De acuerdo con un análisis jurídico del escándalo Facebook, relizado por Andrew Keane Woods para el blog Lawfare, Cambridge Analytica no se ‘robó’ los datos de 50 millones de usuarios de la red social al entrar por una hipotética puerta trasera ilegal, sino que los tomó con permiso de los usuarios y los términos de aplicaciones API válidos en ese momento.
En el ensayo “La Debacle de Cambridge Analytica-Facebook: una guía jurídica”, que a continuación glosamos ‘in extenso’, Woods recuerda que el 17 de marzo, el New York Times reveló que Cambridge Analytica, la firma británica de análisis de datos con vínculos con Robert Mercer y Stephen K. Bannon y que fue contratada por la campaña Trump, “recopiló información privada de los perfiles de Facebook de más de 50 millones usuarios sin su permiso”.
Esto desencadenó una tormenta en EU y Reino Unido ya que los reguladores anunciaron que llegarían al fondo de lo que salió mal. El senador Ron Wyden le hizo a Facebook una serie de preguntas contundentes. La fiscal general de Massachusetts, Maura Healey, anunció una investigación sobre el asunto, seguida por el fiscal general de Nueva York. Y la comisionada de información del Reino Unido, Elizabeth Denham, dijo que buscaría una orden para inspeccionar las computadoras de Cambridge Analytica. Esto a su vez hizo que las acciones de Facebook cayeran casi 12 puntos en dos días.
El lunes por la noche, The New York Times reveló que el jefe de seguridad de Facebook, Alex Stamos, se retiraba después de mucho desacuerdo interno con la forma en que la firma manejó las preocupaciones sobre la desinformación en las elecciones de 2016.
Los datos que obtuvo Cambridge Analytics parecen haber provenido de Aleksandr Kogan, un investigador de la Universidad de Cambridge que convenció a cientos de miles de usuarios de Facebook de realizar un cuestionario de personalidad vinculado a Facebook, otorgando a Kogan acceso, a través de la plataforma de desarrolladores de Facebook, a un tesoro de datos de usuario. Kogan luego compartió esta información con Cambridge Analytica.
Esto fue reportado como una “brecha” en el Times, pero expertos en seguridad explicaron que esto era categóricamente distinto al tipo de violación que sufrió Equifax, donde un intruso usó trucos técnicos para obtener acceso no autorizado a redes de la empresa, sin el conocimiento de la firma.
El acceso de Kogan a los datos (si no, su uso posterior) era conocido por Facebook y aparentemente consistente con la interfaz de programación de aplicaciones de desarrollador (API) de Facebook en ese momento.
Así es como Kogan pudo acceder a 50 millones de perfiles de usuarios a través de unos pocos cientos de miles de personas que tomaron las pruebas; una vez que aceptabas el cuestionario de Kogan, los datos de tus amigos también eran recolectados con tu permiso. El jefe de seguridad de Facebook, Stamos, señaló esto en un tweet ahora borrado:
https://twitter.com/aprilaser/status/975078309930311680
En otras palabras: no se preocupen: Cambridge Analytica no se robó los datos; se los estábamos regalando. Como señala Ben Thompson, una antigua página de desarrollador de Facebook muestra que su API permitía a los desarrolladores acceder no solo a la información de la cuenta del usuario, sino también a enormes cantidades de información de las cuentas de sus amigos (“friends_interests”, “friends_religion_politics”, etc.)
Esta página de desarrollador seguramehte aparecerá de nuevo en los posibles litigios y audiencias legislativas: Demuestra que Kogan no necesitaba obtener datos de Facebook a través de una hipotética e ilegal puerta trasera, podía entrar por la puerta principal, la que Facebook diseñó para los desarrolladores.
Esto no es, en consecuencia, una violación de la red de Facebook, sí fue en cambio una violación de la confianza de los usuarios, las expectativas generales y quizás también los términos de servicio de Facebook. De hecho, el asesor general adjunto de Facebook, Paul Grewal, ha publicado que la firma adopta la posición de que compartir los datos de Kogan con Cambridge Analytica violaba las políticas de la plataforma del sitio.
