Lei de Serviços Digitais (DSA)

Clientes cujo principal local de negócios é na Europa, Oriente Médio ou África (coletivamente, EMEA) recebem serviços por meio de contratos com a F5 Networks, Ltd. A F5 Networks, sediada e incorporada sob as leis do Reino Unido, é o centro das operações da F5 na EMEA. As autoridades da UE e da Suíça reconheceram que as leis do Reino Unido fornecem proteção para dados pessoais, satisfazendo totalmente os requisitos do Capítulo V do RGPD e da lei suíça equivalente. 

Clientes sediados na região da Ásia-Pacífico (APAC) contratam a F5 Networks Singapore Pte Ltd. em Cingapura. Todos os outros clientes (incluindo aqueles com sede na América do Norte) têm contrato com a F5, Inc. nos Estados Unidos. Para todos os serviços da F5, o Adendo de Proteção de Dados (DPA) , complementado pelos Termos Específicos do Serviço , inclui as Cláusulas Contratuais Padrão e disposições que se aplicam a todas as transferências legalmente aplicáveis à F5. Estas Cláusulas Contratuais Padrão são acompanhadas pelo adendo de transferência internacional de dados publicado pelo governo do Reino Unido para transferências no Reino Unido, bem como por linguagem adicional publicada pelo Comissário Federal Suíço de Proteção de Dados e Informações para transferências na Suíça. Para serviços relevantes, a F5 também mantém uma certificação sob a UE-EUA Estrutura de Privacidade de Dados, a Extensão do Reino Unido para a UE-EUA Estrutura de Privacidade de Dados e a Suíça-EUA Estrutura de Privacidade de Dados.

Sim. Para serviços relevantes, a F5 mantém uma certificação sob a UE-EUA. Estrutura de Privacidade de Dados, a extensão do Reino Unido para a UE-EUA. Estrutura de Privacidade de Dados e a Suíça-EUA. Estrutura de Privacidade de Dados.

Não. Essas duas disposições legais dos EUA, que foram o foco da decisão Schrems II , não afetam o F5. Em qualquer caso, devido às melhorias na legislação dos EUA após a decisão Schrems II , a Comissão Europeia determinou na sua Decisão de Execução de 10.7.2023, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho sobre o nível adequado de proteção de dados pessoais no âmbito da UE-EUA Estrutura de Privacidade de Dados que as preocupações anteriores sobre essas disposições foram resolvidas. O Conselho Europeu de Proteção de Dados (EDPB) analisou a decisão da Comissão Europeia e observou (em sua nota informativa sobre transferências de dados sob o GDPR para os Estados Unidos após a adoção da decisão de adequação em 10 de julho de 2023 ) que “todas as salvaguardas que foram colocadas em prática pelo governo dos EUA na área de segurança nacional (incluindo o mecanismo de reparação) se aplicam a todos os dados transferidos para os EUA, independentemente da ferramenta de transferência usada” (ou seja, independentemente de os dados serem transferidos para os Estados Unidos por meio do Data Privacy Framework, Cláusulas Contratuais Padrão ou outra ferramenta de transferência).

A F5 nunca recebeu uma solicitação de acesso a dados ou qualquer outro tipo de diretiva sob a FISA 702. Muitos serviços F5 não são o tipo de serviço elegível para serem alvos de uma diretiva FISA 702. Além disso, para quase todos os clientes dos serviços da F5, a F5 não processa o tipo de dados que são elegíveis para serem alvos com uma diretiva FISA 702, que se aplica a dados sobre a proliferação de armas de destruição em massa, planos de potências estrangeiras para ataques aos Estados Unidos, inteligência sobre atividades clandestinas de espiões estrangeiros ou outras “informações de inteligência estrangeira” no sentido da FISA.

A F5 também não pode receber uma ordem para produzir dados do cliente sob EO 12333 porque não existe uma ordem EO 12333. A EO 12333 atribui certa responsabilidade dentro da Comunidade de Inteligência dos Estados Unidos, mas não impõe nenhuma obrigação ao setor privado. O F5 criptografa dados em trânsito e usa medidas de segurança adicionais para proteger contra as atividades teóricas de interceptação que preocupavam o tribunal Schrems II antes da determinação de adequação da Comissão Europeia de 2023 discutida acima.

