Visão geral de solicitação de dados

O Slack se empenha em manter a confiança e a transparência

Nos documentos e nas perguntas frequentes a seguir, você pode encontrar nossas políticas e diretrizes para solicitações de dados feitas por órgãos administrativos e judiciais e por terceiros do setor privado. Também é possível encontrar nossos relatórios anuais sobre o número de solicitações que recebemos e nossas respostas.

Política de Solicitação de Dados

Como parte do nosso empenho em manter a confiança e a transparência, nossa Política de Solicitação de Dados estipula as políticas e os procedimentos do Slack para responder a solicitações de Dados do Cliente. Essa política orienta nossas práticas relativas a solicitações de dados de terceiros, solicitações de autoridades judiciais, avisos aos Clientes e solicitações de dados internacionais.

Relatório de Transparência

Todos os anos, a Salesforce publica informações sobre solicitações judiciais e governamentais que empresas da Salesforce, incluindo o Slack, receberam no ano civil anterior. Estes relatórios de transparência descrevem os princípios norteadores da Salesforce para manter a confidencialidade dos clientes, o número de solicitações que recebe anualmente e os dados relacionados às respostas. Para acessar os relatórios de transparência dos anos anteriores, consulte o Arquivo jurídico do Slack.

Perguntas frequentes

Como o Slack lida com solicitações feitas por órgãos administrativos e judiciais?

O Slack é uma plataforma online de produtividade no local de trabalho, conforme descrito na nossaPolítica de Privacidade e nos nossos Termos de Serviço. Se recebemos uma ordem administrativa ou judicial válida, temos a obrigação de fornecer dados do usuário nos termos da legislação aplicável. Nossa Política de Solicitação de Dados indica nossos requisitos com relação a essas solicitações, e nosso Relatório de Transparência mostra o tipo e o volume de solicitações de órgãos administrativos e judiciais que recebemos todos os anos.

Para onde devo enviar a citação/intimação?

Todas as solicitações feitas por órgãos administrativos ou judiciais (incluindo os de outros países) podem ser enviadas para o nosso alias de e-mail destinado a citações/intimações: legalprocess@slack.com

De quais informações o Slack precisa para processar minha solicitação?

Além de todos os requisitos aplicáveis (legais ou não), todas as solicitações feitas por meio de citações/intimações devem incluir as seguintes informações: (a) o órgão administrativo ou judicial emissor; (b) o objeto da solicitação; e (c) informações que identifiquem o workspace Slack, incluindo os nomes de Usuário e Cliente pertinentes, o período, o intervalo de datas, a URL do workspace Slack (nomeslack.slack.com) e o tipo de dados desejado. A solicitação também deve ser feita por meio de uma conta de e-mail de um órgão público e incluir todas as informações de contato do solicitante.

O que acontece quando o Slack recebe uma ordem judicial?

Avaliamos minuciosamente o fundamento jurídico de todas as solicitações tendo em conta a privacidade do usuário. O Slack pode recusar ou contestar solicitações que não sejam claras ou sejam excessivamente amplas ou inapropriadas.

Com que frequência vocês fornecem dados a órgãos administrativos ou judiciais?

Nosso Relatório de Transparência mostra a quantidade de solicitações que recebemos todos os anos. O relatório atual abrange 1º de janeiro a 31 de dezembro de 2019 e especifica a quantidade de mandados de citação e intimação e outras solicitações de dados recebidas naquele ano. O relatório também inclui o tipo de informação que fornecemos, incluindo dados com e sem conteúdo.

Vocês auxiliam as autoridades administrativas e judiciais na realização de atividades de vigilância eletrônica?

O Slack não vigia clientes em tempo real nem fornece voluntariamente a autoridades acesso a dados sobre usuários para fins de vigilância. Leia nosso Relatório de Transparência para saber mais informações.

