How to Build a Global Network that Complies with Local Law

Ao longo desta semana, passámos muito tempo a falar sobre as soluções que os engenheiros da Cloudflare construíram para melhorar a privacidade, aumentar o controlo sobre os dados e, assim, ajudar os nossos clientes a responder aos desafios regulatórios. No entanto, nem todos os desafios podem ser resolvidos com engenharia. É, por vezes, necessário construir políticas e procedimentos que antecipem as preocupações dos nossos clientes. Esta tem sido a abordagem que usamos para dar resposta aos pedidos para obter acesso a dados com base legal e dos governos, ao longo dos anos.

Os governos de todo o mundo têm, desde há muito, interesse em obter acesso aos registos online. Por vezes, as forças de segurança procuram provas relevantes para investigações criminais. Noutros casos, as agências de espionagem tentam saber mais sobre o que andam a fazer os governos ou outros intervenientes estrangeiros. E, muitas vezes, os provedores de serviços online de todos os tipos servem como ponto de acesso a esses registos eletrónicos.

No entanto, para os provedores de serviços, como a Cloudflare, esses pedidos podem ser inquietantes. O trabalho desenvolvido pelas forças de segurança e por outras autoridades governamentais é importante. Ao mesmo tempo, os dados procurados pelas forças de segurança e por outras autoridades governamentais não nos pertencem. Ao utilizar os nossos serviços, os nossos clientes põem-nos numa posição de confiança no que toca a esses dados. Manter essa confiança é essencial para o nosso negócio e para os nossos princípios.

Estas tensões são agravadas pelo facto de diferentes governos terem normas diversas quanto à proteção de dados pessoais. Os Estados Unidos, por exemplo, impedem as empresas de divulgar o conteúdo das comunicações — incluíndo a governos estrangeiros — exceto nalgumas circunstâncias definidas por lei. A União Europeia, que vem desde há muito a considerar que a privacidade das comunicações e a proteção dos dados pessoais se incluem nos direitos humanos fundamentais, protege todos os dados pessoais da UE ao abrigo do Regulamento Geral de Proteção de Dados (RGPD). Apesar destas proteções se sobreporem em certos aspetos, diferem quanto à sua abrangência e a quem protegem.

As diferenças entre os vários enquadramentos são importantes, em particular no que toca a determinar que tipos de pedidos de informação legais feitos por governos estrangeiros estão em consonância com os requisitos de privacidade. Nos últimos anos, por exemplo, o Tribunal de Justiça da União Europeia (TJUE) concluiu por várias vezes que as restrições legais dos EUA quanto à recolha de dados, em conjunto com certos compromissos voluntários como o Privacy Shield ou o seu antecessor, o U.S. - EU Safe Harbor, não se enquadram no cumprimento dos requisitos de privacidade da UE, em grande medida devido às leis dos EUA que permitem que entidades judiciais recolham informação sobre cidadãos estrangeiros para fins de espionagem. Nesse sentido, o Comité Europeu para a Proteção de Dados (CEPD) adotou a posição de que um pedido de dados feito pelo poder judiciário dos EUA — fora de processos legais nos quais os países da UE mantenham algum controlo sobre a informação a prestar — não é uma base legítima para a transferência de dados pessoais sujeitos ao RGPD.

No fundo, estas disputas são sobre quando é que é apropriado que um governo use ordens ou outros procedimentos legais para obter acesso a dados sobre cidadãos de outro país. Estas quezílias não acontecem só na Europa. Apesar das suas respostas em relação às políticas não serem consistentes, um número crescente de países encara agora o acesso aos dados dos seus cidadãos como uma ameaça à segurança nacional. Aos nossos olhos, estas batalhas entre nações-estado são batalhas entre gigantes. Mas também eram previsíveis.

Preparar Políticas para Batalhas Entre Gigantes

A Cloudflare tem, desde há muito, políticas para dar resposta a preocupações sobre acesso a dados pessoais, tanto porque acreditamos que é o correto como porque os conflitos de legislações que vemos hoje nos pareceram inevitáveis. Enquanto empresa global, com clientes, equipamento e funcionários em muitos países, compreendemos que os diferentes países tenham normas legais diversas. Mas quando há um conflito entre dois ordenamentos jurídicos, nós tomamos partido por aquele que mais proteja a privacidade. E exigimos, sempre, que sejam adotados procedimentos legais. Isto porque depois de se abrir o acesso aos dados, pode ser difíceis de se fechar.

Começando com o nosso primeiríssimo relatório de transparência, que detalhava os pedidos de dados feitos por forças de segurança em 2013, temos assumido compromissos públicos quanto à forma como tratamos esses pedidos de dados e emitindo declarações públicas sobre as coisas que nunca fizemos. Chamamos a essas declarações públicas "canários" de garantias, sendo que a noção de base é que sirvam como caixa de ressonância para o mundo exterior. São a afirmação pública de que essas ações não acontecem por nossa vontade, sendo um mecanismo para transmitir informação — através da remoção da declaração do site — que poderíamos ver-nos impedidos de divulgar de outra forma. Também nos comprometemos a contestar, se necessário perante um tribunal, qualquer ordem legal cujo objetivo seja fazer-nos quebrar estes compromissos. O nosso objetivo sempre foi sermos muito claros — não só para com os nossos clientes, mas também para com os governos de todo o mundo — sobre onde se traçam os nossos limites.