Ahora bien, los posibles litigios del escándalo son en sí mismos todo un galimatias ¿Qué leyes se podrían aplicar? Existen varias regulaciones que posiblemente den lugar a reclamaciones contra Facebook, Kogan o Cambridge Analytica.
Sin más información, es difícil decir cuáles, en su caso, podrían conducir a un reclamo legal viable, pero cada uno merece un estudio más detenido; y todo ello sin considerar, de momento, las posibles reclamaciones en virtud de legislaciones británica y europea.
1. El Acta de fraude y abuso informático
Tal vez la ley más difamada en el mundo de la política de tecnología, la Ley de Fraude y Abuso Informático (CFAA) es un desastre. Proporciona sanciones penales y civiles por el acceso no autorizado a redes informáticas.
La CFAA es la razón por la que muchos abogados dicen que los ataques ilegales son una respuesta ilegal a una violación. Y la CFAA fue el instrumento contundente utilizado para enjuiciar al difunto Aaron Swartz por obtener acceso “sin autorización y en exceso de acceso autorizado” a JSTOR a través de la red del Instituto Tecnológico de Massachusetts para descargar una gran cantidad de artículos de revistas académicas.
Entonces, ¿se puede usar CFAA para responsabilizar a Cambridge Analytica o Kogan por sus acciones? Parece complicado, principalmente porque el estatuto se centra en la “autorización”. Kogan había autorizado el acceso a los datos de Facebook que había recogido.
El Noveno Circuito sostuvo recientemente que “un acusado puede estar en desacuerdo con el CFAA cuando no tiene permiso para acceder a una computadora o cuando tal permiso ha sido revocado explícitamente”, pero no cuando esa persona simplemente se queda más que la bienvenida. Aunque el acceso de Kogan a los datos de Facebook haya sido revocado, no fue revocado antes de su acceso autorizado.
El CFAA también penaliza a un usuario que “excede el acceso autorizado”; esto podría poner a Kogan en problemas, pero este término se define en el estatuto como el acceso a “una computadora con autorización y para usar dicho acceso para obtener o alterar información en la computadora que el usuario [sic] no tiene derecho a obtener o modificar”.
Esto no parece atinente a las acciones de Kogan porque obtuvo acceso a los datos de los usuarios precisamente de la manera que la API de Facebook anticipaba y no obtuvo acceso a nada más de lo que Facebook permitía.
El hecho de que Kogan pueda haber utilizado esos datos de forma que violaron las políticas de desarrollo de Facebook, como alega Facebook, no prueba que haya excedido el acceso autorizado a los fines del CFAA (de hecho, el Noveno Circuito resolvió recientemente, en Oracle v. Rimini, que violar los términos de servicio por sí solo no es suficiente para responsabilizar penalmente a alguien bajo el CFAA).
Se espera que otros con más experiencia pesen sobre la posibilidad de cargos del CFAA contra Kogan, pero si se presentasen cargos contra Kogan serían precisamente los tipos de cargos que han llevado a llamados a reformar el CFAA, que muchos creen que le da demasiado poder a un fiscal ambicioso para ver una violación CFAA en cualquier acto de computadora.
2. Leyes de delitos informáticos a nivel estatal
Hay muchas leyes diferentes sobre abuso de computadoras en el nivel estatal, pero al menos una ley, el Acta de Fraude y Acceso a Datos de Computadora de California (CDAFA), vale la pena revisarla. El CDAFA es similar al CFAA en ciertos aspectos, pero mientras el CFAA se centra en el acceso a la computadora, el CDAFA se centra en el uso no autorizado, ya sea la toma no autorizada o el uso indebido de la información. El CDAFA establece que una persona es culpable de un delito público si:
(1) A sabiendas accede y sin permiso altera, daña, elimina, destruye o utiliza cualquier información, computadora, sistema de computadora o red informática para (A) idear o ejecutar cualquier esquema o artificio para defraudar, engañar o extorsionar, o (B) controlar u obtener dinero, propiedad o datos de forma ilícita.
