Este verano vio el fin de una doctrina legal de 40 años que promete tener importantes ramificaciones para la ciberseguridad y muchos otros sectores. ¿Qué es y qué implica su rescisión?
La Deferencia Chevron, que data de hace 40 años, describe la libertad que tienen las agencias federales para interpretar sus propias políticas al regular.
El Congreso actualizó la Ley de Aire Limpio en 1977, obligando a las organizaciones a instalar tecnología de control de la contaminación cada vez que realizaban cambios técnicos en sus instalaciones.
Leyes como estas las elabora el poder legislativo del gobierno de los EE. UU. (Congreso), pero requieren que el poder ejecutivo (agencias federales) las haga cumplir mediante regulaciones. En este caso, el trabajo de la Agencia de Protección Ambiental era garantizar que los contaminadores hicieran los cambios. Bajo la administración Carter en ese momento (este fue el presidente que instaló paneles solares en el techo de la Casa Blanca), la EPA probablemente los habría hecho cumplir enérgicamente.
Sin embargo, cuando cambia la administración, también cambian las actitudes de los reguladores, gracias a nombramientos políticos en los líderes de las agencias. A principios de los años ochenta, el gigante petrolero Chevron hizo algunos cambios en una de sus plantas, pero en ese momento, la EPA estaba bajo el gobierno más conservador de Reagan (Reagan fue el presidente que eliminó esos paneles solares).
La EPA de Reagan interpretó su regulación para tratar a las plantas de energía como una sola unidad en lugar de centrarse en equipos individuales. Eso permitió a Chevron actualizar los equipos de su planta sin instalar depuradores de aire adicionales.
El Consejo de Defensa de los Recursos Naturales (NRDC) demandó a la EPA, argumentando que debería haber interpretado sus reglas de manera más estricta. La Corte Suprema razonó que las agencias federales deberían interpretar sus propias reglas en lugar de los tribunales judiciales, siempre que la interpretación no entre en conflicto con el lenguaje de la regulación.
A partir de entonces, cualquier fallo de un tribunal de primera instancia sobre un caso que involucre una regulación federal tendría que remitirse a la agencia federal a la hora de interpretar la regulación. El motivo fue que la agencia tenía más experiencia que los jueces federales.
Es decir, hasta ahora. El 28 de junio, la Corte Suprema se pronunció sobre otro caso, Loper Bright Enterprises contra Raimondo. Loper Bright es una empresa pesquera de Nueva Inglaterra que quería impugnar una decisión del Servicio Nacional de Pesca Marina (NMFS). Según la Ley Magnuson-Stevens, que impone límites de pesca, el NMFS exigía que los barcos pesqueros designaran inspectores gubernamentales para controlar sus capturas a costa de las empresas pesqueras.
Loper Bright había impugnado la capacidad del NMFS para imponer esa regulación en un tribunal de distrito, que aplicó la Deferencia Chevron para permitir que el NMFS decidiera. El caso llegó a la Corte Suprema, que anuló la decisión, cancelando efectivamente la Deferencia Chevron.
Qué significa esto para la ciberseguridad
Esta decisión permite una vez más a los tribunales de distrito decidir cómo las agencias federales deben interpretar los estatutos legales, lo que a los expertos les preocupa que equivalga a dejar que los jueces decidan las políticas. El NRDC, que acabó acogiendo con satisfacción la Deferencia de Chevron como un medio para proporcionar certidumbre en las disputas sobre la política federal, llamadas un panorama legal posterior a la Deferencia “equivale a lanzar un dardo a la diana de un tribunal inferior”.
"[Hay] más de diez circuitos diferentes, cada uno con múltiples jueces", argumenta John Walke, un alto defensor del programa de Salud Ambiental de la organización. “Cada uno tiene la capacidad de decidir qué interpretación razonable es su interpretación razonable preferida”.
¿Qué tiene esto que ver con la ciberseguridad? Se trata de una disciplina relativamente joven que todavía está debatiendo la política federal. La preocupación ahora es que dejar las decisiones políticas en manos de un panel de jueces de distrito y de circuito con opiniones diferentes enturbiará las aguas.
Las agencias federales se están volviendo más agresivas en la regulación de la ciberseguridad, pero con una Congreso que es menos productivo que nunca, dependen cada vez más de agregar regulaciones a estatutos más antiguos que no hacen referencia a la ciberseguridad, otras parejas., Harley Geiger, Ines Jordan-Zoob y Tanvi Chopra en el Centro de Políticas de Ciberseguridad.
A los especialistas del Centro les preocupa que la desaparición de la Deferencia de Chevron pueda afectar múltiples cambios regulatorios recientes, incluido el requisito de la SEC de que las organizaciones informen rápidamente los incidentes de ciberseguridad, junto con las revisiones de 2022 de la Ley Gramm-Leach-Bliley que exigían que las instituciones financieras informaran sobre los incidentes de ciberseguridad. Los estatutos en los que se basan estas regulaciones no contenían ningún lenguaje explícito sobre ciberseguridad. Sin la protección de la Deferencia de Chevron, podrían enfrentar desafíos legales en los tribunales de distrito.
Al Centro le preocupa que esto dificulte que las organizaciones obtengan un conjunto claro de reglas para todo el país sobre políticas de ciberseguridad.
"El resultado puede ser una menor coherencia en la aplicación de las regulaciones en todas las jurisdicciones", afirman los autores. "Los esfuerzos del poder ejecutivo para armonizar las regulaciones de ciberseguridad sin la autoridad explícita del Congreso pueden perder fuerza, obligando al cumplimiento de la industria a seguir lidiando con un mosaico de reglas de seguridad".
A los autores del Centro también les preocupa que las nuevas leyes sobre cuestiones de ciberseguridad tengan que ser menos ambiguas, lo que dejará a los reguladores con menos margen de interpretación en un sector tecnológico en rápida evolución. Esto podría dificultar la aprobación de futuras leyes de ciberseguridad, advierten los autores.
Sigue vigente una prueba legal que permite a los tribunales remitir a las agencias federales cuestiones de políticas. Llamada Doctrina Skidmore, surge de un caso de 1944 que permite a los tribunales ceder ante la interpretación de una agencia basada en "el poder de persuadir, si carece del poder de controlar". Sin embargo, lo bien que persuade una agencia presumiblemente sigue siendo la opinión de un juez de primera instancia o apelante.
¿Qué debes hacer?
¿Dónde deja esto a las empresas que intentan cumplir con las normas de ciberseguridad?
“Quizás ahora más que nunca se necesitan iniciativas del sector privado para adoptar voluntariamente programas eficaces de gestión de riesgos cibernéticos para fortalecer la resiliencia de los consumidores, las empresas y la sociedad”, dicen los autores del Centro de Políticas de Ciberseguridad.
Afortunadamente, existen muchos marcos sólidos, incluidos ISO 27001 y el marco de ciberseguridad del NIST, en los que las empresas pueden basar sus esfuerzos de ciberseguridad. Esto hace que las empresas tengan más probabilidades de cumplir con las regulaciones federales y también brindan más protección contra incidentes de ciberseguridad. En un entorno legal más volátil, un cumplimiento voluntario sólido ofrece un nivel de certeza y demuestra que las organizaciones han cumplido con el espíritu, y no solo con la letra, de la ley.
