Em fevereiro de 2026, o Google entregou secretamente ao Serviço de Imigração e Controle de Alfândega (ICE) os números de conta bancária, dados de cartão de crédito e informações pessoais do jornalista estudantil e ativista Amandla Thomas-Johnson - sem jamais notificá-lo, em violação direta de uma política pública que a empresa mantém desde 2015.
O que aconteceu: uma intimação secreta, sem aviso
O ICE entregou ao Google uma intimação administrativa exigindo dados sobre Thomas-Johnson, que cobria as operações de fiscalização de imigração como jornalista estudantil. O Google cumpriu - entregando registros financeiros incluindo números de conta bancária e dados de cartão de crédito - sem alertar Thomas-Johnson nem lhe dar qualquer oportunidade de contestar o pedido na justiça.
As intimações administrativas são emitidas diretamente pelas agências federais, sem supervisão judicial nem mandado assinado por um juiz. Ao contrário das ordens judiciais, não requerem aprovação prévia de um tribunal, tornando-as um instrumento preferido de agências como o ICE. Thomas-Johnson só descobriu que o Google havia cumprido a intimação depois dos fatos, quando The Intercept publicou a história. A essa altura, ele já havia fugido para a Suíça para evitar a detenção.
Thomas-Johnson escreveu posteriormente nas redes sociais: "Então, @Google entregou ao ICE os números dos meus cartões de crédito e contas bancárias enquanto tentavam me rastrear e deter. Fugi para a Suíça antes que pudessem." A divulgação não foi um ataque cibernético - foi o Google entregando voluntariamente seus dados financeiros a uma agência federal sem informá-lo.
A promessa quebrada do Google: uma política abandonada em silêncio
Desde pelo menos 2015, o Google havia mantido um claro compromisso público: ao receber uma solicitação governamental de dados de usuário, a empresa notificará o usuário afetado antes de cumpri-la - a menos que seja legalmente proibido fazê-lo. Essa política existe exatamente para que os usuários possam contratar advogados e contestar abusos na justiça antes que suas informações privadas sejam entregues às autoridades.
No caso de Thomas-Johnson, o Google silenciosamente abandonou essa promessa sem oferecer qualquer explicação. A Electronic Frontier Foundation (EFF), que assumiu o caso, descreveu a situação sem rodeios em um post de blog de abril de 2026: "O Google quebrou sua promessa comigo. Agora o ICE tem os meus dados."
A EFF também escreveu formalmente ao Procurador-Geral da Califórnia, citando o descumprimento do Google à lei estadual sobre obrigações de notificação quando empresas recebem determinadas solicitações governamentais de dados.
Intimações administrativas: a zona cinzenta legal
O caso Thomas-Johnson destaca um problema crescente: as intimações administrativas permitem que agências governamentais contornem completamente o judiciário. Ao contrário dos mandados de busca, não requerem assinatura de juiz, causa provável nem aviso prévio ao alvo. São emitidas pelas próprias agências, como o ICE, a DEA e o IRS, e as empresas de tecnologia frequentemente as cumprem sem contestar.
De acordo com os próprios relatórios de transparência do Google, a empresa recebe milhares de solicitações de dados governamentais por ano das autoridades americanas. A grande maioria resulta na divulgação de algum dado. O caso Thomas-Johnson é alarmante não só pelo que foi divulgado, mas pela forma como aconteceu - em silêncio e em aparente violação dos próprios princípios declarados da empresa.
A EFF exige legislação
A resposta da EFF vai além de criticar o Google. A organização está agora pressionando pela adoção de legislação federal e estadual que obrigue legalmente as empresas de tecnologia a notificar os usuários antes de cumprir solicitações governamentais de dados.
A advogada da EFF Saira Hussain chamou o caso de "modelo de abuso", observando que jornalistas estudantis, ativistas de imigração e pessoas comuns sem qualquer ligação com atividades criminosas são cada vez mais alvejados por intimações administrativas simplesmente por exercerem seus direitos de liberdade de expressão online.
Defensores da privacidade argumentam que as políticas corporativas voluntárias são proteção insuficiente. Como o caso Thomas-Johnson demonstra, as políticas podem ser abandonadas sem aviso, sem explicação e sem recurso - deixando os usuários expostos precisamente quando a proteção legal mais importa.
As implicações mais amplas para a privacidade digital
Este caso tem implicações muito além da experiência de um único ativista. Se o Google - uma empresa com uma década de compromisso público com a notificação de usuários - entrega silenciosamente dados financeiros à fiscalização de imigração sem aviso, os usuários têm poucos motivos para confiar que qualquer política voluntária de privacidade corporativa oferece proteção real.
Os dados que o Google divulgou não eram senhas ou mensagens privadas - eram números de conta bancária e registros de cartão de crédito, o tipo de dados financeiros que podem ser usados para rastrear os movimentos, associações e redes de suporte de uma pessoa. Para um jornalista que cobre imigração, essas informações não são apenas pessoais - são potencialmente perigosas para fontes e contatos.
Casos como este são um lembrete de que cada dado armazenado em um serviço de terceiros é potencialmente acessível pelas agências governamentais com barreiras legais mínimas. Minimizar os dados compartilhados com grandes plataformas - e usar ferramentas que ofereçam maior controle sobre a pegada digital - passou de preferência técnica a necessidade prática para jornalistas, ativistas e usuários preocupados com privacidade.
