferencias de datos en virtud del RGPD a Estados Unidos tras la adopción de la decisión de adecuación el 10 de julio de 2023 ) que “todas las garantías establecidas por el gobierno estadounidense en materia de seguridad nacional (incluido el mecanismo de reparación) se aplican a todos los datos transferidos a Estados Unidos, independientemente de la herramienta de transferencia utilizada” (es decir, independientemente de si los datos se transfieren a Estados Unidos a través del Marco de Privacidad de Datos, Cláusulas Contractuales Tipo u otra herramienta de transferencia).
F5 nunca ha recibido una solicitud de acceso a datos ni ningún otro tipo de directiva según la FISA 702. Muchos servicios F5 no son el tipo de servicio que podría ser objeto de una directiva FISA 702. Además, para casi todos los clientes de los servicios de F5, F5 no procesa el tipo de datos que son elegibles para ser objeto de ataque. con una directiva FISA 702, que se aplica a datos sobre la proliferación de armas de destrucción masiva, planes de potencias extranjeras para atacar a Estados Unidos, inteligencia sobre actividades clandestinas de espías extranjeros u otra “información de inteligencia extranjera” en el sentido de la FISA.
F5 tampoco puede recibir una orden para producir datos de clientes según la EO 12333 porque no existe tal cosa como una orden EO 12333. La EO 12333 asigna cierta responsabilidad dentro de la Comunidad de Inteligencia de los Estados Unidos pero no impone ninguna obligación al sector privado. F5 cifra los datos en tránsito y utiliza medidas de seguridad adicionales para protegerse contra las actividades de interceptación teóricas que preocuparon al tribunal Schrems II antes de la determinación de adecuación de la Comisión Europea de 2023 analizada anteriormente.
¿Cómo actúa Estados Unidos? ¿La Ley de Aclaración sobre el Uso Legal de Datos en el Extranjero (“CLOUD”) de 2018 afecta la capacidad del gobierno de EE. UU. de exigir acceso a los datos?
La Ley CLOUD no otorgó al gobierno de Estados Unidos nuevos poderes para exigir datos a las empresas que hacen negocios en Estados Unidos. El gobierno de EE. UU. no emite “órdenes CLOUD Act” y F5 nunca ha recibido una. La Ley CLOUD aclaró que cuando el gobierno de Estados Unidos sigue un proceso legal existente apropiado (como obtener una orden de un juez de un tribunal de distrito federal) para ordenar a una empresa que proporcione datos específicos que están en su posesión, custodia o control, la ubicación de los datos no puede ser la base para que la empresa impugne la orden (aunque aún pueda existir un conflicto con las leyes vigentes en dicha ubicación). La Ley CLOUD está en vigor desde antes de la decisión Schrems II de 2020. Después de la decisión Schrems II , Estados Unidos introdujo varias mejoras en sus normas y prácticas respecto del acceso gubernamental a los datos. La Comisión Europea evaluó luego estas mejoras y determinó que la legislación estadounidense aplicable a las demandas de datos del gobierno estadounidense ahora proporciona un nivel de protección adecuado en el sentido del RGPD. Véase la Decisión de Ejecución de 10.7.2023 de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de los datos personales en el marco del acuerdo UE-EE.UU. Marco de privacidad de datos . El Comité Europeo de Protección de Datos (CEPD) analizó esta decisión y señaló (en su nota informativa sobre transferencias de datos en virtud del RGPD a Estados Unidos tras la adopción de la decisión de adecuación el 10 de julio de 2023 ) que “todas las garantías establecidas por el gobierno estadounidense en materia de seguridad nacional (incluido el mecanismo de reparación) se aplican a todos los datos transferidos a Estados Unidos, independientemente de la herramienta de transferencia utilizada” (es decir, independientemente de si los datos se transfieren a Estados Unidos a través del Marco de Privacidad de Datos, Cláusulas Contractuales Tipo u otra herramienta de transferencia).
¿Cuál es la política de F5 para abordar las demandas gubernamentales de datos gubernamentales?
Dada la naturaleza de las relaciones de F5 con los clientes y los datos limitados (y generalmente cifrados) que F5 maneja para sus clientes, dichas demandas son extremadamente raras. La política de F5 para cualquier demanda de datos de clientes es (i) notificar rápidamente al cliente si es legalmente permisible y luego cooperar con la resolución del cliente o (ii) si la notificación al cliente es ilegal, intentar redirigir a la autoridad solicitante al cliente. Si estos esfuerzos no resuelven el asunto, F5 evaluará la legalidad de la demanda y planteará todos los desafíos razonables (por ejemplo, una apelación), incluso si el cumplimiento de la solicitud violaría el RGPD u otras leyes pertinentes. Durante este proceso, F5 solicitaría suspender los efectos de la demanda hasta que la autoridad judicial competente decida sobre su fondo, incluso a través de cualquier proceso de apelación. F5 no divulgaría ningún dato en tal situación a menos que y hasta que fuera requerido para hacerlo según las reglas de procedimiento aplicables. Si se llegara a ese punto, F5 revelaría sólo los datos mínimos necesarios para cumplir con lo que quedaba de la demanda original.
¿Cómo pueden los clientes asegurarse de que F5 cuenta con los mecanismos adecuados de transferencia de datos transfronteriza?
Cada contrato de cliente para los servicios de F5 (el Acuerdo de Servicios de Usuario Final (EUSA) ) incluye Términos Específicos del Servicio que incorporan y complementan el Anexo de Protección de Datos (DPA) de F5, que incluye las Cláusulas Contractuales Estándar con lenguaje adicional relevante para transferencias sujetas a la ley del Reino Unido o Suiza. En ciertos casos, el cliente y F5 tendrán un contrato diferente que incorpora estas mismas protecciones, como el contrato para servicios de soporte específicos de F5. Los clientes también pueden consultar https://www.dataprivacyframework.gov/list , que muestra que F5 cuenta con la certificación bajo el marco UE-EE. UU. Marco de privacidad de datos, la extensión del Reino Unido al marco UE-EE. UU. Marco de privacidad de datos y el acuerdo entre Suiza y Estados Unidos Marco de privacidad de datos.
¿Cómo abordan F5 y sus clientes las transferencias de datos personales sujetas a la ley de protección de datos del Reino Unido?
Para las transferencias a entidades de F5 en “terceros países”, incluido el Reino Unido, F5 y sus clientes se basan en el Anexo de Transferencia Internacional de Datos de las Cláusulas Contractuales Estándar de la Comisión Europea, que está disponible en el sitio web del Comisionado de Información del Reino Unido y se incorpora por referencia en el DPA de F5 para transferencias relevantes regidas por la ley del Reino Unido. Además, para ciertos servicios, F5 está certificado bajo la Extensión del Reino Unido al Acuerdo UE-EE.UU. Marco de privacidad de datos.
