Las últimas semanas han sido tensas para quienes se toman en serio las cuestiones de privacidad. En primer lugar, estaba Edward Snowden con otra fuga masiva de NSA, lo que corrobora las sospechas, ya de por sí espesas en el aire, de que los servicios de inteligencia están realmente detrás de la información personal de los usuarios de Bitcoin. Entonces, en medio de las consecuencias de la noticia de que Facebook había entregado casualmente los datos privados de sus 87 millones de usuarios a una desagradable empresa electoral, el Congreso de los EE.UU. se metió en una importante pieza de legislación sobre privacidad en línea , conocida como la Ley de Aclaración del Uso Legítimo de Datos en el Extranjero (CLOUD, por sus siglas en inglés).
El documento estaba enmarcado en un proyecto de ley de gastos generales de un billón y medio de dólares y, por lo tanto, no tenía ninguna posibilidad de una revisión legislativa seria por su parte. A pesar del alboroto inicial que suscitó tanto entre los activistas de la privacidad en línea como entre algunas figuras prominentes de la comunidad criptográfica, la preocupación pública inmediata por el tema parece estar desapareciendo. Pero no lo descartemos tan rápido: mientras que las implicaciones de la Ley CLOUD sobre la regulación de la privacidad ya están en pleno apogeo, vale la pena echar un vistazo a lo que está dentro de la ley y lo que contiene para los usuarios de criptodivisas.
Quién está detrás, a favor y en contra de la ley CLOUD
Patrocinada por el senador republicano Orrin Hatch, que pronto se retirará, el proyecto de ley encontró pocos opositores directos en el Capitolio. La notable, aunque no sorprendente, excepción fue el libertario Rand Paul, quien desató una serie de ardientes tweets sobre la Ley en los días previos a la votación. La oposición pública más prominente provino de una alineación de grupos de defensa: una coalición liderada por la Unión Americana de Libertades Civiles (ACLU), que en una carta llamó a la Ley nada más que "una grave amenaza a las libertades civiles", así como de la ya mencionada Electronic Frontier Foundation, el grupo que expresó su preocupación por el potencial de la Ley CLOUD para permitir al gobierno eludir la Cuarta Enmienda.
Para un observador externo, podría parecer contrario a la intuición que el frente unido de las grandes armas de la tecnología, incluyendo a Apple, Google, Facebook, Microsoft y Juramento, se había comprometido anteriormente a apoyar unánimemente la iniciativa que está diseñada para instarles a compartir los datos de los usuarios con el gobierno. Sin embargo, empieza a tener mucho más sentido si se tiene en cuenta el thriller de años en los tribunales que llegó a conocerse como Estados Unidos contra Microsoft Corp. Un caso que ahora es de la Corte Suprema, trata exactamente el mismo tema que el que aborda la Ley CLOUD. Es decir, si una compañía de tecnología estadounidense puede negarse a cumplir con una orden de allanamiento ordenada por un tribunal que busca acceso a los datos de usuario almacenados en un servidor fuera de los Estados Unidos.
El caso surgió con respecto a una orden del gobierno federal de 2013 que ordenaba a Microsoft entregar a las fuerzas de seguridad un correo electrónico almacenado en su centro de datos irlandés. . La Corte Suprema debería haber tomado su decisión este verano; según todas las proyecciones, las posibilidades de que Microsoft saliera victorioso eran escasas. La probable revocación por parte de la Corte Suprema de la decisión sobre el circuito (que estaba a favor de Microsoft) habría creado un claro precedente para todos los casos similares por venir - el que a la gran tecnología no le gustaría en absoluto.
La ley CLOUD presenta una salida más aceptable a este estancamiento de las plataformas de comunicación. No sólo establece un marco jurídico no ambiguo para casos similares, sino que también proporciona a las empresas estadounidenses una posición más ventajosa a la hora de gestionar dichas solicitudes frente a gobiernos extranjeros. El Departamento de Justicia ya ha iniciado el proceso de anulación del caso, mientras que tanto los magistrados de la Corte Suprema como los representantes de Microsoft no parecían estar nada decepcionados con el hecho de que el caso Estados Unidos contra Microsoft Corp. fuera discutible.
¿Qué es exactamente la ley CLOUD?
Básicamente, la Ley hace dos cosas con los datos que almacenan las empresas tecnológicas estadounidenses. En primer lugar, extiende el alcance jurisdiccional del gobierno de los EE.UU. sobre ellos, independientemente de la ubicación física del centro de alojamiento de datos. Además, redefine las normas de la cooperación internacional de los Estados Unidos en materia de datos, simplificando el procedimiento y eximiéndolo casi totalmente del control judicial.