[o]
(2) A sabiendas accede y sin permiso extrae, copia o utiliza datos de una computadora, sistema informático o red informática, o toma o copia cualquier documentación de respaldo, ya sea que exista o que resida interna o externamente en una computadora, sistema informático , o red de computadoras”.
Esta descripción parece ajustarse mejor a las acciones de Kogan, donde tenía exactamente el mismo acceso que Facebook permitía, pero utilizaba esos datos de forma que podían ser engañosos o fraudulentos.
El CDAFA crea una causa de acción para “el propietario o arrendatario de la computadora, sistema informático, red informática, programa informático o datos que sufre daño o pérdida por una violación”.
Uno podría imaginarse que los usuarios de Facebook y la plataforma misma se ajustan a esta definición. La ley conlleva sanciones penales, que incluyen cargos por delitos mayores que conducen a la prisión por acceso no autorizado a computadoras que causa daños superiores a cinco mil dólares.
Pero no es tan seguro que el caso ajuste con el reclamo implícito en el CDAFA. La decisión reciente en Oracle también es instructiva aquí: Si bien el tribunal de primera instancia de ese caso determinó que el uso de un cliente del producto de Oracle en violación de los términos del servicio podría dar lugar a sanciones en virtud del CDAFA, en su apelación el Noveno Circuito determinó que “tomar datos de un sitio web, utilizando un método prohibido por el los términos de uso aplicables, cuando la toma en sí misma generalmente está permitida, no infringe el CDAFA”.
Además de las leyes sobre acceso y uso no autorizados, algunos estados también tienen leyes de notificación de incumplimiento. La Ley de Notificación de Incumplimiento de Datos de California, por ejemplo, exige que las empresas que realizan negocios en California con datos de usuarios notifiquen a los usuarios en caso de una “violación de la seguridad del sistema”.
Pero es poco probable que se aplique aquí, dado que Kogan obtuvo acceso a los datos de Facebook pidiendo a los usuarios que autentiquen su aplicación, no violando ninguna red corporativa.
3. Reclamaciones de derecho común de EU (contrato y agravio)
Facebook podría presentar un simple reclamo por incumplimiento de contrato o un reclamo por agravio contra Kogan por violar fraudulentamente los términos de servicio del sitio web para los desarrolladores.
La firma lo sugiere en su blog el viernes, y señala que Kogan “mintió” a la empresa. ¿Qué cláusula de los términos de desarrollador de Facebook viola Kogan? La mejor estimación de Woods es el Párrafo 3.10:
No transfiera ningún dato que reciba de nosotros (incluidos datos anónimos, agregados o derivados) a ninguna red publicitaria, intermediario de datos u otro servicio publicitario o relacionado con monetización”.
Sin embargo, si Facebook puede demostrar una reclamación por incumplimiento de contrato, no está claro qué remedio puede obtener. Una victoria pírrica aquí sería que un tribunal simplemente podría prohibirle a Kogan el uso de Facebook.
