Perguntas frequentes sobre ordens judiciais de solicitação de dados do usuário

Geral

Por que uma agência governamental pode solicitar meus dados?

Diversas leis permitem que agências governamentais investiguem violações regulamentares ou atividades criminais. O Google recebe solicitações de dados do usuário de agências governamentais investigando atividades criminosas, assim como de órgãos administrativos, tribunais e outros.

O Google permite que governos tenham acesso direto aos dados do usuário?

Exigimos que os governos enviem as solicitações de dados do usuário diretamente ao Google e não entrem em contato por vias alternativas.  Nossa equipe jurídica analisa todas as solicitações e frequentemente recusa aquelas que são muito amplas ou não seguem o processo correto.  Tomamos a iniciativa de agir com a maior transparência possível a respeito das solicitações governamentais de informações do usuário.

O que o Google faz quando recebe uma solicitação oficial de dados do usuário?

Ao divulgar dados em resposta a essas solicitações oficiais, nossa prioridade é o respeito à privacidade e à segurança dos dados armazenados pelo usuário no Google. Quando recebemos essas solicitações, nossa equipe as analisa para garantir que elas seguem os requisitos legais e as políticas do Google. Normalmente, para que seja aceita, a solicitação deve ser feita por escrito, estar assinada por um oficial autorizado da agência que emitiu a solicitação e embasada nas leis apropriadas. Se acreditarmos que uma solicitação é muito ampla, buscaremos restringir o escopo dela.

Quantas destas solicitações resultam na divulgação de dados por parte do Google?

Você pode encontrar estes números neste mesmo relatório, incluindo uma tabela de solicitações por país.

O Google já conseguiu limitar o alcance de alguma solicitação antes?

Sim, já conseguimos limitar o escopo de solicitações. Por exemplo, em 2006, o Google foi a única empresa de pesquisas de grande porte que recusou uma solicitação do governo dos EUA pedindo a entrega de conteúdos pesquisados durante dois meses por usuários. Contestamos a intimação, e o tribunal, por fim, negou a solicitação governamental. Em alguns casos, nós recebemos solicitações exigindo todas as informações associadas a uma Conta do Google e podemos pedir à agência requerente para limitar as informações a um produto ou serviço específico.

E se eu quiser dar os registros da minha Conta do Google a um órgão de cumprimento da lei?

O usuário poderá fazer isso se desejar. Fornecemos ferramentas que permitem ao usuário fazer download do conteúdo dele de muitos dos nossos serviços usando o Google Takeout. No entanto, o Google exige uma ordem judicial válida antes de divulgar dados em resposta a uma solicitação governamental (mesmo que esta tenha sido feita no nome do usuário), exceto em situações de emergência.

Em função dos tipos de solicitações oficiais cobertas no Transparency Report, o que o usuário pode fazer para visualizar seus próprios dados e fazer planos para o futuro?

O Google permite que nossos usuários visualizem e controlem os próprios dados. Com o Takeout, os usuários podem exportar ou criar um arquivo com os dados do Google deles. Com o gerenciador de contas inativas, os usuários podem decidir o que acontecerá com os próprios dados se estiverem inativos durante determinado período de tempo. Recomendamos o uso dessas ferramentas para gerenciar dados e legado digital.

 

Solicitações provenientes dos Estados Unidos

Os órgãos de cumprimento da lei dos EUA precisam usar ordens judiciais para exigir que o Google forneça dados do usuário ou basta solicitar isso por telefone?

O governo precisa de ordens judiciais, como mandados, intimações ou mandados de busca e apreensão, para ordenar que o Google revele informações de usuários. Salvo algumas exceções em casos de emergência, o governo não pode obrigar o Google a divulgar informações.

Que tipos de casos emergenciais?

Divulgamos informações de usuários a agências governamentais espontaneamente quando acreditamos que isso é necessário para evitar mortes ou danos físicos graves. A legislação nos permite abrir essas exceções, como em casos que envolvam sequestro ou ameaças de bomba. As solicitações de emergência precisam ter uma descrição do tipo de emergência e apresentar uma explicação sobre como a informação solicitada pode impedir danos. As informações fornecidas em resposta à solicitação estão limitadas àquilo que acreditamos ser útil na prevenção de danos.

Como os órgãos de cumprimento da lei enviam solicitações oficiais ao Google?

