Información general sobre la solicitud de datos

En Slack, estamos comprometidos con la confianza y la transparencia.

En los siguientes documentos y preguntas frecuentes, podrás encontrar nuestras políticas y directrices para las solicitudes de datos de entidades gubernamentales y policiales, así como de terceros civiles. También podrás encontrar nuestros informes anuales sobre el número de solicitudes que recibimos y nuestras respuestas.

Política de solicitud de datos

Como parte de nuestro compromiso con la confianza y la transparencia, en nuestra Política de solicitud de datos se describen las políticas y procedimientos de Slack para responder a dichas solicitudes de datos de los clientes. En esta política se ofrece orientación sobre nuestras prácticas con respecto a las solicitudes de datos de terceros, las peticiones de autoridades legales y las notificaciones a los clientes, así como a las solicitudes internacionales de datos.

Informe de transparencia

Salesforce publica información anualmente sobre las solicitudes de entidades gubernamentales y de las fuerzas de seguridad que las empresas de Salesforce, como Slack, recibieron el año anterior. Estos informes de transparencia resumen las pautas de Salesforce para proteger la confidencialidad sobre los clientes, el número de solicitudes que reciben anualmente y los datos de las respuestas. Los informes de transparencia de los años anteriores se pueden encontrar en el Archivo jurídico de Slack.

Preguntas frecuentes

¿Cómo gestiona Slack las solicitudes de entidades gubernamentales y policiales?

Slack es una plataforma de productividad en línea para centros de trabajo, como se describe en nuestra Política de privacidad y en nuestras Condiciones de servicio. Si recibimos un proceso legal válido por parte de una entidad gubernamental o policial, es posible que tengamos la obligación de facilitar los datos de los usuarios de conformidad con las leyes aplicables. En nuestra Política de solicitud de datos, se describen nuestros requisitos con respecto a dichas solicitudes; además, en nuestro Informe de transparencia, se muestra el tipo y el volumen de solicitudes que recibimos cada año de entidades gubernamentales y policiales.

¿Dónde debo enviar el proceso legal?

Todas las solicitudes de entidades gubernamentales y policiales (incluidas entidades gubernamentales y policiales internacionales) se pueden enviar a nuestro alias de correo electrónico de procesos legales: legalprocess@slack.com

¿Qué información necesita Slack para procesar mi solicitud?

Además de todos los requisitos legales necesarios y aplicables, todas las solicitudes de procedimientos legales deben incluir la siguiente información: a) la entidad gubernamental o agencia policial, b) el asunto penal o civil pertinente y c) información de identificación sobre el espacio de trabajo de Slack, incluidos los nombres de los clientes y usuarios pertinentes, el intervalo de fechas, la dirección URL del espacio de trabajo de Slack (nombredeslack.slack.com) y el tipo de datos solicitados. La solicitud también debe provenir de una cuenta de correo electrónico emitida por el gobierno e incluir la información de contacto completa del funcionario que realiza la solicitud.

¿Qué sucede cuando Slack recibe una solicitud de una entidad policial?

Revisamos con atención todas las solicitudes para cerciorarnos de su fundamento jurídico, y siempre pendientes de mantener la privacidad del usuario. Slack puede rechazar o impugnar cualquier solicitud que no sea clara, o que sea demasiado amplia o inapropiada.

¿Con qué frecuencia proporcionáis datos entidades gubernamentales y policiales?

En nuestro Informe de transparencia, se detalla el número de solicitudes que recibimos cada año. En el presente informe, se abarca el período comprendido entre el 1 de enero y el 31 de diciembre de 2019 y, en él, se especifica el número de citaciones, órdenes judiciales y otras solicitudes de datos que hemos recibido a lo largo de ese año. En el informe también se incluye el tipo de información que proporcionamos, incluidos los datos con contenido y sin contenido.

¿Ayudáis a las autoridades policiales y gubernamentales a realizar la vigilancia de las comunicaciones?

En Slack, no vigilamos a los clientes en tiempo real ni proporcionamos voluntariamente a los gobiernos acceso a los datos de los usuarios para propósitos de vigilancia. Consulta nuestro Informe de transparencia para obtener más información.

