El fallo de la Corte Suprema podría amenazar la regulación y las reglas de ciberseguridad

Un fallo reciente de la Corte Suprema ha alterado significativamente el panorama de la aplicación regulatoria en los Estados Unidos, con profundas implicaciones para la regulación de la ciberseguridad. El 28 de junio de 2024, la Corte Suprema anuló la Doctrina Chevron, un principio legal establecido en 1984 (Chevron v. Consejo de Defensa de los Recursos Naturales) que permitía a las agencias federales interpretar ambigüedades en la ley utilizando su experiencia. Esta doctrina ha sido la piedra angular del sistema regulatorio federal durante cuatro décadas, permitiendo a las agencias crear y hacer cumplir reglas con experiencia técnica y eficiencia.

La decisión de la Corte Suprema exige que los tribunales ahora deben ejercer un juicio independiente al determinar si una agencia ha actuado dentro de su autoridad legal. Este fallo elimina efectivamente la necesidad de que los tribunales recurran a la experiencia de la agencia en casos que involucran estatutos ambiguos, anulando una práctica que ha estado vigente durante cuarenta años. Según la Corte Suprema, "La Ley de Procedimiento Administrativo requiere que los tribunales ejerzan su juicio independiente al decidir si una agencia ha actuado dentro de su autoridad legal, y los tribunales no pueden ceder a la interpretación de la ley por parte de una agencia simplemente porque una ley es ambigua; Chevron queda anulado."

Este cambio tiene importantes repercusiones para la regulación de la ciberseguridad en Estados Unidos, que está gestionada predominantemente por agencias federales como la FDA, la SEC y el DHS. Históricamente, estas agencias han confiado en su experiencia para interpretar y hacer cumplir las leyes y regulaciones de ciberseguridad. Sin embargo, con el fallo de la Corte Suprema, la supervisión judicial ahora desempeñará un papel más importante en estos asuntos, lo que podría conducir a un aumento de los litigios y las impugnaciones de las decisiones de las agencias.

Ilia Kolochenko, abogada de Platt Law LLP y directora ejecutiva de Immuniweb, comentó: "Esta decisión histórica de la Corte Suprema de los EE. UU. probablemente tendrá consecuencias tectónicas y duraderas para la elaboración de normas administrativas en los EE. UU. -Antigua doctrina de Chevron, la Corte Suprema dio significativamente más poder judicial y margen de maniobra a los tribunales en la interpretación de la ley federal que puede ser vaga, poco clara o simplemente silenciosa sobre ciertos elementos, como la ciberseguridad, la privacidad o la divulgación de violaciones de datos".

El fallo implica que las empresas ahora pueden apelar las decisiones de las agencias sin que los tribunales cedan ante la experiencia de las agencias. Esto podría conducir a un aumento de las impugnaciones y apelaciones legales, y las empresas bien financiadas podrían tratar las regulaciones estadounidenses de manera similar a como abordan las regulaciones de la UE: a través de extensas batallas legales. Ken Dunham, director de amenazas cibernéticas de Qualys TRU, anticipa "un tsunami de litigios para las agencias y/o funcionarios federales, que ahora podrán ser demandados a perpetuidad por las decisiones tomadas".

Jody Freeman, profesora de la Facultad de Derecho de Harvard, añade: "Es un enorme cambio de poder que regresa a los tribunales y se aleja de las agencias. Y para poner esto en contexto, esto es parte de una serie de casos en los que la Corte Suprema ha hecho más difícil para las agencias hacer su trabajo."

Este desarrollo genera preocupaciones sobre el futuro de las regulaciones de ciberseguridad. Kolochenko señala que los tribunales ahora pueden invalidar las normas administrativas que consideren incompatibles con los fines legales, afectando las normas sobre ciberseguridad, divulgación de violaciones e infraestructura nacional crítica. Esto incluye iniciativas recientes como las reglas CIRCIA de CISA, que requieren informes exhaustivos de incidentes cibernéticos de sectores de infraestructura críticos. Con la nueva supervisión judicial, estas normas son más susceptibles de ser revocadas.

Jason Porter, vicepresidente y director de tecnología de Optiv + ClearShark, señala: "Este cambio probablemente dará como resultado que se cuestionen y, en última instancia, se revoquen más acciones regulatorias, lo que generará incertidumbre legal para los organismos reguladores y las industrias que supervisan".

Si bien el fallo de la Corte Suprema plantea varios desafíos, también puede haber algunos resultados positivos. Aaron Rose, oficina del CTO de Check Point Software, ve beneficios potenciales, como obligar al Congreso a redactar una legislación más precisa y garantizar que las agencias basen sus regulaciones en estándares legales claros. Una mayor supervisión judicial podría conducir a fallos más consistentes y justos basados en principios legales establecidos.

Sin embargo, Rose también destaca los inconvenientes: "Con la rápida evolución de la tecnología, particularmente en la ciberseguridad, la adaptación oportuna es fundamental. La decisión del Tribunal Supremo podría ralentizar la implementación de las medidas necesarias, dejando lagunas que los piratas informáticos y los malos actores podrían aprovechar".

En conclusión, la decisión de la Corte Suprema de revocar la Doctrina Chevron ha marcado el comienzo de una nueva era de supervisión regulatoria, transfiriendo el poder de las agencias expertas al sistema judicial. Si bien este cambio tiene como objetivo garantizar que las regulaciones se basen en principios legales claros, introduce incertidumbre y posibles retrasos en el campo de la ciberseguridad en rápida evolución. A medida que el panorama legal se adapta a este fallo, el desafío será equilibrar la supervisión judicial con la necesidad de regulaciones de ciberseguridad efectivas, oportunas y impulsadas por expertos.