Decisão da Suprema Corte pode ameaçar regulamentações e regras de segurança cibernética
Uma decisão recente do Supremo Tribunal alterou significativamente o panorama da aplicação regulamentar nos Estados Unidos, com profundas implicações para a regulamentação da segurança cibernética. Em 28 de junho de 2024, a Suprema Corte derrubou a Doutrina Chevron, um princípio jurídico estabelecido em 1984 (Chevron v. Conselho de Defesa de Recursos Naturais) que permitia às agências federais interpretar ambiguidades na lei usando sua experiência. Esta doutrina tem sido a pedra angular do sistema regulatório federal durante quatro décadas, permitindo que as agências criem e apliquem regras com conhecimento técnico e eficiência.
A decisão do Supremo Tribunal determina que os tribunais devem agora exercer um julgamento independente ao determinar se uma agência agiu dentro da sua autoridade estatutária. Esta decisão elimina efectivamente a necessidade de os tribunais recorrerem aos conhecimentos especializados das agências em casos que envolvem estatutos ambíguos, anulando uma prática que está em vigor há quarenta anos. De acordo com o Supremo Tribunal, "A Lei de Procedimento Administrativo exige que os tribunais exerçam o seu julgamento independente ao decidir se uma agência agiu dentro da sua autoridade estatutária, e os tribunais não podem adiar a interpretação da lei por uma agência simplesmente porque um estatuto é ambíguo; Chevron é anulado."
Esta mudança tem repercussões significativas na regulamentação da segurança cibernética nos EUA, que é predominantemente gerida por agências federais como a FDA, a SEC e o DHS. Historicamente, estas agências confiaram na sua experiência para interpretar e fazer cumprir as leis e regulamentos de segurança cibernética. Contudo, com a decisão do Supremo Tribunal, a supervisão judicial irá agora desempenhar um papel mais significativo nestas questões, conduzindo potencialmente a um aumento de litígios e a desafios às decisões das agências.
Ilia Kolochenko, advogada da Platt Law LLP e CEO da Immuniweb, observou: "Esta decisão histórica da Suprema Corte dos EUA provavelmente terá consequências tectônicas e duradouras para a regulamentação administrativa nos EUA. Ao anular a decisão de 40 anos Com a antiga doutrina da Chevron, o Supremo Tribunal deu significativamente mais poder judicial e margem de manobra aos tribunais na interpretação da lei federal que pode ser vaga, pouco clara ou simplesmente omissa sobre certos elementos, como segurança cibernética, privacidade ou divulgação de violação de dados.
A decisão implica que as empresas podem agora recorrer das decisões das agências sem que os tribunais se submetam à experiência das agências. Isto poderá levar a um aumento de desafios e recursos legais, com empresas bem financiadas potencialmente tratando as regulamentações dos EUA de forma semelhante à forma como abordam as regulamentações da UE – através de extensas batalhas jurídicas. Ken Dunham, diretor de ameaças cibernéticas da Qualys TRU, antecipa “um tsunami de litígios para agências e/ou funcionários federais, que agora poderão ser processados perpetuamente pelas decisões tomadas”.
A professora da Faculdade de Direito de Harvard, Jody Freeman, acrescenta: "É uma enorme mudança de poder de volta aos tribunais e longe das agências. E, para colocar isso em contexto, isso faz parte de uma série de casos em que a Suprema Corte tornou mais difícil para as agências fazer o trabalho deles."
Este desenvolvimento levanta preocupações sobre o futuro das regulamentações de segurança cibernética. Kolochenko salienta que os tribunais podem agora invalidar regras administrativas que considerem inconsistentes com os objetivos legais, afetando as regras sobre segurança cibernética, divulgação de violações e infraestruturas nacionais críticas. Isto inclui iniciativas recentes como as regras CIRCIA da CISA, que exigem relatórios extensivos de incidentes cibernéticos em sectores de infra-estruturas críticas. Com a nova supervisão judicial, estas regras são mais susceptíveis de serem anuladas.
Jason Porter, vice-presidente e CTO da Optiv + ClearShark, observa: “Essa mudança provavelmente resultará em mais ações regulatórias sendo desafiadas e, em última análise, anuladas, levando à incerteza jurídica para os órgãos reguladores e as indústrias que eles supervisionam”.
Embora a decisão do Supremo Tribunal coloque vários desafios, também poderá haver alguns resultados positivos. Aaron Rose, gabinete do CTO da Check Point Software, vê benefícios potenciais, como forçar o Congresso a elaborar legislação mais precisa e garantir que as agências baseiem os seus regulamentos em padrões legais claros. O aumento da supervisão judicial poderia levar a decisões mais consistentes e justas baseadas em princípios jurídicos estabelecidos.
No entanto, Rose também destaca as desvantagens: “Com a rápida evolução da tecnologia, especialmente na segurança cibernética, a adaptação atempada é crítica. A decisão do Supremo Tribunal poderá abrandar a implementação das medidas necessárias, deixando lacunas para hackers e maus actores explorarem”.
Em conclusão, a decisão do Supremo Tribunal de anular a Doutrina Chevron inaugurou uma nova era de supervisão regulamentar, transferindo o poder das agências especializadas para o sistema judicial. Embora esta alteração vise garantir que as regulamentações se baseiam em princípios jurídicos claros, introduz incerteza e potenciais atrasos no campo em rápida evolução da segurança cibernética. À medida que o panorama jurídico se adapta a esta decisão, o desafio será equilibrar a supervisão judicial com a necessidade de regulamentos de segurança cibernética orientados por especialistas, oportunos e eficazes.