O Slack está qualificado para receber ordens de coleta “upstream” ou de vigilância em massa de estrangeiros nos termos da Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA) americana?

Não. Como todas as outras plataformas de comunicação nos Estados Unidos, o Slack é um serviço de comunicação eletrônica (“ECS”) ou serviço de computação remoto (“RCS”), conforme definidos nas Seções 2510 e 2711 do Título 18 do Código de Leis dos Estados Unidos (U.S.C.), respectivamente, quando presta serviços aos clientes. Assim, é possível que o governo dos Estados Unidos emita uma diretiva específica para o Slack nos termos da Seção 702 da FISA.

No entanto, o Slack não está qualificado para receber uma ordem de vigilância “upstream” nos termos da Seção 702. Da forma que o governo dos Estados Unidos vem aplicando a Seção 702 da FISA, ele usa ordens “upstream” apenas em busca do fluxo de tráfego por provedores de backbone que transmitem tráfego de terceiros. Consulte o relatório do Comitê de Proteção de Dados americano “Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (July 2, 2014)”, da página 35 a 40, disponível em inglês em https://fas.org/irp/offdocs/pclob-702.pdf. A Slack não presta tais serviços de backbone, pois transmite apenas tráfego que envolve seus próprios clientes. Por isso, ele não se enquadra no tipo de serviço que poderia receber essa ordem, a qual foi debatida e considerada problemática em decisão do Tribunal de Justiça da União Europeia (Schrems II).

O Slack auxilia as autoridades americanas na coleta de informações em massa nos termos da Ordem Executiva 12333?

O Slack não auxilia as autoridades dos Estados Unidos na realização de atividades de vigilância nos termos da Ordem Executiva 12333. Além disso, a Ordem Executiva 12333 não confere ao governo dos Estados Unidos o poder de coagir as empresas a auxiliá-lo nessas atividades, e o Slack não se prestará a isso voluntariamente. Assim, o Slack não tomará, e não será obrigada a tomar, medidas para facilitar esse tipo de vigilância em massa nos termos da Ordem Executiva 12333.

Como o Slack protege dados em movimento e dados em repouso?

O Slack toma várias medidas técnicas e organizacionais para impedir tentativas de interceptação, vigilância ou outro tipo de acesso a dados em movimento sem autorização. Por exemplo, o Slack criptografa todas as transferências de dados para impedir a aquisição deles por terceiros, como autoridades públicas que podem obter acesso físico aos mecanismos de transmissão enquanto os dados estão em movimento. O Slack usa apenas transporte de dados seguro via TLS 1.2 sobre HTTPS. Esse recurso está sempre ativo para impedir que terceiros adulterem ou acessem transferências de dados entre dois pontos de extremidade (o Slack e nossos clientes).

Nosso workspace Enterprise Key Management oferece mais proteções com a criação de um log de auditoria imutável. Dessa forma, o cliente recebe um aviso sempre que os dados são acessados. O ato de preservar ou produzir conteúdo do EKM acionaria uma entrada visível no log de acesso que é disponibilizado ao Cliente. Os clientes também podem revogar chaves de criptografia para impedir o acesso a conteúdo não criptografado.

A aprovação da Lei CLOUD americana afeta a forma como o Slack responde a ordens judiciais de tribunais americanos?

Não. A Lei CLOUD, promulgada em 2018, esclareceu o escopo geográfico das ordens judiciais americanas e criou uma base legal para que empresas como o Slack possam contestar ordens que entrem em conflito com leis de outros países em determinadas circunstâncias. A Lei CLOUD não alterou nenhuma proteção à privacidade ou jurídica preexistente aplicável aos dados dos usuários. Além disso, o Slack faz uma análise minuciosa de todos os mandados de citação/intimação recebidos, incluindo os emitidos com a Lei CLOUD como fundamento.

Que tipos de dados podem ser divulgados em ordens administrativas ou judiciais?