As autoridades responsáveis pelo cumprimento da lei podem enviar solicitações de dados à Google Inc. em pessoa, por meio de fax, correio, e-mail ou com o Law Enforcement Request System (sistema de solicitação de cumprimento da lei ou LERS, na sigla em inglês) on-line do Google. Aceitar a ordem judicial por meio de uma dessas alternativas não implica renúncia a objeções.

O que é o Law Enforcement Request System (sistema de solicitação de cumprimento da lei ou LERS, na sigla em inglês) on-line do Google?

O LERS é um sistema em que agentes verificados de cumprimento da lei podem, com segurança, enviar solicitações oficiais de dados do usuário, ver o status das solicitações enviadas e fazer download das respostas do Google.

O sistema é seguro?

Por estar hospedado em HTTPS, o LERS é criptografado. Cada agente de cumprimento da lei que acessa o sistema possui uma conta de usuário único (fornecida pelo Google) e precisa fazer login por meio de uma autenticação em duas etapas.

Isso não facilita o acesso a dados do usuário por parte do governo?

Não. O LERS não dá aos governos acesso direto aos nossos sistemas nem aos dados dos usuários. O LERS é uma interface por meio da qual as autoridades autorizadas do governo podem enviar solicitações legais. O Google revisa cada solicitação governamental e usa o LERS para responder adequadamente de acordo com as legislações aplicáveis. Aplicam-se os mesmos padrões legais tanto ao processo enviado pelo LERS quanto às ordens judiciais enviadas ao Google por outros métodos.

Que tipos de solicitações oficiais o Google recebe de agências governamentais dos EUA?

As solicitações mais comuns são as intimações, seguidas por mandados de busca e apreensão. A lei federal chamada Electronic Communications Privacy Act (lei de privacidade nas comunicações eletrônicas), conhecida como ECPA, na sigla em inglês, dita como as agências governamentais podem usar esses tipos de ordens judiciais para obrigar empresas como o Google a revelar informações sobre usuários. Essa lei foi aprovada em 1986, quando a Web de hoje nem existia. Ela não acompanhou a forma como as pessoas usam a Internet atualmente. É por isso que temos trabalhado com muitos grupos de advocacia, empresas e outros, por meio da Coalizão Digital Due Process (em inglês), para buscar atualizações nessa lei tão importante e fazer com que ela garanta o nível de privacidade que você espera ao usar nossos serviços.

Qual é a diferença entre uma intimação, um mandado de busca e apreensão e um mandado de acordo com a ECPA? Que informações uma agência governamental pode receber do Google com cada um deles?

O assunto é complexo, mas temos um breve resumo dos diferentes tipos de ordem judicial previstos pela ECPA:
Intimação
Dos três tipos de ordem judicial da ECPA, a intimação é a mais fácil de conseguir, já que oferece menos limitações legais para as agências governamentais. Em muitas jurisdições, incluindo o sistema federal, não é exigido que um juiz ou magistrado analise uma intimação antes que ela seja emitida por um governo. Uma agência governamental pode usar uma intimação para obrigar o Google a divulgar apenas tipos específicos de informação listados na lei. Por exemplo, uma intimação válida poderia nos obrigar a divulgar o nome que você listou ao criar sua conta do Gmail e os endereços IP usados para criar a conta e fazer login (com as datas e os horários). As intimações podem ser usadas pelo governo em casos criminais e civis.

Aparentemente, a lei ECPA pode permitir que uma agência governamental obrigue prestadoras de serviços de comunicação a divulgarem o conteúdo de determinados tipos de e-mail e outros conteúdos com uma intimação ou um mandado (descrito abaixo). No entanto, o Google exige mandados de busca e apreensão para conteúdos do Gmail e de outros serviços com base na quarta emenda à Constituição dos Estados Unidos, que proíbe busca e apreensão desarrazoadas.

Mandado com base na ECPA
Ao contrário das intimações, os mandados da ECPA exigem análise judicial. Para receber um mandado da ECPA, uma agência governamental precisa apresentar para um juiz ou magistrado fatos que mostrem que as informações solicitadas são relevantes e essenciais para uma investigação criminal em andamento.

Com um mandado, uma agência governamental pode conseguir as mesmas informações a que teria acesso com uma intimação, além de dados mais detalhados sobre o uso da conta. Essas informações podem incluir o endereço IP associado a um determinado e-mail enviado dessa conta ou usado para alterar a senha (com as datas e os horários) e tudo que não for conteúdo dos cabeçalhos de e-mail, como os campos "de:", "para:" e "data:". Os mandados só estão disponíveis para investigações criminais.

