La Corte Suprema falló en contra del gobierno en un caso centrado en la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) el jueves, y escribió que la interpretación de la ley por parte del Departamento de Justicia era demasiado amplia y efectivamente adjuntó «sanciones penales a una cantidad impresionante de actividad informática común». .»
La decisión 6-3 puso un límite a cómo el gobierno federal puede usar la ley para enjuiciar a quienes acceden ilegalmente a un sistema. En su opinión mayoritaria, la jueza Amy Coney Barrett escribió que Nathan Van Buren, un oficial de policía de Cummings, Georgia que fue condenado por aceptar un soborno para buscar una matrícula, no violó la CFAA porque como oficial se le dio acceso completo a la base de datos de matrículas.
A Barrett se unieron los jueces Sotomayor, Gorsuch, Kagan, Kavanaugh y Breyer, mientras que Thomas, Alito y el presidente del Tribunal Supremo Roberts disintieron. Barrett argumentó que al decir que Van Buren excedió su «acceso autorizado» como oficial de policía, el gobierno estaba criminalizando «toda violación de una política de uso de computadoras». Si ese fuera el caso, Barrett dijo que significaría que «millones de ciudadanos respetuosos de la ley son criminales».
Los abogados y expertos legales tuvieron una amplia gama de respuestas al fallo dependiendo de la base de clientes. La ACLU elogió la decisión y enumeró instancias específicas en las que la lectura ampliada de la ley criminalizó la actividad y la investigación cotidianas.
Esha Bhandari, subdirectora del Proyecto de Discurso, Privacidad y Tecnología de la ACLU, lo calificó como una «victoria importante para la aplicación de las libertades civiles y los derechos civiles en la era digital», y agregó que «permitirá a los investigadores y periodistas utilizar técnicas de investigación comunes en línea». sin temor a la responsabilidad de la CFAA».
Erez Liebermann, socio de Linklaters, dijo que las empresas y las entidades gubernamentales ahora deben tomar medidas adicionales para colocar barreras tecnológicas en torno a los datos en sus empresas si quieren restringir el acceso a los empleados.
Si bien esto agregará costos, Liebermann dijo que puede hacer que los datos sean más seguros, tanto de los usuarios internos como de los piratas informáticos que se desplazan por el sistema de una empresa.
«La opinión de la corte elimina un fuerte elemento de disuasión criminal. Los empleados que podrían haber evitado el robo de datos internos por temor a ser procesados o demandados civilmente se han tomado un respiro», explicó Liebermann. «Términos de uso y Políticas de uso autorizado, que ya tenían dientes pequeños dado que la mayoría de las personas no los leen, solo tuvieron algunos dientes más arrancados. Es dudoso que puedan formar la base de un proceso penal o una acción civil».
Mark Langer, un asociado de privacidad de Aleada, dijo que los críticos y activistas han luchado contra la ley durante años porque la estructura actual de la CFAA otorga al gobierno amplia autoridad para enjuiciar y luego confiar en la discreción del fiscal para garantizar que no se abuse de esta autoridad.
«Hacer que la Corte Suprema rechace esta interpretación radical de la CFAA es un gran paso para controlar el alcance de la CFAA. Resolver este problema va mucho más allá del alcance y los hechos de un caso, y es el trabajo de una legislatura, no de un juez. Con suerte, este caso impulsará los esfuerzos del Congreso para llevar estas leyes al siglo XXI», dijo Langer.
El abogado de Epstein Becker Green, Aime Dempsey, explicó que desde que se aprobó la ley en la década de 1980, se usó para enjuiciar a los piratas informáticos y como una forma para que las empresas demanden a ciertos empleados por daños y otras sanciones.
Dempsey se hizo eco del sentimiento de Liebermann y le dijo a MarketingyPublicidad.es que los empleadores debían imponer límites más estrictos al acceso de los empleados ahora que la Corte Suprema dictaminó que incluso si el acceso ilegal puede violar la política de la empresa, no violaría la CFAA.
«Si una empresa tiene la política de que alguien será despedido si hace mal uso de la información, esta decisión no cambiaría eso en absoluto. Solo cambiaría el acceso a este estatuto particular de la CFAA en lo penal o civil», dijo Dempsey.
Alan Brill, director gerente sénior en la práctica de riesgo cibernético de la consultora Kroll, dijo que el fallo «no le da a la gente un pase libre para robar o hacer mal uso de los datos porque existen otras leyes para usar en ciertos casos».
Las empresas deberán analizar cómo se construyen sus sistemas y si están dando acceso a demasiados empleados a demasiada información, dijo.
«Probablemente llamaría al asesor general, al gerente de recursos humanos, al gerente de TI y al oficial de cumplimiento y vería cuáles son las reglas de nuestra organización para el uso y el uso indebido de los datos. Me gustaría asegurarme de que estén claramente escritas y me gustaría asegurarme de que se explicaron correctamente a la luz de las demás leyes y leyes laborales», explicó Brill.
Las reglas y las sanciones deben explicarse y esbozarse de conformidad con los acuerdos de negociación colectiva, agregó Brill, y señaló que algunas empresas deberían considerar que los empleados firmen acuerdos de confidencialidad actualizados o acuerdos de uso de computadoras.
«Este es un problema multidimensional que necesita una respuesta multidimensional bien pensada», dijo Brill.
«Pero si nos apegamos a lo básico, dando a las personas acceso a lo que necesitan y no dándoles acceso a lo que no necesitan, haremos un largo camino para inmunizarnos de los efectos de esta decisión».
