- O Google forneceu dados pessoais, incluindo números de conta bancária e de cartão de crédito, de uma estudante jornalista em resposta a uma intimação (subpoena) emitida pelo Serviço de Imigração e Controle de Alfândega dos EUA (ICE)
- A pessoa em questão é Amandla Thomas-Johnson, que foi proibida de entrar no campus após participar de um protesto contra empresas fornecedoras de armas para Israel na feira de carreiras de 2024 da Universidade Cornell
- O ICE exigiu do Google uma ampla gama de dados, incluindo nome de usuário, endereço, serviço de mascaramento de IP, número de telefone, informações de assinante e dados de pagamento, e o Google atendeu ao pedido sem aviso prévio
- A Electronic Frontier Foundation (EFF) e a ACLU pediram a grandes empresas de tecnologia como Google, Amazon e Apple que resistam a exigências do governo sem ordem judicial e notifiquem os usuários
- Especialistas afirmam que este caso mostra a necessidade de reformar as leis de privacidade digital e limitar a cooperação das big techs com o governo
A intimação do ICE e a resposta do Google
- O ICE emitiu uma intimação exigindo detalhes relacionados à conta Gmail de Amandla Thomas-Johnson
- Entre os itens solicitados estavam nome de usuário, endereço, histórico de uso do serviço, serviço de mascaramento de IP, número de telefone, informações de identificação do assinante, números de cartão de crédito e de conta bancária
- O ICE pediu ao Google que mantivesse a existência da intimação em sigilo por tempo indeterminado
- O Google enviou a Thomas-Johnson apenas um breve e-mail informando que já havia fornecido metadados ao Departamento de Segurança Interna (DHS), sem dar qualquer oportunidade de contestação prévia
- Thomas-Johnson confirmou que sua conta tinha informações de pagamento vinculadas para compras de aplicativos
- Um advogado do Google afirmou que a empresa forneceu apenas informações básicas de assinante, mas o alcance total dos dados entregues ainda permanece incerto
Contexto da estudante jornalista e cronologia do caso
- Thomas-Johnson participou por cerca de cinco minutos de um protesto contra empresas fornecedoras de armas para Israel realizado em Cornell em 2024 e depois recebeu uma proibição de acesso ao campus
- Depois que o presidente Donald Trump assumiu o cargo e anunciou uma ordem executiva voltada a estudantes que participavam de protestos pró-Palestina, ela entrou em vida clandestina junto com o amigo Momodou Taal
- Taal, por meio de advogados, conseguiu contestar judicialmente intimações enviadas ao Google e à Meta, mas Thomas-Johnson não teve essa oportunidade
- Ela vive atualmente em Dacar, Senegal, e afirmou que o pedido de informações do ICE tinha como objetivo localizá-la e detê-la
Reação de entidades civis e críticas às empresas de tecnologia
- A EFF e a filial do norte da Califórnia da ACLU enviaram uma carta a grandes empresas como Google, Amazon, Apple, Discord, Meta, Microsoft e Reddit exigindo que não cumpram futuras intimações semelhantes do DHS sem ordem judicial
- A carta enfatiza que as empresas devem fornecer aviso prévio aos usuários para garantir a possibilidade de resposta legal
- Também pede que resistam a ordens de silêncio (gag order) e informem os usuários sobre a emissão das intimações
- A carta afirma que “o governo tem pedido repetidamente dados de empresas de tecnologia para identificar críticos” e critica as companhias por não defenderem a privacidade dos usuários e a liberdade de expressão diante de vigilância ilegal
- Em outro caso envolvendo a Meta, houve uma exigência para revelar a identidade de usuários que documentavam ações de fiscalização migratória, mas esses usuários receberam aviso prévio e puderam reagir na Justiça
Questões legais e de política pública
- A professora Lindsay Nash, da Cardozo Law, criticou o Google por não ter dado aviso prévio, o que retirou da pessoa afetada a chance de exercer seus direitos de proteção de dados
- O Stored Communications Act e a Seção 5 do FTC Act regulam o compartilhamento de dados por empresas de tecnologia, mas ainda há debate sobre se isso configura prática enganosa contra o consumidor
- O professor Neil Richards (Washington University in St. Louis) explicou que, se uma empresa informa incorretamente como trata dados, isso pode ser considerado prática comercial enganosa
- Ele citou o caso Cambridge Analytica como exemplo e disse que a transparência sobre coleta e compartilhamento de dados é tema de disputas legais há décadas
Necessidade de reforma da privacidade de dados
- A política pública de privacidade do Google afirma que a empresa pode fornecer informações em resposta a “solicitações governamentais com validade legal” e que pode recusar pedidos excessivos ou com problemas processuais
- No entanto, segundo o relatório de transparência do Google, os pedidos governamentais por dados de usuários somam milhões de casos na última década e cresceram fortemente nos cinco anos mais recentes