Los usuarios también pueden demandar a Facebook por violar las promesas hechas por la empresa a los clientes sobre sus datos, pero el hecho de que los usuarios dieron sus datos de Facebook a Kogan junto con esta cláusula de exención de responsabilidad de los términos de servicio de los usuarios de Facebook, hace que esas afirmaciones difícilmente tengan éxito, al menos contra la plataforma:
TRATAMOS DE MANTENER FACEBOOK AL DÍA, SIN VIRUS Y SEGURO, PERO USTED LO USA BAJO SU PROPIO RIESGO. ESTAMOS PROPORCIONANDO FACEBOOK TAL CUAL ES SIN NINGUNA GARANTÍA EXPRESA O IMPLÍCITA INCLUYENDO, PERO SIN LIMITARSE A, GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO DETERMINADO Y NO INFRACCIÓN. NO GARANTIZAMOS QUE FACEBOOK SIEMPRE ESTÉ SEGURO, LIBRE DE ERRORES O QUE FACEBOOK FUNCIONE SIEMPRE SIN INTERRUPCIONES, RETRASOS O IMPERFECCIONES. FACEBOOK NO SE HACE RESPONSABLE DE LAS ACCIONES, CONTENIDOS, INFORMACIÓN O DATOS DE TERCEROS Y USTED LIBERA A NOSOTROS, NUESTROS DIRECTORES, FUNCIONARIOS, EMPLEADOS Y AGENTES DE CUALQUIER RECLAMO Y DAÑO, CONOCIDO Y DESCONOCIDO, QUE SURJA O SE CONECTA DE CUALQUIER FORMA CON CUALQUIER RECLAMO QUE TIENE CONTRA ALGUNO DE ESTOS TERCEROS”.
Dado que Kogan era tanto un usuario como un desarrollador, estos términos de servicio del usuario se aplican también a él. Esto podría significar que Facebook le podría pedir a Kogan o Cambridge Analytica que indemnicen a la empresa en caso de una demanda contra la compañía.
Se necesitaría un doctorado completo de los términos de servicio de Facebook, para saber si estos reclamos por daños y perjuicios tienen consecuencias, pero muchos abogados emprendedores deben estar haciendo justamente ahora esos cálculos.
4. Reglas de la Comisión Federal de Comercio
El martes 20 de marzo, Bloomberg informó que la Comisión Federal de Comercio está investigando si Facebook violó los términos de un decreto de consentimiento de 2011 entre la empresa y la FTC.
En 2011, Facebook y la FTC celebraron un acuerdo en respuesta a las quejas de la agencia sobre las prácticas de privacidad de la empresa en línea. El acuerdo requiere que Facebook sea más transparente con respecto a las políticas de privacidad de los usuarios y que no los engañe sobre cómo se usarán sus datos.
Las sanciones por violar el decreto pueden llegar a 40 mil dólares por día de violación; David Vladeck, quien era el director de la Oficina de Protección al Consumidor de la FTC en el momento del decreto de consentimiento, le dijo a The Washington Post el fin de semana que las prácticas de Facebook pueden equivaler a una violación del decreto.
5. Ley de Valores de Estados Unidos
Otro cuerpo de leyes potencialmente relevante es la ley de valores de EU, la Ley de Bolsa y Valores de 1934 exige que las empresas que coticen en bolsa divulguen a los accionistas “información importante”, el tipo de información que un inversor razonable podría querer saber sobre la compañía.
La SEC ha emitido pautas sobre informes públicos de incidentes de seguridad cibernética, señalando que la comisión “alienta a las empresas a seguir utilizando el Formulario 8-K o el Formulario 6-K para divulgar información importante con prontitud, incluida la divulgación relacionada con cuestiones de ciberseguridad”.
Al revisar los archivos de 8-K y 6-K de Facebook para 2014 y 2015, Woods no encontró ninguna mención del incidente de Cambridge Analytica. Facebook menciona las infracciones de datos como un factor de riesgo general en su informe anual más reciente de 10-K, pero no encontró ninguna presentación que mencionara este incidente específico.
Si resulta que Facebook no le dijo a los inversores o a la SEC sobre esta fuga, ¿por qué no lo hicieron? Facebook probablemente reiterará la línea de que esto no fue una violación, en el sentido de que alguien penetra la red corporativa a la Target o Equifax.
Pero eso no significa que los inversionistas o la SEC no considerarán esta información importante. De hecho, el movimiento de acciones en los mercados en los últimos días sugiere que este es el tipo de información que a los accionistas les gustaría saber. (El movimiento de acciones no es una prueba definitiva de esto, pero puede ser indicativo.)