Mandado de busca e apreensão
Os limites são mais amplos para os mandados de busca e apreensão. Para ter um, uma agência governamental deve fazer uma solicitação para um juiz ou magistrado e apresentar o ônus da prova: mostrar a "justa causa" a fim de corroborar que contrabando ou determinadas informações relacionadas a um crime estão no local específico da busca. Um mandado de busca e apreensão deve especificar as informações que serão procuradas e o local da busca. Ele pode ser usado para obrigar a divulgação das mesmas informações que uma intimação ou um mandado, mas também das informações das consultas de pesquisa e do conteúdo armazenado na Conta do Google de um usuário, como mensagens, documentos e fotos do Gmail e vídeos do YouTube. Os mandados de busca e apreensão de ECPA estão disponíveis somente para investigações criminais. O vídeo abaixo oferece uma visão geral de como revisamos os mandados de busca e apreensão de ECPA e respondemos a estes.
Procedimento para mandados

nulo

O que são mandados de escuta telefônica e de registro de chamadas realizadas e recebidas? Como eles se diferenciam de outras ordens judiciais da ECPA?

O que são mandados de escuta telefônica e de registro de chamadas realizadas e recebidas? Como eles se diferenciam de outras ordens judiciais da ECPA?

Algumas agências governamentais norte-americanas, federais e locais, podem solicitar judicialmente a divulgação de informações dos usuários em tempo real por parte das empresas. Ao contrário das intimações ou dos mandados de busca e apreensão, que são usados para ter acesso a informações criadas no passado, esses tipos de mandado buscam coletar informações que ainda não existem. Eles são divididos em duas categorias: escutas telefônicas e registros de chamadas realizadas e recebidas.
Escuta telefônica
Um mandado de escuta telefônica exige que uma empresa entregue informações que incluem o conteúdo das comunicações em tempo real. De todas as solicitações governamentais que podem ser emitidas de acordo com a Lei de Privacidade nas Comunicações Eletrônicas (ECPA, na sigla em inglês), os mandados de escuta telefônica são os mais difíceis de serem autorizados. Para atender aos requisitos legais, uma agência governamental deve comprovar que: a) uma pessoa está cometendo um crime listado na Lei de Escuta, b) o grampo telefônico coletará informações sobre esse crime, e c) o crime envolve a conta ou o número de telefone que será grampeado. Além disso, o tribunal precisa constatar que os métodos "normais" de investigação falharam (ou provavelmente falhariam) ou são muito perigosos. Há limites legais (em inglês) quanto à duração de uma escuta, bem como requisitos para notificar os usuários que foram grampeados.

Veja as estatísticas sobre as escutas federais e estaduais (em inglês).

Registros de chamadas realizadas e recebidas
Um mandado de registro de chamadas realizadas ou recebidas exige que a empresa entregue informações sobre as comunicações (excluindo o conteúdo das comunicações em si) de um usuário em tempo real. Com esse mandado, um governo pode obter “informações de discagem, encaminhamento, endereço e sinal”. Isso poderia incluir os números discados no seu telefone para contatar alguém ou um endereço IP emitido por um Provedor de Serviços de Internet (ISP, na sigla em inglês) a um assinante.

É mais fácil para uma agência governamental conseguir um mandado de registro de chamadas realizadas ou recebidas do que um mandado de escuta telefônica ou um mandado de busca e apreensão. Para conseguir um, a agência requerente precisa confirmar que as informações obtidas serão “relevantes para uma investigação criminal em andamento”. Para o Google, essa norma não é suficiente. Por isso, trabalhamos com a coalizão Digital Due Process a fim de garantir que o tribunal tenha um papel significativo ao determinar quando esses mandados devem ser emitidos.

Se vocês receberem uma solicitação oficial sobre minha conta, eu serei informado?