- Não está claro qual proporção desses pedidos gerou aviso prévio ou posterior aos usuários
- O professor Richards destacou a necessidade de reformas legais para elevar o padrão de acesso do governo a dados digitais e de regulação que limite o compartilhamento de informações pelas big techs
- Segundo ele, no último ano a relação entre big tech e governo se tornou ainda mais próxima, com uma mudança para uma postura mais favorável ao poder estatal
Reação da jornalista e contexto da liberdade de imprensa
- Thomas-Johnson disse ter ficado chocada porque este caso a fez vivenciar diretamente uma estrutura de vigilância que antes observava apenas de fora como jornalista
- Ela afirmou: “precisamos repensar o que significa resistir em uma era em que o governo e as big techs podem nos rastrear, deter e destruir”
- Sua fala é vista como um ponto de reflexão sobre o papel das empresas de tecnologia na interseção entre liberdade de imprensa e vigilância digital
- Segundo a atualização ao fim da matéria, a equipe jurídica dela ainda não conseguiu determinar o alcance total das informações que o Google forneceu ao ICE
1 comentários
Comentários do Hacker News
Compartilha o link do artigo original (archive)
Acho aceitável que empresas entreguem dados de clientes quando existe um mandado ou intimação válidos
O problema é a estrutura que passou a permitir que o DHS abuse de intimações administrativas (administrative subpoenas)
Isso é emitido sem revisão de um juiz e não é voltado a criminosos
No passado isso aumentava a eficiência das investigações, mas agora virou um meio para o ICE realizar prisões indiscriminadas sem supervisão judicial
No fim, o problema é ainda maior do que privacidade: o Congresso está deixando esse “sistema judicial paralelo” existir
Ficar tentando adivinhar se um órgão do governo “está fazendo certo nesta semana” é inútil
Eles sempre tentam ultrapassar limites e nunca ficam satisfeitos
Em um país livre, não deveria ser possível rastrear pessoas sem motivo fundamentado
A maioria das pessoas só não percebia a gravidade porque não era diretamente atingida
É parecido com quando a defesa da liberdade de expressão muda conforme quem está no poder
Fico me perguntando por que mudaram o título
O título original era “Google Fulfilled ICE Subpoena Demanding Student Journalist’s Bank and Credit Card Numbers”
Ver as diretrizes do HN
No link arquivado aparece como “GOOGLE HANDED ICE STUDENT JOURNALIST’S BANK AND CREDIT CARD NUMBERS”
O Google publica estatísticas de pedidos governamentais em seu relatório de transparência
Eu mesmo já estive, alguns anos atrás, incluído em uma National Security Letter (NSL) do FBI
Fui notificado pelo Google depois que o período de sigilo terminou
Fico curioso se essas informações de pagamento eram de fato histórico de gastos, ou se vieram do procedimento de verificação de cartão de crédito para maioridade no YouTube
Ou seja, podem ter sido dados coletados no processo de verificação de idade do YouTube para decidir se conteúdo adulto deve ser exibido
Deixa um comentário satírico no estilo “faça upload da sua carteira de motorista e documento de identidade para manter as crianças seguras”
Sistema bancário centralizado, internet centralizada, poder centralizado — levanta, com ironia, a pergunta se algo poderia dar errado em uma estrutura dessas
Pergunta se o Google tinha obrigação legal de entregar os dados
A revisão judicial acontece depois. Se o Google entender que é indevida, pode contestar na Justiça, mas nesse intervalo precisa cumprir ou se recusar correndo risco de desacato
Ou seja, o Google entregou as informações voluntariamente
Intimações administrativas não têm força coercitiva legal, e para busca em residência é obrigatório um mandado assinado por juiz
Neste caso, parece ter sido emitido apenas pelo DHS, e o problema é justamente ter sido feito sem aprovação judicial
O fato de o Google ter entregue parte das informações e ainda assim notificado a pessoa envolvida foi uma medida para dar chance de reação jurídica
Se esse pedido tinha como objetivo retaliação contra participantes de protesto, isso representa uma ameaça grave ao Estado de Direito
Existe alguma forma de o usuário se proteger em situações assim?
A Apple pode ser um pouco melhor que o Google, mas no fim, se for uma empresa americana, o ICE pode alcançar
Informações emitidas ou aprovadas pelo governo (pagamentos, identidade etc.) acabam sendo inevitáveis
O importante é tratar o Google e serviços de nuvem como sistemas acessíveis ao governo e não colocar ali informações sensíveis
No fim, a nuvem é só o computador de outra pessoa
Como operar por conta própria e-mail, contatos e armazenamento
O título deveria ser escrito como “Google handed over these things”
Caso contrário, gera uma ambiguidade de sentido, como se o Google tivesse recebido essas coisas