Un intento bipartidista de reformar una ley de privacidad electrónica cuenta con el apoyo de la comunidad tecnológica y la Casa Blanca, pero los funcionarios federales encargados de hacer cumplir la ley le dicen al Congreso que los cambios dificultarían el enjuiciamiento civil.
Las agencias de aplicación de la ley civil como la Comisión Federal de Comercio y la Comisión de Bolsa y Valores no podrían obtener información crítica si se modificara la ley para exigir órdenes penales de acceso a los datos almacenados en los servicios en la nube, según testigos de esas agencias que testificaron en frente del Comité Judicial del Senado el miércoles.
Los funcionarios encargados de hacer cumplir la ley estaban reaccionando a los proyectos de ley de los senadores Mike Lee y Patrick Leahy, y los representantes Kevin Yoder y Jared Polis, que apuntan a actualizar la Ley de Privacidad de las Comunicaciones Electrónicas, o ECPA.
En su forma actual, ECPA protege los correos electrónicos de espías del gobierno durante los días 180. Cuando la ley se redactó inicialmente en 1986, los proveedores de correo electrónico eliminaban rutinariamente los correos electrónicos de sus servidores un mes o dos después de su entrega; los usuarios generalmente descargarían los mensajes que pretendían conservar. Lo que quede en un servidor de correo electrónico después de los días 180 es un juego justo para que el gobierno acceda, con solo una citación, no una orden judicial.
Hoy en día, los sistemas de correo electrónico ubicuos basados en la nube como Gmail, que ofrecen gigabytes de almacenamiento de forma gratuita, permiten al usuario promedio mantener sus mensajes (y calendarios, contactos, notas e incluso datos de ubicación) en los servidores de un proveedor de forma indefinida.
La Ley de Enmiendas de la ECPA requeriría que las fuerzas del orden público obtengan una orden de acceso a la información alojada en el servidor, sin importar la antigüedad, y requeriría que el gobierno notifique a una persona que se accedió a su información dentro de los días 10, con ciertas excepciones.
Pero los funcionarios encargados de hacer cumplir la ley expresaron su oposición a algunos de los cambios propuestos en el proyecto de ley, argumentando que su requisito de órdenes penales podría dejar a los litigantes civiles sin acceso a información electrónica importante.
"El proyecto de ley en su forma actual plantea un riesgo significativo para el público estadounidense al impedir la capacidad de la SEC y otras agencias de aplicación de la ley civil para investigar y descubrir fraudes financieros y otras conductas ilegales", dijo Andrew Ceresney, director de ejecución de los Valores y Comisión de Cambio.
Ceresney y Daniel Salsburg, asesor principal de tecnología, investigación e investigación en la rama de protección al consumidor de la FTC, dijeron que la SEC y la FTC no están buscando la autoridad para obtener datos con solo una citación, y en su lugar propusieron un sistema en el que podrían obtener una orden judicial para acceder a los datos. Dicho proceso notificaría a la persona que está siendo investigada y le daría la oportunidad de presentar un caso ante el juez antes de que se otorgue o deniegue una orden.
El Departamento de Justicia exigirá órdenes de arresto para la tecnología de rastreo de teléfonos celulares
La nueva política no se aplica a los departamentos de policía estatales y locales que han utilizado simuladores de sitios celulares para rastrear delincuentes.
Pero a pesar de su oposición al cambio propuesto a ECPA, ni la SEC ni la FTC han obtenido correos electrónicos a través de una citación administrativa en los últimos cinco años, dijeron el miércoles Ceresney y Salsburg.
Ceresney dijo que la decisión de evitar las citaciones se hizo "en deferencia" a las conversaciones en curso sobre la reforma de la ECPA. Una orden de la corte federal 2010 también ató las manos del gobierno al declarar inconstitucional a la ECPA, una decisión que la Ley de Enmiendas de la ECPA pretende codificar en ley, pero Ceresney dijo que la SEC no interpreta la decisión de la corte como un impedimento para usar citaciones para obtener datos.
Los comentarios de los funcionarios encargados de hacer cumplir la ley civil sobre la reforma de la ECPA se encontraron con una reacción violenta inmediata de la comunidad tecnológica, que ha manifestado un fuerte apoyo a los cambios.
"La FTC afirma ser un defensor de la privacidad del consumidor, sin embargo, la agencia quiere acceder a los datos de los estadounidenses sin una orden judicial", dijo Berin Szoka, presidente de TechFreedom, un grupo de expertos en tecnología. “El testimonio de la Comisión de hoy confirma los rumores de larga data de que solo respaldará la reforma de la ECPA si se elimina el requisito de orden de la ley.
"El FBI no es una fuerza alienígena impuesta al pueblo estadounidense", dice el director de la agencia, mientras los federales chocan con Silicon Valley por los estándares de encriptación.
"Este es el problema que ha estancado la reforma de la ECPA durante más de cinco años, a pesar del abrumador apoyo bipartidista", agregó Szoka. "El testimonio de la FTC está cuidadosamente diseñado para parecer razonable, pero la agencia simplemente está ayudando a obstruir la reforma de privacidad más importante de nuestra generación".
Julie Brill, comisionada de la FTC, emitió un comunicado el miércoles indicando que no estaba de acuerdo con el testimonio de Salsburg. "Me preocupa que un mecanismo judicial para que las agencias de aplicación de la ley civil obtengan contenido de los proveedores de ECPA podría afianzar la autoridad que tiene el potencial de conducir a invasiones de la privacidad de las personas y, en algunas circunstancias, puede ser inconstitucional en la práctica", dijo Brill.
Google y BSA-The Software Alliance, una asociación tecnológica destacada, aparecieron en un panel de testigos separado ante el comité, pidiendo un cambio rápido para mejorar la privacidad de los clientes y aliviar las presiones comerciales.
"Al crear una protección de privacidad inconsistente para los usuarios de servicios en la nube y obstáculos de cumplimiento ineficientes y confusos para los proveedores de servicios, ECPA ha creado un desincentivo innecesario para pasar a un método de computación más eficiente y productivo", dijo Richard Salgado, director de la ley de Google cumplimiento y seguridad de la información rama.
Esta historia fue actualizada con una declaración de la Comisionada de la FTC, Julie Brill.
