Ley de Resiliencia Operativa Digital (DORA)

F5 y sus servicios priorizan la protección de datos personales y mantienen los más altos estándares de privacidad de datos.  Los controles técnicos y organizativos que protegen los datos personales recopilados por F5 se enumeran en los contratos de servicio específicos (por ejemplo, los Términos específicos del servicio aplicables a los servicios prestados bajo nuestro Acuerdo de servicios de usuario final) y en el informe SOC2 Tipo II de F5. F5 Global Support cuenta con la certificación ISO 27001 y F5 Distributed Cloud Services cuenta con la certificación ISO 27001 con una extensión de ISO 27017 e ISO 27018. F5 también cumple con el estándar PCI-DSS como proveedor de servicios de nivel 1 para los servicios de nube distribuida de F5. Se aplican certificaciones de seguridad adicionales a servicios y hardware específicos de F5. Encuentre información más detallada sobre las prácticas de seguridad de datos en https://www.f5.com/company/policies/privacy-notice .

Los clientes cuyo lugar principal de negocios se encuentra en Europa, Medio Oriente o África (colectivamente, EMEA) reciben servicios a través de contratos con F5 Networks, Ltd. F5 Networks, cuya sede se encuentra e constituida bajo las leyes del Reino Unido, es el centro de las operaciones de F5 en EMEA. Las autoridades de la UE y Suiza han reconocido que las leyes del Reino Unido brindan protección a los datos personales, satisfaciendo plenamente los requisitos del Capítulo V del RGPD y la legislación suiza equivalente. 

Los clientes con sede en la región Asia-Pacífico (APAC) contratan a F5 Networks Singapore Pte Ltd. en Singapur. Todos los demás clientes (incluidos aquellos con sede en América del Norte) contratan con F5, Inc. en los Estados Unidos. Para todos los servicios de F5, el Anexo de Protección de Datos (DPA) , complementado por los Términos Específicos del Servicio , incluye las Cláusulas Contractuales Estándar y las disposiciones que se aplican a todas las transferencias legalmente aplicables a F5. Estas cláusulas contractuales estándar están acompañadas por el anexo sobre transferencias internacionales de datos publicado por el gobierno del Reino Unido para las transferencias en el Reino Unido, así como por un lenguaje adicional publicado por el Comisionado Federal de Información y Protección de Datos de Suiza para las transferencias suizas. Para los servicios relevantes, F5 también mantiene una certificación bajo el marco UE-EE.UU. Marco de privacidad de datos, la extensión del Reino Unido al marco UE-EE. UU. Marco de privacidad de datos y el acuerdo entre Suiza y Estados Unidos Marco de privacidad de datos.

Sí. Para los servicios relevantes, F5 mantiene una certificación bajo el marco del escudo de privacidad UE-EE.UU. Marco de privacidad de datos, extensión del Reino Unido al marco UE-EE.UU. Marco de privacidad de datos y el marco de protección de datos entre Suiza y Estados Unidos. Marco de privacidad de datos.

No. Estas dos disposiciones jurídicas estadounidenses, que fueron el foco de la decisión Schrems II , no afectan a F5. En cualquier caso, debido a las mejoras en la legislación estadounidense tras la decisión Schrems II , la Comisión Europea determinó en su Decisión de Ejecución de 10.7.2023 de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de datos personales en el marco del acuerdo UE-EE.UU. Marco de Privacidad de Datos que las preocupaciones anteriores sobre dichas disposiciones han sido resueltas. El Comité Europeo de Protección de Datos (CEPD) analizó la decisión de la Comisión Europea y señaló (en su nota informativa sobre transferencias de datos en virtud del RGPD a Estados Unidos tras la adopción de la decisión de adecuación el 10 de julio de 2023 ) que “todas las garantías establecidas por el gobierno estadounidense en materia de seguridad nacional (incluido el mecanismo de reparación) se aplican a todos los datos transferidos a Estados Unidos, independientemente de la herramienta de transferencia utilizada” (es decir, independientemente de si los datos se transfieren a Estados Unidos a través del Marco de Privacidad de Datos, Cláusulas Contractuales Tipo u otra herramienta de transferencia).

