La Corte Suprema redujo una controvertida ley contra la piratería

La Ley de Abuso y Fraude Informático (CFAA), una controvertida ley contra la piratería que prohíbe “exceder el acceso autorizado” en un sistema informático, fue restringida por la Corte Suprema el jueves en un fallo de 6-3. El tribunal dijo que la ley no debería abarcar a las personas que hacen un mal uso de los sistemas a los que se les permite acceder, y que afirmar lo contrario criminalizaría una “cantidad impresionante” del uso diario de la computadora.

El caso judicial, Van Buren contra Estados Unidos, se refiere a un ex oficial de policía de Georgia llamado Nathan Van Buren. Van Buren aceptó $ 5,000 a cambio de buscar la matrícula de una mujer en una base de datos de la policía. (El trato fue en realidad una operación encubierta del FBI y el número de placa era ficticio). Debido a que el intercambio violó las reglas del departamento, los fiscales dijeron que Van Buren había “excedido el acceso” al sistema. Los abogados de Van Buren argumentaron que tanto si hizo un uso indebido de la base de datos como si no, estaba autorizado a acceder a ella y, por lo tanto, no había violado las leyes contra la piratería.

La opinión mayoritaria de la Corte Suprema, emitida por la jueza Amy Coney Barrett, estuvo de acuerdo. Respaldaba un enfoque de autorización de “puertas arriba o abajo”: acceder a partes de un sistema que están específicamente prohibidas infringe las reglas de la CFAA, pero simplemente acceder a áreas autorizadas de una manera no aprobada no lo hace.

La opinión de Barrett señaló que la gente habitualmente dobla o rompe las reglas de las computadoras y los servicios web. “La interpretación del gobierno de la cláusula ‘excede el acceso autorizado’ impondría sanciones penales a una cantidad impresionante de actividad informática común”, escribió. “Si la cláusula ‘excede el acceso autorizado’ penaliza cada violación de una política de uso de computadoras, entonces millones de ciudadanos que de otro modo respetan la ley son criminales”. La ley podría cubrir a un empleado que envía un correo electrónico personal en una computadora del trabajo, por ejemplo, o “criminalizar todo, desde embellecer un perfil de citas en línea hasta usar un seudónimo en Facebook”.

Los expertos legales y defensores de las libertades civiles elogiaron ampliamente el fallo general. “Esta es una victoria importante para las libertades civiles y la aplicación de los derechos civiles en la era digital”, dijo Esha Bhandari, subdirectora del Proyecto de Discurso, Privacidad y Tecnología de la Unión Estadounidense de Libertades Civiles. Los miembros del personal de la Electronic Frontier Foundation, Aaron Mackey y Kurt Opsahl, también calificaron la decisión como una victoria y dijeron que el tribunal “proporcionó un buen lenguaje que debería ayudar a proteger a los investigadores, periodistas de investigación y otros”. (Ambas organizaciones presentaron previamente informes en apoyo de Van Buren).

La CFAA se puede utilizar para tomar medidas enérgicas contra la piratería legítimamente maliciosa, pero también es notoriamente vaga, y diferentes cargos pueden conllevar sanciones de hasta 5, 10 o 20 años de prisión. Los críticos argumentan que esta combinación amenaza a los investigadores y otras personas que usan información de acceso libre de formas no aprobadas. Los fiscales federales pueden acumular cargos intimidatorios contra los objetivos, como fue el caso con el activista Aaron Swartz, quien se suicidó en 2013 mientras se enfrentaba a un juicio. Las empresas también pueden usarlo para acosar a periodistas o empleados que filtran documentos.

En teoría, los fiscales ahora tienen que establecer que los usuarios realmente accedieron a partes de un sistema al que se les prohibió ingresar. “Creo que es un trato realmente sustancial”, dice James Grimmelmann, profesor de la Facultad de Derecho de la Universidad de Cornell. El borde. “Realmente aclara que los empleados que usan computadoras de manera desleal no es un problema de la CFAA, y eso destruye una enorme parte del uso criminal y civil de la CFAA”. El fallo también podría afectar los casos que involucran raspado o recopilación masiva de datos disponibles públicamente de sitios web.

Deberías leer:   Waabi, la rara startup de vehículos autónomos con una directora ejecutiva, recauda 83,5 millones de dólares

Los empleados aún pueden ser culpables de otros delitos, como robar secretos comerciales, dice Grimmelmann, y los recolectores de datos podrían enfrentar cargos de la CFAA si sus actividades hacen que un sitio se vuelva inaccesible. Pero Van Buren eleva el listón de lo que se considera piratería criminal. “Uno se deshace de una gran cantidad de cosas que no son realmente crímenes peligrosos de piratas informáticos de alta tecnología”, dice.

Sin embargo, el fallo también deja preguntas cruciales sin respuesta. La decisión de la corte no se basó en última instancia en el impacto o la validez general de la ley. Se centró en una definición de diccionario de una palabra (“así”) para decidir si “exceder el acceso autorizado” debería definirse como una prohibición similar del uso de computadoras “sin autorización”, que utiliza la metáfora de la puerta. Y aunque dice que los infractores deben haber pasado por alto alguna “puerta” metafórica, no define firmemente estas puertas. En Twitter, el profesor de derecho de Berkeley y experto en CFAA, Orin Kerr señaló a una nota a pie de página que implica que las puertas podrían ser barreras técnicas o reglas en un contrato – en palabras de Kerr, algo potencialmente tan amplio como “no acceda a esta computadora para un mal propósito”.

“Aún es una pregunta abierta si la restricción de acceso tiene que ser tecnológica o contractual”, dice el ex miembro del personal de EFF y abogado de delitos informáticos Hanni Fakhoury. Como señala Fakhoury, el fallo dice que no es necesariamente “plausible” que la CFAA dependa de finas distinciones semánticas en los contratos privados. “Ciertamente me parece que están incómodos con la idea de que la CFAA de alguna manera se convierta en una herramienta para criminalizar las obligaciones contractuales”, concluye. Pero deja esta gran pregunta para que la debatan los tribunales inferiores, al menos hasta que otro caso llegue a la Corte Suprema.