Critérios de avaliação
A EFF usou os cinco critérios a seguir para avaliar as
práticas e políticas das empresas:
(^1) As melhores práticas aceitas pela indústria Esta
é uma categoria combinada que avalia empresas em
três critérios, os quais elas devem cumprir para
receber os créditos:
A empresa exige que o governo obtenha um
mandado antes de entregar o conteúdo das
comunicações do usuário?
A empresa publica um relatório de transparência, ou
seja, informações periódicas e úteis sobre quantas
vezes o governo solicitou dados de usuários e com
que frequência a empresa os forneceu?
A empresa publica guias de observância da lei
explicando como eles respondem aos pedidos de
dados do governo?
(^2) Informar aos usuários sobre solicitação de
dados pelo governo Para ganhar uma estrela nesta
categoria, as empresas de internet deveriam prometer
informar aos usuários quando o governo busca seus
dados, a menos que seja proibido por lei, em situações
de emergência muito específicas, ou a menos que isso
seja irrelevante ou ineficaz.
Tal aviso dá aos usuários a
chance de se prepararem para
se defenderem. Como a EFF
havia divulgado que fariam o
relatório, as empresas tiveram
um ano inteiro para
implementar tais
procedimentos.
(^3) Divulgar publicamente as políticas de retenção
de dados da empresa Esta categoria premia as
empresas que divulgam quanto tempo mantêm dados
sobre seus usuários, os quais não são acessíveis ao
usuário – logs, endereços IP de usuários e conteúdo
excluído –, de forma acessível para a aplicação da lei.
Se o período de retenção é variável por razões
técnicas ou outras, a empresa deve divulgar esse fato
e publicar uma média aproximada, juntamente com
um limite superior, se houver. Esta estrela é atribuída
a qualquer empresa que divulgue sua política ao
público – mesmo que essa política seja uma que a EFF
esteja fortemente em desacordo, por exemplo, se a
empresa revelar que retém dados de seus usuários
para sempre.
(^4) Divulgar o número de vezes que o governo
busca a remoção de conteúdo ou de contas de
usuários, e com que frequência a empresa atende
a essa solicitação Agora é prática padrão da
indústria ter relatórios de transparência. Acreditamos
que a responsabilidade das empresas de serem
transparentes inclui não apenas divulgar quando o
governo solicita dados dos usuários, mas também
com que frequência é solicitada a remoção de
conteúdo ou a suspensão das contas de usuários,
bem como a frequência com que a empresa atende a
tais demandas. Foi atribuída uma estrela nesta
categoria às empresas que publicam regularmente
estas informações, quer no seu relatório de
transparência ou por outro meio acessível. As
empresas devem incluir processo legal formal, bem
como solicitações informais do governo em seus
relatórios, porque a censura pode assumir muitas
formas.
(^5) Políticas públicas em prol do usuário: oposição
aos backdoors Todo ano, a EFF reconhece as
empresas que trabalham publicamente para atualizar
e reformar a Electronic Communications Privacy Act
(nota do tradutor: esta é a lei que altera o título 18 do
Código dos Estados Unidos, no que diz respeito à
interceptação de certas comunicações, outras formas
de vigilância e para outros fins). No ano passado, a
EFF observou empresas que se opunham
publicamente à vigilância em massa.
No relatório de 2015 (o qual estamos abordando
aqui), tendo em vista o debate revigorado sobre a
criptografia, a EFF solicitou às empresas que
tomassem uma posição pública contra a inclusão
forçada de falhas deliberadas de segurança ou outros
backdoors. Isso poderia ser feito em uma postagem
de blog, em um relatório de transparência e assinado
publicamente uma carta de adesão, ou por meio de
outro meio público, oficial e escrito. Espera-se que
essa categoria continue a evoluir, de modo que seja
possível acompanhar a indústria por meio de uma
série de questões importantes de privacidade.
O bom, o mau e o vilão
Nove empresas ganharam estrelas em cada categoria
que estava disponível para eles (veja tabela). Deve-se
notar que algumas empresas hospedam pouco ou
nenhum conteúdo e, portanto, a transparência sobre
pedidos de remoção de dados por parte do governo
pode não se aplicar a elas. Elas mostram que é prático
para as grandes empresas de tecnologia adotarem as
melhores políticas de transparência e apoiar aos seus
usuários.
Infelizmente, nem todas as empresas estão
incorporando tais práticas – especialmente as de
telefonia – e receberam resultados especialmente
ruins, continuando assim uma tendência identificada
em relatórios anteriores, em que grandes provedores
de telecomunicações não conseguem acompanhar o
resto do setor de tecnologia.
Especialmente algumas empresas que atuam como
“Em sua maioria esmagadora, os
gigantes da tecnologia começaram a
publicar relatórios anuais sobre
solicitações de dados do governo.”
|
Manual do Hacker | 51