As entidades reguladoras começaram a reconhecer o valor dos compromissos de privacidade, em particular quando estes podem ser aplicados por contrato. De facto, os compromissos que temos vindo a incluir nos nossos relatórios de transparência ao longo dos anos são exatamente o tipo de compromisso que a Comissão Europeia recomendou que fosse incluído no seu esboço de Cláusulas Contratuais-Tipo para cumprimento do RGPD.

Os "Canários" de garantias da Cloudflare

Enquanto empresa de segurança, sabemos que manter controlo sobre o acesso às nossas redes é absolutamente imperativo. Esse é o motivo pelo qual a nossa equipa de segurança se tem focado nos controlos de acesso, registos e monitorização, submetendo-se a várias avaliações externas por ano. Queremos garantir que os nossos clientes compreendem que não existe qualquer excepção nestes controlos no que diz respeito a forças de segurança ou entidades governamentais. Por isso, declaramos que a Cloudflare nunca instalou software ou equipamentos de forças de segurança em qualquer ponto da sua rede, assim como nunca forneceu a qualquer governo qualquer relatório dos conteúdos dos nossos clientes que transitam na nossa rede.

A Cloudflare acredita que uma encriptação forte — tanto para conteúdos como para metadados — é necessária para obter privacidade online. Se um país tenta impedir um serviço de espionagem estrangeiro de aceder às informações pessoais dos seus cidadãos, a primeira medida deve ser encriptar essas informações pessoais. No entanto, tanto os clientes como os reguladores precisam de estar confiantes quanto à própria encriptação ser de confiança. Nesse sentido, temos compromissos quanto a nunca termos entregue a ninguém as nossas chaves de encriptação ou de autenticação nem as dos nossos clientes, assim como nunca termos enfraquecido, comprometido ou subvertido a nossa encriptação a pedido de qualquer força de segurança ou outra entidade externa.

Os outros compromissos da Cloudflare referem-se à integridade da própria Internet. Não acreditamos que os nossos sistemas devam ser aproveitados para levar pessoas a sites que não pretendiam inicialmente visitar, ou para alterar o conteúdo que obtêm online. Para tal, declarámos publicamente que nunca modificámos conteúdos de clientes nem o destino pretendido das respostas de DNS a pedido de qualquer força de segurança ou entidade externa.

Dar Conta aos Nossos Clientes de Solicitações de Governos

A Cloudflare acredita, desde há muito tempo, que os nossos clientes merecem ser avisados quando alguém — incluindo uma agência de segurança ou outra entidade governamental — usar procedimentos legais para solicitar dados seus, tendo assim oportunidade de contestar esses pedidos. Implementámos, para tal, a política de notificar os nossos clientes desde os primeiros dias da empresa. Em 2014, trabalhámos com a Electronic Frontier Foundation para contestar legalmente uma Carta de Segurança Nacional que restringia a nossa capacidade de divulgar a receção da carta a quem quer que fosse. O tribunal acabou por decidir que, efetivamente, podíamos divulgar publicamente a CSN, depois de três longos anos de litígio.

Apesar de reconhecermos que as forças de segurança possam restringir temporariamente o direito à divulgação, de forma apropriada e nalgumas circunstâncias, para manter uma investigação viável, acreditamos que o governo deva ter de justificar qualquer disposição de não-divulgação e que qualquer uma dessas disposições deva ter limites temporais explícitos restritos ao menor tempo necessário para alcançar os propósitos a que se destina. Uma vez que os tribunais dos EUA já sugeriram que as ordens de não-divulgação indefinidas levantam problemas de ordem constitucional, o Departamento de Justiça dos EUA emitiu diretrizes, em 2017, instruindo os procuradores federais no sentido de limitarem as ordens de não-divulgação a períodos não superiores a um ano, excepto em circunstâncias excepcionais.

No entanto, isso não impediu todas as forças de segurança dos EUA de procurar obter ordens de não-divulgação com duração indefinida. De facto, desde 2017 recebemos, pelo menos, 28 ordens de não-divulgação sem menção de data final. Trabalhando em conjunto com a União Americana das Liberdades Civis (ACLU), a Cloudflare ameaçou processos judiciais quando recebeu tais ordens sem data de término. Em cada um dos casos, o governo acabou por incluir limites aos pedidos de não-divulgação contidos nessas ordens, permitindo-nos notificar os nossos clientes acerca dos pedidos.

Responder a Conflitos de Legislação

Cumprir leis como o RGPD, particularmente quanto a ordens legais que possam pôr-nos na difícil posição de nos ser pedido que o violemos, exige que sejam envolvidos tribunais. Um provedor de serviços como a Cloudflare pode pedir a um tribunal que anule pedidos legais devido a conflitos de legislação, tendo-nos nós comprometido - tanto em declarações públicas como contratualmente, através da nossa Adenda de Processamento de Dados - a tomar essa medida quando necessário para evitar tais conflitos. A nossa posição é de que o conflito deve ser remetido de volta à esfera à qual pertente — entre dois governos que disputam quem deve ter direito a aceder à informação.

Conclusão

Em última análise, responder aos desafios decorrentes da gestão de uma rede global que cumpre diferentes enquadramentos legais quanto à privacidade nos vários pontos do mundo, exige que regressemos aos valores que temos vindo a defender desde o início da nossa empresa. Ter princípios e ser transparente, respeitar a privacidade, exigir um devido processo e notificar os clientes para que tomem as suas próprias decisões sobre os seus dados.