Se o Google receber uma ordem judicial relativa à lei de privacidade nas comunicações eletrônicas (ECPA, na sigla em inglês) a respeito da conta de um usuário, de acordo com nossa política, informaremos o usuário por e-mail antes de divulgar qualquer dado, a menos que essa notificação seja proibida por lei.  Avisaremos o usuário assim que a lei permitir, por exemplo, quando um período de restrição de divulgação definido por lei ou por um mandado terminar.  Fica a critério do Google a opção de não notificar os usuários quando esse aviso for contraproducente ou em circunstâncias excepcionais que envolvam risco de morte ou danos físicos a qualquer pessoa.  Nesses casos, talvez o aviso seja enviado mais tarde se determinarmos que essas circunstâncias não se aplicam mais.  Se a conta estiver hospedada em uma empresa, a notificação poderá ser enviada ao administrador do domínio, ao usuário final ou a ambos.

 

Cada solicitação recebida é analisada antes de ser respondida para garantir que atenda aos requisitos legais aplicáveis e às políticas do Google. Em determinadas situações, recuaremos mesmo que o usuário decida contestar juridicamente.   Se a solicitação tiver validade jurídica, tentaremos fazer uma cópia das informações solicitadas antes de notificarmos o usuário.

Recebi um e-mail do Google comunicando que informações relacionadas à minha conta foram solicitadas. O que isso significa?

Isso significa que recebemos uma solicitação oficial para divulgar informações que estão armazenadas na sua Conta do Google ou associadas a ela. Não divulgamos as informações somente porque recebemos uma solicitação. Temos um processo rigoroso de análise desses pedidos para garantir que estejam de acordo com os requisitos legais e as políticas do Google.

O Google não pedirá que você forneça informações pessoais, como uma senha ou seu CPF, nesses e-mails. Se você receber um e-mail supostamente do Google pedindo esse tipo de informação, ignore-o e nos informe. Isso provavelmente é um golpe. Registre uma denúncia.

O que posso fazer em relação a uma solicitação como essa?

Recomendamos que o usuário consulte um advogado para conhecer suas opções. Na notificação que será enviada, forneceremos informações para que o usuário possa entrar em contato com a parte solicitante com dúvidas sobre o processo legal. Também forneceremos uma cópia do processo mediante solicitação, embora talvez tenhamos que remover algumas informações antes de enviá-las a você. Não fornecemos consultoria jurídica nem discutimos o conteúdo da solicitação.

Exceto no caso de você tomar medidas legais, como protocolar uma impugnação em um tribunal, talvez tenhamos que divulgar as informações relativas à solicitação. Normalmente, o prazo disponível para protocolar uma impugnação é de sete dias corridos, embora isso varie conforme o caso. Envie uma cópia da impugnação protocolada no tribunal para nos informar a respeito. Essa cópia precisa ter o carimbo do tribunal como comprovação. Não basta simplesmente pedir a não divulgação das informações, já que podemos ser obrigados a divulgar dados caso não haja uma decisão contrária de um tribunal.

Quais tipos de dados vocês revelam sobre os diferentes produtos?

Para responder a essa dúvida, veremos quatro serviços que atendem às solicitações de informação de agências governamentais norte-americanas: Gmail, YouTube, Google Voice e Blogger. Estes são alguns exemplos dos tipos de dados que podemos ser obrigados a divulgar, dependendo do procedimento legal da ECPA, do escopo da solicitação e do que está sendo solicitado e o que está disponível. Se acreditarmos que uma solicitação está excessivamente ampla, nós procuraremos limitá-la.
 
Produtos Intimação Mandado Mandado de busca e apreensão
Gmail
  • Informações de registro do inscrito (por exemplo, nome, informações de criação da conta, endereços de e-mail associados, número de telefone)
  • Endereços IP de login e timestamps associados
  • Informações não relacionadas a conteúdos (como informações de cabeçalho de e-mail não relacionadas a conteúdo)
  • Informações que podem ser recebidas com uma intimação
  • Conteúdo de e-mails
  • Informações que podem ser recebidas com uma intimação ou mandado
YouTube
  • Informações de registro de inscritos
  • Endereços IP de login e timestamps associados
  • Endereços IP de envio de vídeos e timestamps associados
  • Informações que podem ser recebidas com uma intimação
  • Cópia de um vídeo privado e informações de vídeo associadas
  • Conteúdo de mensagens privadas
  • Informações que podem ser recebidas com uma intimação ou mandado
Google Voice
  • Informações de registro de inscritos
  • Endereços IP de login e timestamps associados
  • Registros de conexão telefônica
  • Informações de cobrança
  • Número de encaminhamento
  • Informações que podem ser recebidas com uma intimação
  • Conteúdo armazenado de mensagens de texto
  • Conteúdo armazenado de correio de voz
  • Informações que podem ser recebidas com uma intimação ou mandado
Blogger
  • Página de registro do Blog
  • Informações de inscrição do proprietário do Blog
  • Endereço IP e carimbo de hora e data associado relativos à postagem especificada do blog
  • Endereço IP e timestamp associado relativos ao comentário específico sobre uma postagem
  • Informações que podem ser recebidas com uma intimação
  • Postagem privada do blog e conteúdo de comentário
  • Informações que podem ser recebidas com uma intimação ou mandado

 

Os registros do Google são aceitáveis nos tribunais sem uma comprovação?

