El Tribunal Supremo limita el alcance de la Ley sobre Fraude y Abuso Informático

El 3 de junio de 2021, el Tribunal Supremo de los Estados Unidos redujo significativamente el alcance de la Ley de Fraude y Abuso Informático (CFAA) en Van Buren contra Estados Unidos. En este caso, que fue seguido muy de cerca, el Tribunal decidió cuándo una persona «excede el acceso autorizado» en virtud de la Ley de Fraude y Abuso Informático (18 U.S.C. § 1030(a)(2)), y sostuvo que un agente de policía de Georgia no violó la CFAA cuando sobrepasó su acceso autorizado a los registros gubernamentales. En contra de la opinión del Gobierno, el Tribunal dictaminó por 6 votos contra 3 que una persona autorizada para acceder a determinadas áreas de un ordenador no «excede el acceso autorizado» en virtud de la CFAA, incluso cuando dicha persona accede a esas áreas del ordenador con un fin prohibido. La sentencia tiene importantes implicaciones no solo para las fuerzas del orden, sino también para los demandantes privados que se han basado en la causa de acción privada de la CFAA por un supuesto acceso indebido a sus sistemas. 

Fondo

En Van Buren, el Sr. Van Buren, un agente de policía de Georgia, aceptó 6000 dólares de un conocido para utilizar su acceso a la base de datos del Centro de Información Criminal de Georgia con el fin de determinar si una posible pareja sentimental era un agente de policía encubierto. El Sr. Van Buren solo tenía autorización para acceder a la base de datos con «fines policiales», pero, no obstante, accedió a la información para su conocido. Resultó que el conocido era un informante del FBI en una operación encubierta. El Sr. Van Buren fue acusado y condenado en virtud de la CFAA por exceder su acceso a la base de datos al utilizarla para un fin no autorizado. El Undécimo Circuito confirmó la condena de Van Buren en virtud de la CFAA, rechazando una interpretación más restrictiva de la CFAA.

Los tribunales inferiores se han mostrado divididos en cuanto al significado de «exceder el acceso autorizado», tal y como se define en el artículo 18 U.S.C. § 1030(e)(6). Los circuitos primero, quinto, séptimo y undécimo han interpretado la frase de manera amplia, entendiendo que «exceder el acceso autorizado» incluye el acceso a información en un ordenador con fines prohibidos por el empleador o por las condiciones de uso. Por otro lado, los circuitos segundo, cuarto y noveno han adoptado una interpretación más restrictiva de «exceder el acceso autorizado», que no tiene en cuenta si el uso de la información se realizó con fines indebidos. Según la interpretación de estos circuitos, no se puede imponer la responsabilidad de la CFAA a una persona que haya accedido a un área de un ordenador a la que estaba autorizada a acceder, incluso si lo hizo con fines indebidos.

Decisión y posibles implicaciones

El Tribunal Supremo adoptó la interpretación más restrictiva, sosteniendo que una persona no «excede el acceso autorizado» a un ordenador cuando utiliza ese acceso para obtener o alterar información con fines no autorizados. El Tribunal citó la preocupación de que una interpretación más amplia permitiría a los fiscales o a las entidades privadas presentar demandas basadas en una miríada de actividades relativamente inofensivas, como el incumplimiento por parte de un empleado de la política del lugar de trabajo al utilizar las redes sociales en un dispositivo de la empresa. «La interpretación del Gobierno de la cláusula "excede el acceso autorizado" impondría sanciones penales a una cantidad impresionante de actividades informáticas comunes», escribió la jueza Amy Coney Barrett en nombre de la mayoría. Del mismo modo, los expertos en ciberseguridad argumentaron que una interpretación más amplia de la CFAA podría utilizarse para procesar a los hackers de sombrero blanco y a otras personas que violan los términos de servicio de un sitio web durante investigaciones bienintencionadas.

