A principios de este año, el Departamento de Comercio de EE.UU. propuso una regla regulatoria radical eso obligaría a los proveedores de servicios en la nube a recopilar y retener información personal de sus usuarios, particularmente aquellos que se encuentran fuera de los Estados Unidos.

Esta regulación, impulsada por las Órdenes Ejecutivas del presidente Joe Biden sobre el “Emergencia nacional con respecto a importantes actividades cibernéticas maliciosas”, requeriría un amplio mantenimiento de registros y recopilación de datos de usuario para todos los proveedores de infraestructura como servicio (IaaS), empresas que ofrecen lo que comúnmente se conoce como máquinas virtuales, servidores web, computación y almacenamiento en la nube, redes privadas virtuales (VPN), Bitcoin. y nodos de criptomonedas, modelos de inteligencia artificial y mucho más.

Los objetivos previstos son servicios que tienen clientes en el extranjero, con el fin de detener a piratas informáticos y actores extranjeros maliciosos, pero la regla está redactada de manera lo suficientemente amplia como para que cualquier proveedor de nube que no capture esta información de sus usuarios nacionales en los EE. UU. sería responsable de acciones civiles y penalidades criminales.

El Centro de Elección del Consumidor comentarios enviados para oponerse a la regla propuesta por el Departamento de Comercio, solicitando varios cambios y modificaciones para proteger mejor los datos y la privacidad del consumidor.

Se encuentra a continuación:

Los excesivos requisitos de identidad KYC para los proveedores de la nube ponen a los consumidores en riesgo y amenazan la libertad de expresión y el comercio en línea

Estimado Subsecretario Alan F. Estevez,

El Consumer Choice Center es un grupo de defensa del consumidor independiente y no partidista que defiende los beneficios de la libertad de elección, la innovación y la abundancia en la vida cotidiana. 

Como organización que representa a los consumidores de todo el país, estamos profundamente preocupados por la norma propuesta que exige importantes procedimientos de Conozca a su Cliente (KYC) para todos y cada uno de los proveedores de Infraestructura como Servicio (IaaS), como se detalla en Expediente No. DOC-2021-0007. 

Si estas reglas tal como están entran en vigencia, tendrán consecuencias inmediatas para los consumidores y usuarios en línea que crean, usan e implementan todo tipo de servicios en línea, servidores, sistemas en la nube y máquinas virtuales. Esto incluye servicios que permiten a los usuarios implementar servidores para alojar su propio contenido privado de documentos y fotografías, nodos de Bitcoin y criptomonedas, modelos de inteligencia artificial, redes privadas virtuales (VPN) y más, de acuerdo con los términos de servicio ofrecidos por los proveedores de IaaS.

Si bien estas reglas tienen como objetivo proporcionar un acceso más inmediato a información y datos sobre actores extranjeros maliciosos que utilizan la infraestructura de nube estadounidense, en cambio resultarán en un riesgo significativo para la privacidad individual, facilitarán la pérdida o el uso malicioso de datos y otorgarán poderes extraordinarios a las agencias gubernamentales. que son incompatibles con la Constitución de los Estados Unidos y la Declaración de Derechos.

Entendemos que la intención es apuntar a actores hostiles extranjeros, pero el requisito impuesto a los proveedores de servicios estadounidenses requerirá inevitablemente que todos los estadounidenses también proporcionen esta información.

El requisito de que los proveedores de servicios mantengan información personal y financiera exhaustiva sobre sus clientes presenta no sólo una grave violación de la privacidad, sino también un riesgo significativo, ya que miles de proveedores de IaaS estarán en posesión de grandes cantidades de datos personales susceptibles de ser pirateados o filtrados. .

Es más, los organismos encargados de hacer cumplir la ley ya poseen suficientes herramientas y autoridad para seguir procesos legales para adquirir órdenes judiciales y conducir información.

Creemos que esta regla propuesta va demasiado lejos al restringir la capacidad de los estadounidenses de utilizar los servicios en línea que deseen elegir, y limitaría su capacidad de utilizar servidores y servicios en la nube sin un riesgo significativo para su privacidad y sus datos personales.

Además, la información exhaustiva que requiere un servicio que desea ofrecer a los usuarios la capacidad de ejecutar una máquina virtual, un servidor, un modelo de IA o más, necesariamente empujará a la mayoría de los estadounidenses a optar por no utilizar los servicios nacionales por completo, generando consecuencias económicas no calculadas. en los costos de cumplimiento de la regla propuesta.

Recomendaríamos que esta regla se revise por completo, eliminando los importantes riesgos de privacidad que la recopilación de KYC en proveedores de IaaS requeriría para los usuarios domésticos, así como la autoridad duplicada y extralegal que se otorgaría a los agentes del orden, en contravención del derecho constitucional.

A continuación, enumeramos las dos principales áreas de preocupación para los consumidores estadounidenses.

