Estas diretrizes contêm instruções e dão mais transparência à forma como o LastPass lida com solicitações feitas por autoridades públicas, órgãos de segurança nacional e outros órgãos reguladores quanto a informações sobre nossos usuários, clientes e/ou usuários finais (“Informações dos Usuários”).
A depender do caso, o LastPass seguirá um processo semelhante para solicitações extrajudiciais feitas por particulares.
Informações que podemos fornecer
O LastPass segue um modelo de segurança de “conhecimento zero”, a fim de garantir que os dados dos clientes sejam mantidos protegidos e em sigilo, o que impede que o próprio LastPass e qualquer outra pessoa física ou jurídica tenha acesso a tais dados. O serviço do LastPass oferece um “cofre”, no qual dados sensíveis dos usuários ficam armazenados em um formato criptografados, podendo ser descriptografado apenas no nível do usuários e de seu dispositivo, quando ele informa sua senha mestre. Da maneira como é desenvolvido, o LastPass desconhece a senha mestre do usuário e não a armazena nem a acessa. Portanto, ninguém que trabalha no LastPass consegue descriptografar os dados dos cofres em nossos servidores, ficando impossibilitado de fornecer tais informações em resposta a uma solicitação judicial ou extrajudicial.Sempre que possível, o LastPass acredita que o solicitante deve primeiro tentar obter as informações diretamente do usuário ou cliente alvo da investigação antes de solicitá-las ao LastPass.
Informações que os solicitantes devem fornecer
Para garantir que eventuais solicitações de Informações dos Usuários sejam razoavelmente cobertas e se atenham criteriosamente às informações solicitadas para atender à investigação, a solicitação deve conter um documento válido, como um mandado, citação, intimação, liminar, documento de comunicação processual equivalente ou uma comprovação oficial de uma situação de emergência, enviado em seu formato original como um PDF não editado e emitido pela autoridade competente.
A solicitação deve conter o máximo de detalhes possível para nos ajudar a atendê-la em tempo hábil e de maneira efetiva. Atenção: só é possível identificar a maioria das Informações dos Usuários e dados de contas pelo endereço de e-mail do usuário. Portanto, o endereço de e-mail associado à conta é a informação de identificação mais útil para nós.
Cada solicitação também deve conter dados de contato do solicitante autorizado, tais como:
- Nome;
- Número de identificação/matrícula do órgão público (se houver);
- Endereço de e-mail com domínio do órgão solicitante;
- Telefone e ramal (se houver);
- Endereço postal;
- Prazo para resposta;
Processamento de solicitações
Ao receber uma solicitação de Informações dos Usuários, o LastPass toma as seguintes providências antes de respondê-la:
- Autoridade. O LastPass analisará e confirmará se o solicitante detém a autoridade adequada nos termos das leis aplicáveis para solicitar as Informações dos Usuários. A ausência de um documento válido, como um mandado, citação, intimação, liminar, documento de comunicação processual equivalente ou uma comprovação oficial de uma situação de emergência, impede que o LastPass forneça Informações dos Usuários a um solicitante.
- Escopo. Sempre que possível, o LastPass tentará garantir que eventuais solicitações de Informações dos Usuários sejam razoavelmente cobertas e se limitem a uma conta específica. O LastPass poderá solicitar mais contexto se a natureza da investigação não for clara, podem ainda se opor à solicitação, se adequado. Caso forneça eventuais Informações dos Usuários, o LastPass tentará compartilhar o mínimo possível de informações, atendo-se apenas a cumprir a demanda.
- Notificação. Salvo em circunstâncias em que o LastPass seja instruído pela autoridade pública competente a não notificar o usuário, tenha proibição de fazê-lo ou se houver indícios claros de conduta ilícita ou mal-intencionada ou de risco de danos, o LastPass notificará o cliente de que há uma solicitação de suas Informações de Usuário antes de respondê-la, a fim de permitir que o cliente busque os remédios jurídicos disponíveis.
Solicitações internacionais
Todas as solicitações devem ser emitidas segundo as leis aplicáveis e feitas por canais oficiais (por exemplo, mandado assinado, endereço de e-mail oficial, etc.). Além disso, as solicitações devem apresentar um fundamento jurídico adequado, e uma solicitação feita segundo um Acordo de Assistência Jurídica Mútua, uma solicitação de um país que cumpra as obrigações previstas na Lei de Esclarecimento do Uso Legal de Dados no Exterior (Lei CLOUD) dos Estados Unidos, uma carta rogatória ou outra forma de nacionalização de um processo judicial pode ser necessária para fundamentar juridicamente uma solicitação internacional.
Analisaremos todas as solicitações internacionais, país a país, caso a caso, a fim de ponderar e equilibrar as nossas obrigações jurídicas locais e os compromissos que firmamos para promover a segurança e a privacidade dos usuários. Poderemos optar por responder de maneiras diferentes a solicitações de países diferentes quando tais compromissos conflitarem com as leis locais.
Para onde enviar uma solicitação
O LastPass aceita solicitações de autoridades públicas de Informações dos Usuários pelo e-mail subpoenas@lastpass.com.
Embora aceitemos solicitações por esse meio, nem o LastPass nem nossos clientes renunciam a eventuais direitos legais fundamentados nessa concessão. Além disso, solicitações feitas por e-mail devem vir de um endereço de e-mail oficial, com domínio do órgão público competente, quando for o caso.