F5 nunca ha recibido una solicitud de acceso a datos ni ningún otro tipo de directiva según la FISA 702. Muchos servicios F5 no son el tipo de servicio que podría ser objeto de una directiva FISA 702. Además, para casi todos los clientes de los servicios de F5, F5 no procesa el tipo de datos que son elegibles para ser objeto de ataque. con una directiva FISA 702, que se aplica a datos sobre la proliferación de armas de destrucción masiva, planes de potencias extranjeras para atacar a Estados Unidos, inteligencia sobre actividades clandestinas de espías extranjeros u otra “información de inteligencia extranjera” en el sentido de la FISA.

F5 tampoco puede recibir una orden para producir datos de clientes según la EO 12333 porque no existe tal cosa como una orden EO 12333. La EO 12333 asigna cierta responsabilidad dentro de la Comunidad de Inteligencia de los Estados Unidos pero no impone ninguna obligación al sector privado. F5 cifra los datos en tránsito y utiliza medidas de seguridad adicionales para protegerse contra las actividades de interceptación teóricas que preocuparon al tribunal Schrems II antes de la determinación de adecuación de la Comisión Europea de 2023 analizada anteriormente.

La Ley CLOUD no otorgó al gobierno de Estados Unidos nuevos poderes para exigir datos a las empresas que hacen negocios en Estados Unidos. El gobierno de EE. UU. no emite “órdenes CLOUD Act” y F5 nunca ha recibido una. La Ley CLOUD aclaró que cuando el gobierno de Estados Unidos sigue un proceso legal existente apropiado (como obtener una orden de un juez de un tribunal de distrito federal) para ordenar a una empresa que proporcione datos específicos que están en su posesión, custodia o control, la ubicación de los datos no puede ser la base para que la empresa impugne la orden (aunque aún pueda existir un conflicto con las leyes vigentes en dicha ubicación). La Ley CLOUD está en vigor desde antes de la decisión Schrems II de 2020. Después de la decisión Schrems II , Estados Unidos introdujo varias mejoras en sus normas y prácticas respecto del acceso gubernamental a los datos. La Comisión Europea evaluó luego estas mejoras y determinó que la legislación estadounidense aplicable a las demandas de datos del gobierno estadounidense ahora proporciona un nivel de protección adecuado en el sentido del RGPD. Véase la Decisión de Ejecución de 10.7.2023 de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de los datos personales en el marco del acuerdo UE-EE.UU. Marco de privacidad de datos . El Comité Europeo de Protección de Datos (CEPD) analizó esta decisión y señaló (en su nota informativa sobre transferencias de datos en virtud del RGPD a Estados Unidos tras la adopción de la decisión de adecuación el 10 de julio de 2023 ) que “todas las garantías establecidas por el gobierno estadounidense en materia de seguridad nacional (incluido el mecanismo de reparación) se aplican a todos los datos transferidos a Estados Unidos, independientemente de la herramienta de transferencia utilizada” (es decir, independientemente de si los datos se transfieren a Estados Unidos a través del Marco de Privacidad de Datos, Cláusulas Contractuales Tipo u otra herramienta de transferencia).

Cada contrato de cliente para los servicios de F5 (el Acuerdo de Servicios de Usuario Final (EUSA) ) incluye Términos Específicos del Servicio que incorporan y complementan el Anexo de Protección de Datos (DPA) de F5, que incluye las Cláusulas Contractuales Estándar con lenguaje adicional relevante para transferencias sujetas a la ley del Reino Unido o Suiza. En ciertos casos, el cliente y F5 tendrán un contrato diferente que incorpora estas mismas protecciones, como el contrato para servicios de soporte específicos de F5. Los clientes también pueden consultar https://www.dataprivacyframework.gov/list , que muestra que F5 cuenta con la certificación bajo el marco UE-EE. UU. Marco de privacidad de datos, la extensión del Reino Unido al marco UE-EE. UU. Marco de privacidad de datos y el acuerdo entre Suiza y Estados Unidos Marco de privacidad de datos.

Para las transferencias a entidades de F5 en “terceros países”, incluido el Reino Unido, F5 y sus clientes se basan en el Anexo de Transferencia Internacional de Datos de las Cláusulas Contractuales Estándar de la Comisión Europea, que está disponible en el sitio web del Comisionado de Información del Reino Unido y se incorpora por referencia en el DPA de F5 para transferencias relevantes regidas por la ley del Reino Unido. Además, para ciertos servicios, F5 está certificado bajo la Extensión del Reino Unido al Acuerdo UE-EE.UU. Marco de privacidad de datos.