Requisitos KYC para usuarios extranjeros aplicados a usuarios nacionales

Como se señala en el Fondo Como se proporciona en la Información complementaria de la norma, estas nuevas facultades requerirían que los proveedores de servicios segmenten a los usuarios según su país de origen:

Para abordar estas amenazas, el Presidente emitió la EO 13984, “Tomar medidas adicionales para abordar la emergencia nacional con respecto a actividades cibernéticas maliciosas significativas”, que otorga al Departamento autoridad para exigir a los proveedores de IaaS de EE. UU. que verifiquen la identidad de los usuarios extranjeros de productos IaaS de EE. UU., para emitir estándares y procedimientos que el Departamento puede utilizar para llegar a un dictamen que exima a los proveedores de IaaS de tal requisito, para imponer obligaciones de mantenimiento de registros con respecto a los usuarios extranjeros de productos IaaS de EE. UU. y para limitar el acceso de ciertos actores extranjeros a Productos IaaS de EE. UU. en circunstancias apropiadas.

Sin embargo, para que los proveedores de IaaS puedan determinar efectivamente la ubicación de un usuario, la fuerza de la ley (y el riesgo de sanciones civiles y penales) les exigirá que registren, categoricen y documenten la ubicación de un usuario y la información personal que la acompaña, independientemente de su ubicación, todo en un esfuerzo por determinar si un usuario potencial sería considerado un “usuario extranjero” o una persona beneficiaria.

Esto conducirá a una mayor recopilación de información similar a cuentas bancarias y transacciones financieras, lo que dará lugar a requisitos generalizados de "Conozca a su cliente" (KYC) que nunca se han aplicado a este nivel a los servicios en línea.

Más allá de la aprobación del Congreso, creemos que esta regulación propuesta excede con creces los límites de la autoridad de la agencia, ya sea del Departamento de Comercio o a través de las Órdenes Ejecutivas mencionadas, y crearía áreas significativas de riesgo para los usuarios comunes y la ubicación de los clientes tanto en el extranjero como dentro de los Estados Unidos. .

Además, la aplicación y definición amplia de un servicio cubierto: “cualquier producto o servicio ofrecido a un consumidor, incluidas ofertas complementarias o de “prueba”, que proporciona procesamiento, almacenamiento, redes u otros recursos informáticos fundamentales, y con los que el consumidor es capaz de implementar y ejecutar software que no está predefinido, incluidos sistemas operativos y aplicaciones”; esencialmente significa que cualquier servicio en la nube estaría dentro del alcance de esta regulación.

El riesgo de violaciones de la privacidad

Como se exigiría a los proveedores de servicios que mantuvieran un programa sólido de identificación de clientes, como se describe en el artículo 7.302, esto impondría a todos los proveedores de la nube la responsabilidad de recopilar y conservar el nombre completo, la dirección, el número de tarjeta de crédito, los números de moneda virtual, el correo electrónico, el número de teléfono. números, direcciones IP y más sobre cualquier cliente potencial de su servicio.

Si bien apreciamos que los proveedores de nube privada y las empresas de IaaS tengan la libertad de determinar cómo estructuran sus programas de identificación de clientes, creemos que el requisito de recopilar esta información y almacenarla localmente constituirá un alto potencial para que se acceda a esa información sin autorización. , ya sea por hackeos, filtraciones u otra actividad maliciosa. 

Debido a que los proveedores de servicios deberán catalogar esta información durante años, esto inevitablemente resultará ser un objetivo de alto valor para los actores maliciosos, al tiempo que proporcionará un beneficio mínimo a las agencias encargadas de hacer cumplir la ley que ya pueden obtener legalmente esta información a través de órdenes ejecutadas legalmente. .

Poderes extraordinarios y duplicados

Los organismos encargados de hacer cumplir la ley a nivel federal, estatal y local ya poseen las herramientas legales para citar o solicitar proveedores de nube de datos o proveedores de VPN con órdenes judiciales obtenidas legalmente. 

El hecho de que a los proveedores de IaaS se les exija no solo retener esta información, sino también “notificar” preventivamente a las autoridades sin ninguna orden judicial o sospecha de un delito, viola la Cuarta Enmienda y la Cláusula del Debido Proceso según se interpreta a partir de las Enmiendas Quinta y Decimocuarta.

La Sección § 7.306(d) establece la estipulación para estar exento de los requisitos como "cooperación voluntaria" con las agencias de aplicación de la ley, y luego obliga a los proveedores a permitir el acceso a "información forense para investigaciones de actividades cibernéticas maliciosas identificadas". 

Creemos que sería fácil abusar de esto, ya que proporcionaría un camino legal para que las empresas divulguen información de sus clientes a las autoridades gubernamentales más allá de lo necesario y legal, y proporcionaría incentivos para que las empresas y compañías envíen voluntariamente información sobre sus clientes a agencias gubernamentales, autoridades legales. agentes encargados de hacer cumplir la ley, y más.

Tal como está escrito, creemos que esta regla propuesta se ha ofrecido apresuradamente y probablemente generará daños y riesgos significativos para los datos, la privacidad y la libertad de los consumidores para participar en el libre comercio. Instamos a que se reescriba esta regla teniendo en cuenta estas preocupaciones.

Sinceramente tuyo,

Yaël Ossowski

Subdirector,

Centro de elección del consumidor