Estas directrices proporcionan instrucciones y mayor transparencia con respecto a la gestión de las solicitudes de información sobre usuarios, clientes o usuarios finales por parte de las autoridades policiales, de seguridad nacional y otros organismos reguladores ("Información del usuario").
LastPass, según proceda, seguirá un proceso similar para las solicitudes legales de partes privadas.
Información que podemos proporcionar
LastPass utiliza un modelo de seguridad de "conocimiento cero", diseñado para garantizar que los datos de los clientes se mantengan privados y protegidos ante LastPass o cualquier otra persona. El servicio LastPass cuenta con una "bóveda" en la que se almacenan datos confidenciales del usuario de forma cifrada, que solo se pueden descifrar a nivel de usuario y dispositivo si se introduce la contraseña maestra del usuario. Por diseño, LastPass no tiene conocimiento de la contraseña maestra del usuario y no la almacena ni accede a ella. Por lo tanto, nadie en LastPass puede descifrar los datos de la bóveda en los servidores de LastPass ni proporcionar dicha información como respuesta a una solicitud legal.Siempre que sea posible, LastPass cree que el solicitante debe intentar obtener información directamente del usuario o cliente que es objeto de la investigación antes de solicitar dicha información a LastPass.
Información que los solicitantes deben proporcionar
Para garantizar que cualquier solicitud de información del usuario tenga un alcance razonable y exija solo la información necesaria para completar su investigación, la solicitud debe incluir una orden judicial válida, una citación, un proceso legal equivalente o una situación de emergencia presentada en su forma original como un PDF sin editar emitido por la autoridad correspondiente.
La solicitud debe incluir tantos detalles como sea posible para ayudarnos a responder de manera eficaz y oportuna. Nota: La mayor parte de la información del usuario y los datos de la cuenta solo se pueden identificar mediante la dirección de correo electrónico del usuario. Por lo tanto, la dirección de correo electrónico asociada a la cuenta es la información de identificación más útil.
Cada solicitud también debe incluir información de contacto del solicitante autorizado, incluidos:
- Nombre
- Número de placa/identificación (si corresponde)
- Dirección de correo electrónico proporcionada por el empleador
- Número de teléfono, incluidas extensiones
- Dirección de correo
- Fecha de respuesta solicitada
Solicitudes de procesamiento
Al recibir una solicitud de información del usuario, LastPass sigue estos pasos antes de responder:
- Autoridad. LastPass revisará y verificará que el solicitante tenga la autoridad correspondiente conforme a la ley aplicable para solicitar la información del usuario. En ausencia de una orden judicial, citación o proceso legal equivalente válidos, así como de una situación de emergencia, LastPass no puede proporcionar la información del usuario al solicitante.
- Alcance. Siempre que sea posible, LastPass intentará garantizar que cualquier solicitud de información del usuario tenga un alcance razonable y se limite a una cuenta específica. LastPass puede solicitar contexto adicional si la naturaleza de la investigación no está clara y oponerse a la solicitud cuando sea necesario. En el caso de que LastPass proporcione información del usuario, intentará compartir la cantidad mínima de información necesaria para cumplir con la demanda.
- Aviso. Salvo en casos en los que la autoridad legal correspondiente exija a LastPass no notificar; este tenga prohibido hacerlo, o haya una clara indicación de conducta ilegal, maliciosa o perjudicial, LastPass notificará al cliente cualquier solicitud antes de revelar la información del usuario para que el cliente pueda consultar los recursos legales disponibles.
Solicitudes internacionales
Todas las solicitudes deben emitirse conforme a las leyes aplicables y enviarse a través de canales oficiales (por ejemplo, orden ejecutada, dirección de correo electrónico oficial, etc.). Además, las solicitudes deben realizarse con un fundamento jurídico apropiado, y puede requerirse una solicitud en virtud de un tratado de asistencia legal mutua, una solicitud de un país que cumpla con las obligaciones de la Ley CLOUD de EE. UU., una carta rogatoria u otra forma de aplicación nacional para establecer el fundamento jurídico de una solicitud internacional.
Revisaremos todas las solicitudes internacionales país por país y caso por caso para equilibrar nuestras obligaciones legales locales con nuestros compromisos de promover la seguridad y la privacidad de los usuarios. Podremos responder de manera diferente a las solicitudes de distintos países cuando estos compromisos entren en conflicto con la legislación local.
Dónde enviar una solicitud
LastPass acepta el envío de solicitudes de información del usuario y de las autoridades policiales por correo electrónico a subpoenas@lastpass.com.
Aunque aceptamos aceptar solicitudes por este método, ni LastPass ni los clientes renuncian a ningún derecho legal basado en esta adaptación. Además, las solicitudes por correo electrónico deben enviarse desde una dirección de correo electrónico oficial del gobierno, cuando corresponda.