La primera cláusula es bastante sencilla. Desde el día en que la ley CLOUD se convierte en ley, todos los datos alojados por cualquier proveedor estadounidense en cualquier parte del mundo son un juego limpio para las fuerzas del orden estadounidenses, desde la policía local hasta los federales. Si hay una orden judicial, hay que cumplirla. Sin embargo, es la parte de la cooperación internacional la que parece ser la más polémica. La Ley obliga a los proveedores estadounidenses de servicios de comunicación electrónica (ECS) o de servicios de computación remota (RCS) a cumplir con las mismas solicitudes de los gobiernos extranjeros que han firmado acuerdos bilaterales con los Estados Unidos.
La Ley CLOUD modifica la Ley de Comunicaciones Almacenadas de 1986, de donde también extrae el lenguaje anticuado de las ECS y las RCS. Bajo la antigua ley, el procedimiento internacional incluía la firma de Tratados de Asistencia Legal Mutua (MLAT, por sus siglas en inglés), acuerdos que requerían la aprobación del Congreso. La nueva legislación elimina la revisión legislativa y otorga la facultad de aprobar acuerdos bilaterales al ejecutivo, es decir, al fiscal general y al secretario de Estado.
En efecto, esto significa que el poder ejecutivo puede decidir unilateralmente qué gobiernos tienen acceso a los datos de los usuarios de Facebook y Google. La ley contiene el lenguaje que obliga a los funcionarios de los EE.UU. a asegurar que el sistema legal de la nación socia tenga suficientes protecciones robustas para la privacidad de los ciudadanos, y las solicitudes no sirven para abreviar la libertad de expresión. Sin embargo, los defensores de la privacidad citan la vaguedad de estas formulaciones y la falta de criterios concretos que el ejecutivo debe aplicar. Otra gran preocupación es que bajo la Ley CLOUD, a diferencia de la ley que había enmendado, las solicitudes de datos de gobiernos extranjeros pueden ser aprobadas sin necesidad de acudir a un tribunal estadounidense.
Si bien los defensores de la privacidad se quejan de toda la discrecionalidad que la Ley otorga al ejecutivo, junto con la falta general de transparencia y supervisión procesal, algunas mentes jurídicas sugieren que el nuevo sistema podría resultar más eficiente que el basado en los Tratados de Asistencia Legal Mutua. Las solicitudes en curso se resolverán rápidamente sin necesidad de esperar meses y meses para la aprobación del Congreso.
En general, los expertos vislumbran un mundo en el que Estados Unidos formaría un "club" de naciones de ideas afines con sistemas jurídicos similares. Los miembros de este club, vinculados por acuerdos bilaterales con los EE.UU., cooperarán ampliamente en el intercambio de datos de los usuarios con fines policiales. Los datos almacenados en terceros países seguirán siendo accesibles a los funcionarios de los EE.UU. por orden judicial, pero las leyes nacionales de los países de acogida pasarán a ser irrelevantes en tales casos.
¿Qué hay en todo eso para el cripto?
El principal problema que cualquier gobierno tiene con las criptomonedas es que permiten transacciones anónimas. Ahora, la trampa es que la mayoría de las criptomonedas no son anónimas, como dice la creencia popular, sino más bien seudónimas. Una vez que es posible vincular, por ejemplo, una dirección de Bitcoin a la identidad de su propietario, el libro de contabilidad público está abierto para rastrear todas las transacciones que han pasado por la persona.
Los gobiernos tienen un interés obvio en establecer tales vínculos. El análisis forense de las cadenas de bloques se ha convertido en una industria lucrativa, con empresas líderes como Chainalysis y Elliptic cooperando con los organismos encargados de hacer cumplir la ley en todo el mundo. Hemos aprendido bien que el IRS está ansioso por conocer las identidades de los comerciantes de cripto para poder gravar sus ganancias, mientras que la NSA quiere rastrear a cada satoshi que posiblemente haya pasado por cadenas de suministro terroristas. Los incentivos y las herramientas están en su lugar. Ahora, la Ley CLOUD entra en escena.
¿A quién va dirigido?
La primera cuestión es el alcance de la ley. ¿Qué empresas se verán obligadas a entregar los datos privados de los usuarios a los Estados Unidos y a gobiernos extranjeros? Al igual que en la Ley de Comunicaciones Almacenadas de 1986, el lenguaje sigue girando en torno a los viejos proveedores de "servicios de comunicaciones electrónicas" y "servicios informáticos remotos", los espíritus de los primeros tiempos de Internet. Pero, ¿quiénes son esos? A lo largo de más de tres décadas de fallos, los tribunales han aplicado estas etiquetas a todo tipo de entidades, desde una ciudad que presta servicios de buscapersonas a sus agentes de policía hasta una aerolínea que gestiona un sistema centralizado de reservas electrónicas. La buena noticia es que en todos estos casos las organizaciones consideradas ECSP's estaban permitiendo el intercambio y almacenamiento de mensajes; El mero hecho de conservar los datos personales del usuario no hace que un sitio web se considere automáticamente un ECSP. Según esta lógica, los intercambios en línea como Coinbase o Kraken, que no permiten a los usuarios intercambiar mensajes, quedarían fuera del ámbito de aplicación de la Ley. Por otra parte, todos recordamos demasiado bien que el IRS tiene sus propios medios de que obligan a los intercambios de cripto a entregar los datos de los usuarios.