¿En Slack podéis recibir peticiones de vigilancia de los datos que van del cliente al servidor o a gran escala según la sección 702 de la FISA?

No. Al igual que todas las demás plataformas de comunicación de los Estados Unidos, Slack se considera un servicio de comunicaciones electrónicas (ECS, por sus siglas en inglés) o un servicio de computación a distancia (RCS, por sus siglas en inglés) (tal como se define en las secciones 2510 y 2711 del Título 18 del Código de los Estados Unidos, respectivamente) cuando presta servicios a los clientes. Por lo tanto, es posible que el gobierno de los Estados Unidos presente una disposición concreta que afecte a Slack según la sección 702 de la FISA.

No obstante, en Slack no podemos recibir peticiones basadas en la sección 702 para llevar a cabo la vigilancia de los datos que van del cliente al servidor. Como el gobierno de EE. UU. ha aplicado la sección 702 de la FISA, utiliza las peticiones relacionadas con dicho datos solo para dirigir el tráfico que fluye a través de los proveedores de la red troncal de Internet que llevan el tráfico de terceros. Consulta el informe del consejo de supervisión de la privacidad y las libertades civiles sobre el programa de vigilancia llevado a cabo de conformidad con la sección 702 de la ley de vigilancia de la inteligencia extranjera (2 de julio de 2014), págs. 35-40, disponible en https://fas.org/irp/offdocs/pclob-702.pdf (en inglés). En Slack, no ofrecemos este tipo de servicios troncales, ya que solo llevamos el tráfico que atañe a nuestros propios clientes. Por consiguiente, no reunimos las condiciones para recibir el tipo de petición que se aborda principalmente en la decisión sobre el caso Schrems II y que se considera problemática.

¿Slack ayuda a las autoridades de EE. UU. a recopilar información a gran escala en virtud del decreto 12333?

En Slack no proporcionamos ningún tipo de ayuda a las autoridades estadounidenses que llevan a cabo la vigilancia en virtud del decreto 12333. Además, el decreto 12333 no otorga al Gobierno de los Estados Unidos la capacidad de obligar a las empresas a prestar asistencia en esas actividades, y, en Slack, no lo haremos de forma voluntaria. En consecuencia, en Slack no tomamos ninguna medida para facilitar el tipo de vigilancia a gran escala en virtud del decreto 12333, ni se nos puede obligar a tomarla.

¿Cómo protege Slack los datos en tránsito y en reposo?

En Slack, empleamos una serie de medidas técnicas y organizativas para frustrar los intentos de interceptar y vigilar los datos en tránsito, o de acceder a ellos de otra manera sin autorización. Por ejemplo, en Slack ciframos todas las transferencias de datos para impedir que terceros, como las autoridades gubernamentales que pueden tener acceso físico a los mecanismos de transmisión mientras los datos se envían, puedan hacerse con ellos. En Slack solo utilizamos protocolos seguros para el envío de datos, como TLS 1.2, en lugar de HTTPS. Esta función siempre está activada para restringir a terceros la manipulación o el aprovechamiento de las transferencias de datos entre los dos extremos (Slack y nuestros clientes).

Nuestro espacio de trabajo Administración de claves de cifrado (EKM) ofrece protección adicional mediante la creación de un registro de auditoría inalterable para que el cliente tenga conocimiento de todas las veces que se ha accedido a sus datos. El acto de preservar o mostrar el contenido de EKM desencadenaría una entrada apreciable en el registro de acceso disponible para el cliente. Los clientes también pueden revocar las claves de cifrado para evitar el acceso a contenidos sin cifrar.

¿Afecta la aprobación de la ley CLOUD de EE. UU. a la forma en que Slack responde a las peticiones legales del gobierno de EE. UU?

No. En la ley CLOUD, promulgada en 2018, se aclaró el alcance geográfico de las solicitudes de las fuerzas policiales de los Estados Unidos y se creó una base legal para que empresas como Slack impugnaran aquellas que entraran en conflicto con la legislación extranjera en determinadas circunstancias. La ley CLOUD no modificó ninguna de las protecciones legales y de privacidad que ya existían otorgadas a los datos de los usuarios. Slack aplica el mismo control riguroso a todos los procesos legales que se le han notificado, incluidos los emitidos de conformidad con dicha ley.

