Esta política se creó para proporcionar más transparencia con respecto a las directrices usadas por LastPass para determinar cómo y cuándo procesará las solicitudes de información sobre sus usuarios, clientes y/o usuarios finales (“Información del usuario”) que le hagan las fuerzas de orden público, las agencias de seguridad nacional y otros organismos reguladores (el “Gobierno”).
Además, es importante señalar que, aunque esta política no se ha diseñado específicamente para solicitudes de Información del usuario derivadas de disputas privadas o comerciales, LastPass, en la medida de lo posible, adoptará para dichas solicitudes las mismas precauciones que si se tratara de solicitudes del Gobierno.
Protección de la Información del usuario
Cuando el Gobierno le solicita Información del usuario, LastPass realiza los siguientes pasos antes de responder:
- Sujeto. LastPass cree que, siempre que sea posible, el Gobierno debe tratar de obtener la información que desee directamente del usuario o el cliente que sean los sujetos de la investigación antes de solicitar dicha Información a LastPass.
- Autoridad. LastPass solo proporcionará Información del usuario si el Gobierno tiene autoridad para solicitarla en virtud de la legislación aplicable. Si no existen una orden válida, una citación, un auto judicial, un proceso legal equivalente o una situación de emergencia, la postura de LastPass es no proporcionar Información del usuario al Gobierno.
- Alcance. Siempre que sea posible, LastPass tratará de garantizar que las solicitudes de Información del usuario tengan un alcance razonable y se limiten a una cuenta específica. Asimismo, LastPass pedirá más contexto si el carácter de la investigación no es evidente o podrá rechazar la solicitud por otras razones. En el caso de que LastPass proporcione información, tratará de facilitar la cantidad mínima necesaria para atender la solicitud.
- Aviso. Excepto si el Gobierno aconseja a LastPass no hacerlo, si está prohibido o si existen indicios claros de conducta ilegal o riesgo de daño, antes de revelar Información del usuario, LastPass notificará al cliente la correspondiente solicitud para que el usuario pueda hacer uso de los recursos jurídicos disponibles.
Solicitudes internacionales
Todas las solicitudes del Gobierno deben realizarse de acuerdo con la legislación aplicable y mediante canales oficiales (por ejemplo, orden ejecutiva, dirección de email del Gobierno, etc.). Además, las solicitudes deben tener una base legal adecuada, y puede requerirse una solicitud de Tratado de Asistencia Jurídica Mutua,
la solicitud de que un país cumpla las obligaciones impuestas por la Cloud Act estadounidense, una carta rogatoria u otra forma de asimilación para establecer la base legal de una solicitud internacional.
Revisaremos todas las solicitudes de Gobiernos internacionales país por país y caso por caso para comparar nuestras obligaciones legales locales con nuestros compromisos de promover la seguridad y la privacidad de los usuarios. Podemos responder de forma diferente a solicitudes de diferentes países cuando estos compromisos entren en conflicto con la legislación local.
Información que podemos facilitar
Dado que LastPass utiliza un modelo de seguridad de conocimiento cero, no tiene ni puede tener acceso a contenido delicado de las bóvedas de los clientes en un formato descifrado. En consecuencia, LastPass no puede facilitar dicha información en respuesta a la solicitud de un Gobierno.
La inmensa mayoría de las solicitudes que recibimos se refieren a información básica sobre cuentas de cliente relacionada con una investigación del Gobierno sobre un posible fraude o una infracción de la ley.
Información que deben facilitar los Gobiernos
Se solicita a los funcionarios del Gobierno que se aseguren de que sus solicitudes de Información del usuario tengan un alcance razonable y se ciñan únicamente a la información necesaria para realizar su investigación. Si es la persona responsable de realizar la solicitud en nombre del Gobierno, le rogamos que nos facilite tantos detalles como sea posible para que podamos responderle con eficacia y rapidez. A continuación detallamos los datos que suelen resultar más útiles:
- Dirección de email del usuario. La mayor parte de la Información del usuario se identifica usando la dirección de email del titular de la cuenta maestra. Por lo tanto, la dirección de email asociada a la cuenta es la información de identificación más útil.
- Dirección de facturación y/o información de la tarjeta de crédito de las cuentas de pago. En algunos casos, podremos identificar una cuenta con las cuatro últimas cifras de la tarjeta de crédito o débito usada para adquirir los servicios y la fecha de la transacción. Tenga en cuenta que, en el caso de las cuentas de pago, la única información que tiene LastPass sobre las tarjetas de crédito o débito son sus cuatro últimas cifras. Por otro lado, algunas cuentas de LastPass son gratuitas y no tienen información de pago asociada.
Cada solicitud debe incluir también la siguiente información de contacto del funcionario autorizado del Gobierno:
- Nombre de la agencia
- Nombre y número de identificación del agente
- Dirección de email de trabajo del agente
- Número de teléfono del agente, incluida la extensión
- Dirección postal del agente
- Fecha de respuesta solicitada
Dónde enviar solicitudes
LastPass acepta las solicitudes del Gobierno enviadas a la dirección legal@lastpass.com.
Aunque acepta solicitudes por este método, ni LastPass ni sus clientes renuncian por ello a ninguno de sus derechos legales. Además, las solicitudes enviadas por email deben proceder de una dirección de email oficial del Gobierno.