Dados com conteúdo incluem aqueles gerados pelo usuário, como mensagens públicas e privadas, postagens, arquivos e mensagens diretas. O Slack exige o recebimento de mandado de busca e apreensão para fornecer esses dados aos órgãos solicitantes.

Dados sem conteúdo são informações básicas da conta (como nome, endereço de e-mail, informações de perfil, informações de registro, histórico de login e informações de faturamento) e outros metadados sem conteúdo (como data, hora e remetente/destinatário de mensagens ou arquivos). Dependendo do tipo de dados solicitado, o Slack pode exigir mandados para fornecer tais dados.

Qual é a diferença entre um mandado de busca e apreensão, uma ordem judicial e uma notificação?

Mandado de busca e apreensão é o ato escrito que representa a ordem emitida por um juiz ou tribunal criminal que autoriza a polícia a conduzir a busca de pessoa, bem ou local e confiscar as provas que encontrar. Um mandado de busca e apreensão é exigido para obter o conteúdo de comunicações.

Ordem judicial é qualquer decisão tomada por um tribunal quando há fundamentação suficiente que demonstre que a informação desejada é relevante e importante para uma investigação criminal em curso. A autoridade pública pode obter dados e metadados básicos sem conteúdo sobre um workspace com uma ordem judicial, mas não conteúdo.

Notificação é o ato que indica ao notificado que uma ordem judicial foi emitida por um juiz ou tribunal exigindo o fornecimento de um conjunto específico de informações, como o nome, o endereço, o tempo de serviço ou o meio e origem de pagamento do Cliente, em apoio a uma investigação criminal autorizada.

As autoridades administrativas e/ou judiciais podem obter dados excluídos do Slack?

Geralmente, não. A menos que os dados excluídos sejam retidos pelo Cliente de acordo com as configurações de retenção, eles são removidos dos sistemas do Slack imediatamente após a exclusão. Depois de excluídos, os dados podem ficar nos nossos backups de segurança por um período limitado (até 14 dias, mas geralmente permanecem por menos tempo). Findo o período de backup, o Slack exclui permanentemente todas as informações dos nossos sistemas de produção. Após a exclusão permanente, o Slack não pode recuperar os dados para nenhum fim, inclusive para responder a solicitações feitas por autoridades administrativas ou judiciais.

Como o Slack lida com solicitações de emergência?

Caso você tenha uma emergência que envolve risco de vida ou de lesão grave e acredite que o Slack tenha dados que possam ser necessários para mitigar o risco, os agentes públicos autorizados devem entrar em contato conosco pelo e-mail legalprocess@slack.com para avaliarmos a solicitação.

Vocês notificam os Clientes antes de fornecer dados a órgãos administrativos ou judiciais?

A menos que o Slack seja proibida de fazê-lo ou haja uma indicação clara de conduta ilegal ou risco de dano, ela notificará o Cliente sobre a solicitação, geralmente por meio de e-mail ao Proprietário Principal, antes de divulgar algum dado do Cliente, de modo que ele possa buscar soluções legais.

E as solicitações de dados feitas por terceiros?

Terceiros que estejam buscando dados devem entrar em contato com o proprietário do workspace no Slack. Sempre que possível, incentivamos as partes a gerenciar suas solicitações sem envolvimento da nossa parte. Os proprietários de workspaces devem ser capazes de fazer suas próprias exportações para atender a uma ordem judicial válida. Caso precise de ajuda com essas exportações, o Proprietário Principal pode entrar em contato conosco para ver se está qualificado para exportação devido a exigências legais.

Observe que a Lei de Comunicações Armazenadas, prevista na Seção 2701 e seguintes do Título 18 do Código de Leis dos Estados Unidos, proíbe expressamente que uma prestadora de serviços como a Slack divulgue o conteúdo de comunicações a terceiros. De acordo com essa lei, uma notificação e uma ordem judicial não são suficientes para obter conteúdo de um workspace Slack.