Red de Distribución de Contenido Cloudflare: Uso y Privacidad

Cloudflare es un denominado red de entrega de contenido (CDN). Se utiliza con frecuencia por razones de comodidad, pero también para cargar posiblemente los contenidos más rápido. Esto es obligatorio, como muestra la jurisprudencia actual.

Con el contenido de Cloudflare se carga más rápido que con almacenamiento local o con la solicitud de otros servidores, no quiero investigar esto más a fondo aquí. No es relevante. Lo que importa es si Cloudflare puede utilizarse de manera legalmente correcta. Con la afirmación de comodidad anterior me refiero a lo siguiente: Muchos prefieren insertar un enlace a una archivo antes de almacenarlo localmente. El almacenamiento local es a menudo posible y sería entonces conformidad con el tratamiento de datos en sí misma.

La motivación para este artículo es la siguiente sentencia del Tribunal Superior de Corte de Colonia. Muestra que Cloudflare es más que un simple almacenamiento temporal. Además, muestra que Cloudflare parece no estar interesado en la investigación de actividades ilegales realizadas por sus clientes.

Como estableció el Tribunal Superior de Colonia el 09.10.2020 (Az.: 6 U 32/20), el proveedor de servicios Cloudflare es responsable del Content Delivery Network (CDN) proporcionado. Los contenidos que se encuentran en el CDN y violan derechos de autor, son por lo tanto responsabilidad de Cloudflare. Las condiciones del artículo 8 TMG sobre exención de responsabilidad no eran aplicables. Por lo tanto, tampoco podía encontrarse aplicación al artículo 9 TMG, que permite una exención de responsabilidad para almacenamientos temporales de datos.

Cloudflare es por tanto más bien un proveedor de servicios según § 2 S. 1 Nr. 1 TMG. Pues Cloudflare no se limita a la simple transmisión, sino que guarda indiscutiblemente los contenidos de las páginas web de sus clientes en sus propios servidores.

El 28 de abril de 2021, el Comité Europeo para la Protección de Datos había anunciado que la Autoridad Portuguesa de Protección de Datos había suspendido el traslado de datos a través de Cloudflare en el marco del Censo (Censo) debido al traslado de datos a EE. UU.

Cloudflare almacena los contenidos de las páginas web de clientes no solo durante el tiempo necesario para su transmisión. El proveedor del CDN se considera a sí mismo responsable de almacenarlos también con el fin de reducir la cantidad de visitas a las páginas de sus clientes. También se confirman como razones la aceleración de las llamadas a las páginas y la protección de las páginas web de los clientes, especialmente para bloquear visitantes maliciosos. Por lo tanto, no puede hablarse de una almacenamiento temporal de datos.

De ello se desprende claramente que el almacenamiento en los servidores de Cloudflare no se limita a la transmisión de las informaciones solicitadas. Esto es correcto, porque Cloudflare es un denominado Reverse Proxy.

El tribunal cree que Cloudflare opera servidores de espejo (Mirror) para mantener la información redundante. Esto se ajusta a mis conocimientos sobre los hechos.

Cloudflare opera un resolutor de DNS para convertir una dirección de dominio en una dirección IP. Esto no es específico para un CDN como este, sino que ocurre siempre.

El tribunal establece que Cloudflare según su propia publicidad no perseguirá infracciones legales de clientes que carguen contenido en el CDN. El programa Trusted Reporter mencionado por Cloudflare no es creíble y tampoco habría sido implementado en el litigio mencionado anteriormente para informar la dirección IP de un proveedor de contenidos ilegales. Según Cloudflare, una bloqueo de contenido ilegal mediante un filtro de palabras a nivel de dominio no es posible, lo cual el tribunal consideró como no cierto.

En general, Cloudflare parece asumir ninguna responsabilidad por los contenidos alojados y tampoco se preocupa por aclarar si un proveedor o contenido es conforme a derecho o no.

Con esto, una utilización del CDN Cloudflare conforme a la RGPD desde mi punto de vista no es posible. Un DPA en cualquier caso se descarta. Acordar una responsabilidad compartida sería un suicidio. Las garantías adecuadas (como Corporate Binding Rules o cláusulas contractuales estándar) no pueden ser acordadas con conformidad legal.

Si alguien quiere saber de qué servidor con qué ubicación del servidor se ha accedido a una archivo, probablemente no recibirá información en Cloudflare. Sin embargo, el propietario de la página web (o la persona responsable) debería poder proporcionar esta información para demostrar que no se ha transferido datos a países terceros.

Si el servidor desde el que se ha solicitado una archivo para una página web no está en un país extranjero inseguro, todavía debe responderse la pregunta de cómo está el propio proveedor:

Declaración de protección de datos de la página web de Cloudflare La página web de Cloudflare es una empresa con sede en los Estados Unidos.

Al acceder de manera test a una página web que utiliza Cloudflare, se obtuvo la dirección IP 104.16.148.64. Según un servicio de localización de direcciones IP, con fecha 31.03.2021, se tienen las siguientes informaciones:

Obviamente está teniendo lugar un transferencia de datos que se relaciona con un país tercer país inseguro. Esto, según el artículo 44 de la DSGVO, solo es permitido con consentimiento. Sobre la importancia del registro:

El emplazamiento de servidores no puede determinarse con precisión a través de su dirección IP en la mayoría de los casos. Sin embargo, basta con que el proveedor del servidor tenga un vínculo con EE.UU. para entrar en la problemática de Privacy Shield. En este caso se menciona al proveedor Cloudflare. Cloudflare es una empresa estadounidense cuyos datos pueden tener acceso a las agencias de inteligencia estadounidenses. A dicha agencia le es indiferente dónde estén ubicados los servidores de Cloudflare. Finalmente, cualquier servidor del mundo puede ser accedido desde un terminal para el cual se conozcan las credenciales de acceso. Tampoco cambia mucho si Cloudflare tiene hijas europeas (si es que las tiene), porque sus activos están en EE.UU. La madre estadounidense tiene autoridad sobre las hijas europeas. Si esto fuera diferente, la madre estadounidense podría y debería demostrarlo. Dichos testimonios no han sido presentados por Google ni Microsoft ni Cloudflare hasta ahora.

Conclusión

Tan grande sea el beneficio de Cloudflare para algunos, el servicio no puede ser utilizado hasta que se haya obtenido su consentimiento. Además, surge la pregunta de si es posible obtener un consentimiento conforme a derecho, porque las obligaciones informativas de Artículo 13 DSGVO son difíciles o incluso imposibles de cumplir en este caso.

Quien utiliza Cloudflare para lograr una carga más rápida de su página web debería asegurarse primero de que todas las otras medidas locales para acelerar la velocidad se hayan agotado. Por ejemplo, muchos optimizan sus imágenes pero ponen un CDN aparentemente supersónico.

Por cierto, Akamai es otro proveedor de CDN popular. Akamai se utiliza por Cookiebot, por lo que el VG Wiesbaden declaró a Cookiebot como ilegal.

Cloudflare ha eliminado el cookie__cfduid sin una verdadera justificación. En un artículo posterior, Cloudflare admite que otros cookies son supuestamente técnicamente necesarios (por lo que no se solicita la autorización para ellos).

A pesar de que a Cloudflare le parece muy cuestionable en cuanto al cumplimiento de las normas de protección de datos, veo el producto Petróleo de Cloudflare, que pretende ser una alternativa a CAPTCHA, como no merecedor de atención.

Ver también un artículo de Netzpolitik sobre Cloudflare.