La decisión de Loper Bright ha tenido resultados impactantes: la Corte Suprema ha revocado cuarenta años de derecho administrativo, lo que ha dado lugar a posibles litigios sobre la interpretación de leyes ambiguas previamente decididas por agencias federales. Este artículo explora preguntas clave para los profesionales y líderes de la ciberseguridad a medida que entramos en un período más polémico de la ley de ciberseguridad.
Fondo
¿Qué es la Decisión Loper Bright?
La decisión Loper Bright de la Corte Suprema de Estados Unidos anuló la Deferencia de Chevronque establece que los tribunales, no las agencias, decidirán todas las cuestiones de derecho pertinentes que surjan de la revisión de la acción de la agencia. El Tribunal sostuvo que, dado que el texto de la Ley de Procedimiento Administrativo (APA) es claro, las interpretaciones de los estatutos por parte de las agencias no tienen derecho a deferencia. El fallo enfatizó que los tribunales deben ejercer un juicio independiente al decidir si una agencia ha actuado dentro de su autoridad estatutaria. Esta decisión traslada el poder de interpretación de las leyes de las agencias federales al poder judicial.
¿Qué era la Deferencia Chevron?
La deferencia Chevron exigía que los tribunales se sometieran a las interpretaciones razonables de las agencias federales sobre estatutos ambiguos. Se originó en el caso de la Corte Suprema de 1984 Chevron USA, Inc. v. Natural Resources Defense Council. Bajo Chevron, si un estatuto era ambiguo, los tribunales se sometían a la interpretación de la agencia si era razonable. Esta deferencia dio forma al derecho administrativo durante casi 40 años.
¿Qué medidas inmediatas deberían considerar adoptar las empresas ahora para garantizar el cumplimiento de las regulaciones de ciberseguridad que podrían ser impugnadas en los tribunales?
Nada ha cambiado todavía. Sin embargo, para garantizar el cumplimiento de las normas de ciberseguridad que ahora podrían ser impugnadas en los tribunales, las empresas deberían:
- Evaluar los requisitos de ciberseguridad existentes para garantizar que se alineen con las regulaciones actuales respaldadas por una autoridad legal clara.
- Manténgase informado sobre los fallos judiciales y los cambios regulatorios. La eliminación de la deferencia hacia Chevron significa que los tribunales examinarán las interpretaciones de las agencias con mayor atención.
- Esté preparado para actualizar los programas de cumplimiento si los requisitos reglamentarios o legales cambian como resultado de la jurisprudencia.
- Trabaje con expertos legales para navegar por el cambiante panorama regulatorio.
Se implementan controles de ciberseguridad eficaces cuando son asignado a uno o más riesgos acordadosque pueden incluir requisitos regulatorios o legales, así como amenazas externas. Las empresas deberían considerar la posibilidad de actualizar o eliminar controles a la luz de cualquier jurisprudencia futura basada en Loper Bright solo si esos controles existían exclusivamente para fines regulatorios y no mitigaron riesgos adicionales. Las empresas deberían asegurarse de que sus controles tengan una trazabilidad clara a los requisitos para que puedan evaluar rápidamente los efectos de cualquier cambio regulatorio futuro.
¿Cómo afectará la decisión Loper Bright a la aplicación de las regulaciones de ciberseguridad existentes bajo la FTC, la SEC y otros?
La decisión Loper Bright probablemente hará que las regulaciones de ciberseguridad sean más vulnerables a los desafíos legales. Los tribunales ya no se someterán a las interpretaciones de las agencias de estatutos ambiguos y ejercerán su criterio independiente. Este cambio puede conducir a desafíos legales más frecuentes, un mayor escrutinio de las regulaciones y demoras. A continuación, se incluye una lista parcial de las agencias que pueden verse afectadas por litigios después de Loper Bright:
- Comisión Federal de Comercio: Las recientes normas de la FTC en virtud de la Sección 5 incluyen la Norma de Notificación de Violaciones de Salud, y los cambios propuestos a la norma de Protección de la Privacidad Infantil en Línea podrían ser impugnados.
- SEGUNDO: Las Leyes de Valores y Bolsa de 1933 y 1934 no mencionan la ciberseguridad, lo que podría dar lugar a una impugnación del requisito de la SEC de presentar divulgaciones sobre ciberseguridad dentro de los cuatro días siguientes a la determinación de la materialidad.
- Licenciatura en Administración de Empresas: Los reguladores han ampliado recientemente sus normas con una serie de requisitos de notificación de incidentes cibernéticos para las instituciones financieras
- Administración de Seguridad en el Transporte: Las enmiendas de emergencia de la TSA en 2022 para los requisitos de ciberseguridad para los transportistas ferroviarios de pasajeros y mercancías, así como para los operadores de aeropuertos y aeronaves, podrían ser impugnadas.
- CISA: La norma propuesta por la Agencia de Seguridad e Infraestructura Cibernética (CISA) para implementar la Ley de Informes de Incidentes Cibernéticos para Infraestructura Crítica de 2022, que tiene interpretaciones amplias y podría ser impugnada bajo un nuevo escrutinio judicial.
¿Cómo podría la decisión Loper Bright afectar la consistencia de las regulaciones y la aplicación de la ciberseguridad en diferentes jurisdicciones?
La decisión de Loper Bright puede afectar la coherencia de las normas de ciberseguridad y su aplicación en distintas jurisdicciones. Al eliminar la deferencia de Chevron, los tribunales tienen ahora más capacidad para interpretar los estatutos de forma independiente, lo que podría dar lugar a interpretaciones y aplicaciones variadas de las leyes de ciberseguridad. Esta incoherencia podría obligar a las empresas a adaptar sus programas de cumplimiento con mayor frecuencia debido a las distintas interpretaciones en las distintas jurisdicciones.
¿Cómo influirá potencialmente la eliminación de la deferencia de Chevron en el desarrollo de futuras regulaciones de ciberseguridad?
La eliminación de la deferencia de Chevron probablemente creará un entorno regulatorio más fragmentado e inconsistente para la ciberseguridad. Las agencias federales tendrán que proporcionar justificaciones y detalles más convincentes para sus decisiones normativas. Este cambio puede conducir a un mayor escrutinio judicial de las regulaciones existentes y las normas propuestas, lo que dificultará que agencias como la FTC y la CISA se adapten rápidamente a las nuevas amenazas.
Los tribunales tendrán en cuenta el poder persuasivo de las interpretaciones de los organismos, y darán importancia a su experiencia sólo si es especialmente informativa y se basa en un razonamiento exhaustivo y coherente. Es probable que este cambio dé lugar a un aumento de los desafíos legales a las normas de ciberseguridad existentes y a la elaboración de nuevas normas, lo que complicará los esfuerzos de cumplimiento.
¿Qué papel puede desempeñar la interpretación judicial a la hora de definir el alcance de la normativa sobre ciberseguridad tras el caso Loper Bright?
La interpretación judicial desempeñará un papel importante a la hora de definir el alcance de las normas de ciberseguridad después del caso Loper Bright. Los tribunales evaluarán de forma independiente la autoridad legal de los organismos, lo que dará lugar a entornos regulatorios potencialmente más fragmentados e inconsistentes. Este cambio requiere una reevaluación de los enfoques de cumplimiento y promoción regulatorios.
En última instancia, la decisión subraya la necesidad de que el Congreso proporcione una orientación legal más clara para que las regulaciones de ciberseguridad resistan la revisión judicial.