O Google fornece um certificado de autenticação por escrito com as informações divulgadas em resposta a ordens judiciais. Isso normalmente é suficiente para permitir que nossos registros sejam aceitos em um processo judicial. O Google não fornece testemunhos periciais.

 

Solicitações provenientes de fora dos Estados Unidos

Como o Google responde a solicitações de agências governamentais fora dos Estados Unidos?

Por meio dos MLATs (tratados de assistência jurídica mútua, na sigla em inglês) e outros acordos diplomáticos e cooperativos, as agências fora dos EUA podem atuar por meio do Departamento de Justiça dos EUA a fim de reunir evidências para investigações legítimas. Em alguns casos, a U.S. Federal Trade Commission (Comissão Federal de Comércio) pode fornecer assistência.

Se a lei dos EUA estiver implicada na investigação, uma agência dos EUA pode abrir sua própria investigação e fornecer aos investigadores estrangeiros as evidências coletadas. O Google também pode divulgar dados em resposta a solicitações de divulgação emergenciais quando acreditar que isso é necessário para evitar mortes ou danos físicos graves a alguma pessoa.

A nosso critério, poderemos fornecer dados do usuário em resposta a ordens judiciais válidas de agências governamentais fora dos EUA, se essas solicitações forem consistentes com as normas internacionais, com a legislação dos EUA, com as políticas do Google e com a legislação do país solicitante.

Quais informações uma agência governamental fora dos EUA pode receber do Google por meio de ordens judiciais?

Se uma agência governamental fora dos EUA passar por um processo diplomático como o MLAT para obter uma intimação, um mandado ou um mandado de busca e apreensão da ECPA emitido pelos EUA, o Google entregará as mesmas informações que entregaria em uma solicitação emitida por uma agência dos EUA. Nos casos em que o Google honra ordens judiciais emitidas diretamente por uma agência fora dos EUA, as informações divulgadas podem incluir, por exemplo, informações de registro de Conta do Google ou do YouTube (nome, informações de criação da conta e endereços de e-mail associados) e os endereços IP de logins recentes, além dos timestamps associados.

O que é um MLAT (tratado de assistência jurídica mútua, na sigla em inglês)?

Um MLAT é um tratado entre os EUA e outro país que define como cada parte ajudará a outra em questões legais, como investigações criminais. Por meio de um MLAT, um governo estrangeiro pode pedir ajuda ao governo dos EUA para obter evidências de entidades nos EUA, incluindo empresas como o Google. Se o governo dos EUA aprovar a solicitação, o Google terá que responder a ele.

Como funciona o MLAT?

O processo do MLAT é bastante simples. Exemplo: um policial em Londres está investigando um caso de roubo de identidade e tem evidências de que o acusado tem uma conta do Gmail. Para continuar a investigação, o policial deve identificar o usuário. Como existe um MLAT firmado entre o Reino Unido e os EUA, o policial pode solicitar ao Ministério de Negócios Interiores do Reino Unido que peça as informações na Secretaria de Assuntos Internacionais, parte do Departamento de Justiça dos EUA. O Departamento de Justiça dos EUA entrega a solicitação ao procurador federal adequado, que faz uma ordem judicial solicitando os dados do usuário ao Google. Se a solicitação estiver dentro da lei e das políticas do Google, forneceremos as informações para o procurador federal dos EUA, e elas seguem seu destino até a secretaria responsável no Reino Unido.

O MLAT é a única forma pela qual governos fora dos EUA podem obter informações sobre empresas norte-americanas?

Não. Há muitas outras formas pelas quais outros países podem obter informações de empresas como o Google fora do processo MLAT, incluindo investigações conjuntas entre os EUA e entidades locais de cumprimento da lei, solicitações de divulgação emergenciais, entre outros.