Sin embargo, en el ámbito de la Ley CLOUD, hay empresas que facilitan directamente la comunicación: servicios de correo electrónico, plataformas de redes sociales y mensajeros. Puede parecer que no es un gran problema en la cara - después de todo, ¿quién comparte sus direcciones de cartera BTC en Facebook? No tenemos encuestas sobre eso, pero el sentido común sugiere que no son muchos. Antes de que pueda tener lugar una transacción cripto, las partes deben de alguna manera comunicarse todos los detalles necesarios entre sí, y no todo el mundo utiliza mensajeros encriptados para ese fin. Por lo tanto, las comunicaciones personales están potencialmente llenas de detalles que están al menos indirectamente relacionados con las cripto identidades de las personas.
¿Qué información puede obtener la policía?
Bajo la Cuarta Enmienda, el gobierno sólo puede buscar la evidencia que la orden de registro ordenada por la corte le autoriza a buscar. Si, digamos, la policía está dentro de la casa de alguien buscando un cadáver, el paquete de hierba que se encuentra debajo del fregadero de la cocina no puede ser usado en la corte como evidencia de un crimen no relacionado que los oficiales habían descubierto ocasionalmente en el camino. Bueno, al menos así es como se supone que debe funcionar. Del mismo modo, cuando la NSA escudriña el correo electrónico de un sospechoso en busca de propaganda terrorista y encuentra las direcciones de la billetera de BTC de todas las personas presuntamente inocentes con las que el sospechoso haya realizado transacciones con fines no relacionados, debe dejar esta información en paz. Sin embargo, la tentación está ahí para no hacerlo. Y con la falta de supervisión, la tentación es aún mayor.
El software en el que se basan las startups tipo "Blockchain detective" realiza análisis de red para identificar clusters de billeteras asociadas. La eficiencia de este tipo de inferencia es proporcional a la cantidad de datos que se ingresan al modelo. Por lo tanto, existe un claro incentivo para que los investigadores dispongan de los datos más completos, incluso sobre aquellos que no están directamente involucrados en delitos, para que puedan trazar mejor la red Blockchain. Las recientes revelaciones de Snowden ilustran cómo los servicios de inteligencia están dispuestos a hacer todo lo posible para obtener los datos de los usuarios de cripto, y lo poco escrupulosos que pueden ser a la hora de elegir los medios para hacerlo. Por supuesto, donde hay herramientas como aprovechar el tráfico de red troncal en bruto y crear todos los servicios VPN falsos en juego, la recopilación no autorizada de datos de usuario incidentales mientras se busca bajo órdenes legítimas puede parecer poco importante. Sin embargo, sigue siendo un escenario factible bajo el cual los ciudadanos respetuosos de la ley, que son la gran mayoría de los usuarios de cripto, pueden perder el control sobre sus datos personales.
Si eso es lo que las agencias de inteligencia estadounidenses ya hacen de forma rutinaria, es poco probable que la aprobación de la Ley CLOUD marque una gran diferencia más allá de concederles un acceso potencial a aún más datos almacenados por las telecomunicaciones nacionales. Sin embargo, lo que hace que la Ley sea profundamente consecuente a escala mundial es que podría dar la misma libertad a las fuerzas del orden de otros países. Sin duda, estos gobiernos no estarán entre los más opresivos, pero la falta de garantías procesales en la aprobación de acuerdos bilaterales, así como la falta de supervisión judicial en el manejo de las solicitudes individuales de datos, podría producir un entorno en el que el poder de las fuerzas del orden para solicitar y utilizar información personal de los usuarios de Facebook, Twitter y Gmail en todo el mundo quede casi totalmente desprotegido.
Aunque parezca intimidante, también existe otra posibilidad que los defensores de la privacidad tienden a considerar con menos frecuencia: que las nuevas normas sobre el uso de datos podrían resultar eficaces para ayudar a las autoridades policiales y aduaneras a hacer su trabajo. Si bien esto sigue siendo posible, también es cierto que muy pronto más personas, en números brutos, tendrán acceso a datos más sensibles, entre los que pueden encontrarse accidentalmente la dirección de su billetera y las transacciones cripto. Si este pensamiento le incomoda, siga el consejo de Andreas Antonopoulos y "volverse oscuro" sigue siendo una buena opción.