O CLOUD Act não deu ao governo dos EUA novos poderes para exigir dados de empresas que fazem negócios nos Estados Unidos. O governo dos EUA não emite “ordens do CLOUD Act” e a F5 nunca recebeu nenhuma. O CLOUD Act esclareceu que, quando o governo dos EUA segue um processo legal existente apropriado (como obter uma ordem de um juiz do tribunal distrital federal) para instruir uma empresa a fornecer dados específicos em sua posse, custódia ou controle, a localização dos dados não pode ser a base para a contestação da empresa à ordem (embora ainda possa haver um conflito com as leis em vigor em tal local). A Lei CLOUD está em vigor desde antes da decisão Schrems II de 2020. Após a decisão Schrems II , os Estados Unidos fizeram várias melhorias em suas regras e práticas relacionadas ao acesso governamental aos dados. A Comissão Europeia avaliou então essas melhorias e determinou que a lei dos EUA aplicável às demandas de dados do governo dos EUA agora fornece um nível adequado de proteção dentro do significado do GDPR. Ver Decisão de Execução de 10.7.2023 nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho relativo ao nível adequado de proteção de dados pessoais no âmbito da UE-EUA. Estrutura de Privacidade de Dados . O Conselho Europeu de Proteção de Dados (EDPB) analisou esta decisão e observou (na sua nota informativa sobre transferências de dados ao abrigo do RGPD para os Estados Unidos após a adoção da decisão de adequação em 10 de julho de 2023 ) que “todas as salvaguardas que foram colocadas em prática pelo governo dos EUA na área da segurança nacional (incluindo o mecanismo de reparação) aplicam-se a todos os dados transferidos para os EUA, independentemente da ferramenta de transferência utilizada” (ou seja, independentemente de os dados serem transferidos para os Estados Unidos através do Quadro de Privacidade de Dados, Cláusulas Contratuais Padrão ou outra ferramenta de transferência).

Dada a natureza dos relacionamentos com os clientes da F5 e os dados limitados (e normalmente criptografados) que a F5 manipula para os clientes, tais demandas são extremamente raras. A política da F5 para qualquer demanda por dados do cliente é (i) notificar prontamente o cliente se for legalmente permitido e então cooperar com a resolução do cliente ou (ii) se a notificação do cliente for ilegal, tentar redirecionar a autoridade solicitante para o cliente. Se esses esforços não resolverem o problema, a F5 avaliará a legalidade da demanda e levantará todos os desafios razoáveis a ela (como um recurso), incluindo se o cumprimento da solicitação violaria o GDPR ou outras leis relevantes. Durante esse processo, o F5 solicitaria a suspensão dos efeitos da demanda até que a autoridade judicial competente decida sobre seu mérito, inclusive por meio de eventual processo de apelação. A F5 não divulgaria nenhum dado em tal situação, a menos que e até que fosse obrigada a fazê-lo pelas regras processuais aplicáveis. Se esse ponto fosse alcançado, a F5 divulgaria apenas os dados mínimos necessários para atender ao que restava da demanda original.

Cada contrato de cliente para os serviços da F5 (o Contrato de Serviços ao Usuário Final (EUSA) ) inclui Termos Específicos de Serviço que incorporam e complementam o Adendo de Proteção de Dados (DPA) da F5, que inclui as Cláusulas Contratuais Padrão com linguagem adicional relevante para transferências sujeitas à lei do Reino Unido ou Suíça. Em certos casos, o cliente e a F5 terão um contrato diferente que incorpora essas mesmas proteções, como o contrato para serviços de suporte específicos da F5. Os clientes também podem consultar https://www.dataprivacyframework.gov/list , que mostra que a F5 foi certificada pela UE-EUA Estrutura de Privacidade de Dados, a Extensão do Reino Unido para a UE-EUA Estrutura de Privacidade de Dados e a Suíça-EUA Estrutura de Privacidade de Dados.

Para transferências para entidades F5 em “países terceiros”, incluindo o Reino Unido, a F5 e seus clientes contam com o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE, que está disponível no site do Comissário de Informações do Reino Unido e é incorporado por referência no DPA da F5 para transferências relevantes regidas pela lei do Reino Unido. Além disso, para determinados serviços, a F5 é certificada pela Extensão do Reino Unido para a UE-EUA Estrutura de Privacidade de Dados.