¿Qué tipo de datos podrían divulgarse en respuesta a un proceso legal de los organismos del orden público o de las entidades gubernamentales?

Entre los datos de contenido se incluyen los datos que genera el usuario, por ejemplo, mensajes públicos y privados, publicaciones, archivos y mensajes directos. Slack requiere una orden de registro para presentar esos datos a la policía.

Los datos sin contenido son la información básica de la cuenta (como el nombre y la dirección de correo electrónico, la información del perfil, la información de registro, el historial de inicio de sesión y la información de facturación) y otros metadatos sin contenido (como la fecha, la hora y el remitente o el destinatario de los mensajes o archivos). Según el tipo de datos solicitados, en Slack podemos requerir una citación obligatoria o una orden judicial para mostrar estos datos.

¿Cuál es la diferencia entre una orden de registro, una orden judicial y una citación policial?

Una orden de registro es una orden que emite un juez o magistrado al encontrar una causa probable. Se requiere una orden de registro para obtener el contenido de las comunicaciones.

Una orden judicial se produce cuando el tribunal determina que el gobierno ha demostrado que hay motivos razonables para creer que la información solicitada es pertinente y fundamental para una investigación penal en curso. El gobierno puede obtener datos y metadatos básicos sin contenido de un espacio de trabajo con una orden judicial, pero no con contenido.

Una citación policial es una demanda obligatoria que emite una entidad gubernamental para conseguir que se presente un conjunto limitado de información, como el nombre, la dirección, la antigüedad en el servicio o los medios y la fuente de pago de un cliente, en apoyo de una investigación penal autorizada.

¿El gobierno o la policía pueden obtener datos que se han borrado de Slack?

Por lo general, no. A menos que los datos que se hayan eliminado los conserve un cliente de acuerdo con sus ajustes de retención, se borran de los sistemas de Slack inmediatamente después de la eliminación. Una vez eliminados, los datos pueden residir en nuestras copias de seguridad durante un período limitado (hasta 14 días; en ocasiones, menos). Una vez que este haya terminado, Slack borra toda la información de nuestros sistemas de producción. Una vez eliminados por completo, Slack no podrá recuperar los datos para ninguna finalidad, ni siquiera para responder a las solicitudes del gobierno y de la policía.

¿Cómo gestiona Slack las solicitudes de emergencia?

Si tienes una emergencia que implique peligro de muerte o lesiones físicas graves y crees que Slack dispone de datos que se puedan requerir para mitigar ese daño, el personal autorizado de la policía debe ponerse en contacto con nosotros enviando un mensaje a legalprocess@slack.com y evaluaremos la solicitud.

¿Avisáis a los clientes antes de presentar los datos a una entidad gubernamental o de orden público?

A menos que se le prohíba a Slack hacerlo o que haya una clara indicación de conducta ilegal o riesgo de daño, se lo notificará al cliente, normalmente por correo electrónico al propietario principal, antes de revelar los datos para que este pueda buscar rápidamente soluciones legales.

¿Qué pasa con las solicitudes de datos de terceros o civiles?

Los terceros que busquen datos deben ponerse en contacto directamente con el propietario del espacio de trabajo de Slack. Siempre que sea posible, animamos a las partes a gestionar sus peticiones sin que tengamos que intervenir. Los propietarios de los espacios de trabajo deberían poder realizar su propia exportación a fin de cumplir con una solicitud legal apropiada. Si necesitas ayuda con esas exportaciones, el propietario principal puede ponerse en contacto con nosotros para ver si cumplen los requisitos para realizar una exportación debido a una necesidad legal.

Ten en cuenta que la ley de comunicaciones almacenadas, sección 2701 y siguientes del Título 18 del Código de Estados Unidos, prohíbe estrictamente que un proveedor como Slack revele el contenido de las comunicaciones a terceros. En virtud de dicha ley, una citación civil o una orden del juzgado civil no es suficiente para obtener el contenido de un espacio de trabajo de Slack.