Y es probable que la SEC lo estudie. Kyle DeYoung, un ex abogado de la SEC, le dijo al Financial Times que “solo porque no era un verdadero robo no significa que [la SEC] no vaya a concluir que fue un evento material”. Una vez más, esto es algo que los abogados de los demandantes probablemente estarán leyendo ene estos días.
Hay muchas otras áreas de la ley que podrían entrar en juego, incluyendo las reglas británicas y europeas más inmediatas. Los desarrollos en otras jurisdicciones deben estar gestándose rápidamente: según los informes, la Oficina del Comisionado de Información del Reino Unido persigue una orden para llevar a cabo una investigación ‘in situ’).
La lista de posibles causas de acción del Reino Unido y la UE es extensa y debería decirnos en qué lío están metidos Facebook, Kogan y Cambridge Analytica.
Barreras a la investigación
Existen al menos dos barreras serias para este tipo de investigación: evidencia física y jurisdicción. La evidencia física de lo que se transfirió de Facebook a Kogan y a Cambridge Analytica es una cuestión de análisis forense.
Por supuesto, es común que se guarden algunos datos históricos de la cuenta, pero está lejos de garantizarse que los datos se mantendrán en formas que serán útiles en una sala del tribunal.
Esto es asumiendo que no se han destruido datos a raíz de las recientes noticias, lo que constituiría por sí mismo un crimen distinto. Hubo informes no confirmados de que Facebook envió a la firma de auditoría de seguridad cibernética Stroz Friedberg a las oficinas de Cambridge Analytica el lunes por la noche, pero que fueron expulsados por las autoridades británicas.
Luego están las posibles barreras jurisdiccionales para cualquier investigación sobre este problema informático transfronterizo. Como se mencionó anteriormente, la comisionada de información de Gran Bretaña, Elizabeth Denham, planea solicitar una orden judicial para las computadoras de Cambridge Analytica.
Si esas computadoras están todas en el Reino Unido, la orden puede ser suficiente para proporcionar evidencia útil. Pero si Denham busca una orden para las computadoras de Facebook, puede enfrentar la misma pregunta ahora que la que el Tribunal Supremo en el caso de Microsoft Ireland: si una orden de datos de computadora de la corte de un país alcanza para los datos almacenados en servidores de otro país, y en qué medida.
Las investigaciones de EU sobre la conducta de Facebook pueden enfrentar desafíos similares con los datos de Cambridge Analytica en el extranjero. También debe esperar a que algunos datos se transmitan a través del Atlántico de acuerdo con el tratado de asistencia legal mutua de EU y gran Bretaña.
Qué esperar entonces
Si eres Kogan o Cambridge Analytica, tu perspectiva próxima son juicios, audiencias públicas y un infierno regulatorio en general. Tal vez, en un extremo probabilístico, cárcel. Si eres Facebook, te esperan pleitos, audiencias públicas y un infierno regulatorio en general. Tal vez, en un extremo probabilísitco, el final de la empresa tal como la conocemos hoy.
Facebook espera reducir todo el escándalo a una condena de dos manzanas podridas: Kogan y Cambridge Analytica (y claro que estaban podridas); pero esta es una estrategia peligrosa para Facebook.
La afirmación de que los datos de los usuarios terminaron en manos de los desarrolladores sin una falta de parte de Facebook es una estrategia que le hace ganar la batalla pero le puede hacer perder la guerra: Si los usuarios (y los reguladores) deciden que la empresa no hizo nada irregular, que esta es la forma en que Facebook funciona, pueden concluir razonablemente que la empresa misma es inaceptable.
El principal regulador de privacidad de la UE, Věra Jourová, anunció el lunes que había contactado a Facebook y que “desde la perspectiva de la Unión Europea, el uso indebido para fines políticos de datos personales pertenecientes a usuarios de Facebook, si se confirma, es inaceptable“.
Esto no suena como la queja de pequeño calibre sobre un problema puntual, sino más bien la amenaza de un gran ajuste de cuentas. Suena como el tipo de cosas que debería hacer que Facebook quiera contratar abogados antimonopolio realmente buenos.
aml