La decisión del Tribunal Supremo limita las herramientas y teorías legales disponibles para las empresas y otras partes privadas en relación con algunos tipos de uso no autorizado de sus ordenadores, redes y sitios web. La CFAA establece una causa de acción privada para obtener una indemnización por daños y perjuicios y medidas cautelares por la misma conducta que puede ser objeto de enjuiciamiento penal, basándose en la misma definición legal de cuándo una persona «excede el acceso autorizado». Es probable que la decisión Van Buren prohíba estas reclamaciones cuando el supuesto exceso de acceso autorizado se base simplemente en el acceso a la información por parte de una persona que estaba dentro del ámbito de su permiso, pero que, no obstante, lo hizo con un fin no autorizado.

Sin embargo, la decisión no aborda qué medidas de seguridad se considerarán suficientes para prohibir el acceso de una persona a la información, de modo que una persona que eluda dichas medidas de seguridad haya «excedido el acceso autorizado» en virtud de la CFAA. De este modo, la decisión proporciona defensas adicionales frente a las reclamaciones de la CFAA y probablemente dará lugar a nuevos litigios sobre lo que se considera «acceso autorizado». Además, en la medida en que una persona obtenga acceso a un ordenador sin estar autorizada para ello, las reclamaciones en virtud de la CFAA siguen siendo viables. 

En el contexto laboral, la decisión sugiere que un empleador ya no podrá presentar demandas en virtud de la CFAA contra un empleado que haga un uso indebido de los ordenadores de la empresa para ver secretos comerciales si dicho empleado tenía autorización para utilizar los ordenadores en cuestión. Además, aún pueden aplicarse otras teorías jurídicas, como la Ley federal de defensa de los secretos comerciales (DTSA) o las leyes estatales sobre secretos comerciales, responsabilidad civil, allanamiento y contratos. 

Van Burentambién tiene implicaciones para los sitios web. La decisión sugiere que una persona no habrá «excedido el acceso autorizado» en virtud de la CFAA cuando incumpla los términos de uso de un sitio web u otro acuerdo de licencia en línea. Esto puede afectar a las disputas que involucran a empresas que «extraen» datos de sitios web disponibles públicamente, incumpliendo los términos de uso de dichos sitios web. El Tribunal Supremo ha admitido a trámite una petición de certiorari para revisar el casohiQ Labs, Inc. contra LinkedIn Corp., 938 F.3d 985 (9.º Cir. 2019), en la que el Noveno Circuito denegó una moción de medida cautelar, sosteniendo que «extraer» información de LinkedIn infringiendo los términos de uso de LinkedIn probablemente no constituya una infracción de la CFAA, ya que hiQ solo accedió a información que era de acceso público. La decisión en Van Buren sugiere que la resolución del Noveno Circuito es probablemente correcta. Sin embargo, no está claro si el Tribunal Supremo llegaría a la misma decisión cuando un usuario eludió las medidas tecnológicas del operador del sitio web para impedir un mayor acceso, como bloquear la dirección IP del usuario o restringir el acceso a la información mediante el uso de un CAPTCHA. Es probable que esas cuestiones también sean objeto de nuevos litigios.

Recomendaciones para empresas

Las empresas que deseen mantener la CFAA en su arsenal legal deben considerar la posibilidad de limitar más estrictamente el acceso a determinadas áreas de sus sistemas informáticos, redes y sitios web, y garantizar que se aplique dicho acceso limitado. Por ejemplo, si a un empleado se le concede un amplio acceso a determinada información del sistema informático de su empresa, es probable que esta no pueda presentar una reclamación en virtud de la CFAA, incluso si las políticas o condiciones de uso de la empresa limitan el uso de dicha información por parte del empleado a fines específicos. En su lugar, las empresas deben adoptar la medida de seguridad del «privilegio mínimo» y conceder acceso a la información más sensible o a los secretos comerciales solo a aquellos empleados que realmente lo necesiten. Sin duda, un acceso más personalizado conlleva un aumento de los costes y de la carga administrativa. Sin embargo, las empresas que adoptan esta práctica pueden preservar una reclamación en virtud de la CFAA cuando un empleado accede a la información de todos modos y también aumentar la seguridad general del sistema de acuerdo con las mejores prácticas del sector.