Seção 702. A Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA) confere autoridade ao governo dos EUA para solicitar as comunicações de pessoas não americanas localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a Seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Uma vez que a autoridade é normalmente utilizada para coletar o conteúdo das comunicações, os “prestadores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na Seção 702 são, em geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.
Conforme observado no nosso Relatório de Transparência, a Cloudflare não tem acesso a esse tipo de conteúdo tradicional de clientes para os fins de seus serviços básicos. Além disso, a Cloudflare mantém um compromisso público assumido há muitos anos no sentido de que jamais fornecemos a nenhum governo o feed de conteúdo de nossos clientes que transita na nossa rede e de que esgotaríamos todos os recursos legais se nos pedissem para fazê-lo, para proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais.
Ordem Executiva 12333. A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições para obrigar a assistência de empresas dos EUA.
A Cloudflare tem um compromisso de longa data no sentido de exigir um processo legal antes de fornecer a qualquer entidade governamental um acesso a dados de clientes se não houver uma emergência. Portanto, não iremos satisfazer solicitações voluntárias de dados ao abrigo da Ordem Executiva 12333. Além disso, a Cloudflare é líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o Universal SSL, tornando a criptografia, algo que costumava ser caro e difícil, gratuita para todos os clientes da Cloudflare. Na semana do lançamento, duplicamos o tamanho da web criptografada. Devido a um número crescente de leis que tentam afetar a criptografia, até assumimos um compromisso no sentido de jamais enfraquecer, comprometer ou subverter nossa criptografia a pedido de um governo ou outro terceiro.
Lei CLOUD. A Lei CLOUD (Clarifying Lawful Overseas Use of Data [Esclarecimento do Uso Legítimo de Dados no Exterior]) não amplia o alcance da autoridade investigativa dos EUA. As rigorosas exigências para que as autoridades policiais obtenham um mandado de busca válido permanecem inalterados. A Lei CLOUD também se aplica ao acesso a conteúdo que, de modo geral, não armazenamos, conforme descrito acima. É importante observar que, usualmente, as autoridades policiais buscam obter dados junto à entidade que exerce um controle efetivo sobre esses dados (isto é, nossos clientes) e não junto aos provedores de nuvem.
A Lei CLOUD fornece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare mantém um compromisso no sentido de contestar judicialmente quaisquer ordens judiciais que representem tais conflitos de leis. Até o momento não recebemos nenhuma ordem judicial que identificamos como representando conflitos dessa natureza.
Para terminar, tenham em mente que o nosso DPA assume um compromisso no sentido de que, salvo se proibido por lei, notificaremos o cliente se conseguirmos identificar que um processo judicial de terceiros, que solicite os dados pessoais que processamos em nome desse cliente, resulta em um conflito de leis. Os clientes notificados a respeito de uma solicitação judicial pendente podem tentar intervir para evitar a divulgação de seus dados pessoais.