Por: Lcdo. Roberto L. López Dávila*
Esta es la segunda entrega de una serie de tres artículos acerca de las repercusiones que estará experimentando la práctica de la profesión legal en Puerto Rico a consecuencia de la progresiva digitalización de la sociedad puertorriqueña y las respuestas del proyecto de Código de Conducta Profesional, sometido ante la consideración del Tribunal Supremo de Puerto Rico, para afrontar solventemente dichos retos. Luego de haber discutido la competencia tecnológica en la primera entrega1, en esta segunda nota se aborda el tema de la protección de la confidencialidad de la información de los clientes en el actual ecosistema legal digital y descentralizado.
Protección de la información de los clientes en el nuevo entorno digital
Una de las áreas en las que se logra advertir claramente la necesidad de que nuestra clase jurídica cuente con la competencia tecnológica básica sobre la cual hicimos referencia en la primera entrega publicada es en el ámbito atinente al deber de nuestros abogados y abogadas de proteger la confidencialidad de la información de sus clientes, pero ahora en el emergente entorno digital y en red. Se trata de un área que promete generar auténticos e impredecibles retos a nuestros profesionales del derecho en lo sucesivo.
Hasta hace muy poco los abogados y abogadas tenían en el soporte papel el instrumento vehicular por el que, casi de forma exclusiva, generaban, almacenaban y transmitían la información sobre la representación de sus clientes. A excepción del uso del teléfono (que incluye también el telefax), todos los medios empleados por nuestra clase jurídica planteaban la gestión esencialmente física de la información a través de técnicas y mecanismos tangibles. Por consiguiente, al manejarse la información de los clientes básicamente en papel, las medidas de seguridad que los profesionales del derecho utilizaban para garantizar la confidencialidad de dichos datos eran, lógicamente, consustanciales a las características inherentes a ese tipo de soporte, a saber: colocación de los documentos con información de clientes en expedientes físicos, ordenados en archivos clasificados por la naturaleza de la información, incluyendo la categoría de «confidencial»; colocación de documentos en armarios bajo llave; cajas fuertes para la protección de documentos altamente sensibles e incluso para custodiar bienes objetos de litigio, entre otras medidas. Bajo esta arquitectura de gestión, el control sobre la información de los clientes estaba esencialmente centralizada; el abogado o abogada sabía dónde estaba la información, la cual se hallaba concentrada básicamente en un solo lugar, por lo que bastaba que se impidiera el acceso a personas ajenas al bufete u oficina al lugar destinado para el almacenamiento de los expedientes para mantener su seguridad, así como tomar previsiones frente a incendios, inundaciones u otros accidentes naturales, entre otras medidas parecidas.
En la actualidad, la apuntada realidad está cambiando a ritmo de vértigo. Como ha venido sucediendo con los demás integrantes de la sociedad al igual que con profesionales de otras disciplinas, los abogados y abogadas están utilizando, cada vez con mayor frecuencia y alcance, las nuevas tecnologías para manejar la información de sus clientes, lo que implica la generación, almacenamiento y divulgación de la misma en formato digital, o lo que es lo mismo, en régimen binario (representada en conjuntos de 1’s y 0’s). Esta progresiva digitalización de la información por los abogados y abogadas ha hecho posible su uso convergente a través de distintos medios, plataformas y soportes. Ya es habitual que los profesionales del derecho, como parte de su práctica cotidiana, muevan continuamente información derivada de la representación de sus clientes a través de diversos dispositivos: por ejemplo, que la generen en sus teléfonos inteligentes, luego la pasen a sus computadoras portátiles o tabletas para hacerle ajustes o adiciones, y finalmente la remitan a la computadora de escritorio de sus oficinas. Una dinámica como la descrita, la cual, insistimos, es cada vez más típica de la práctica de la profesión, supone, no solo el almacenamiento de información en varios dispositivos y computadoras, susceptibles todos ellos de ser accedidos por terceros no autorizados o de divulgación no autorizada o inadvertida (de no adoptarse las medidas de seguridad apropiadas), sino también el tránsito de estos datos privilegiados a través de múltiples redes (que incluyen redes Wi-Fi abiertas sin protección) gestionadas por varios proveedores de servicios de conexión y de contenidos, cuyas actuaciones podría afectar la integridad de estos datos o incluso ponerlos a disposición de personas no autorizadas a accederlos. Y todo ello, sin que necesariamente el abogado o abogada de que se trate sea consciente de la ocurrencia de tales potenciales vulneraciones. En un medio ambiente profundamente centrifugado y descentralizado como el expuesto, el cumplimiento por parte de los abogados y abogadas de su deber ético de no divulgar información sobre la representación de sus clientes es, y sin duda lo seguirá siendo en el futuro, un auténtico desafío. Un ecosistema como este demandará -como lo fue entonces para el mundo del papel- salvaguardas, medidas y protocolos propios a sus características; a saber, consustanciales a las tecnologías de la información y la comunicación en que está vertebrado. Aquí la naturaleza perentoria de la ya aludida competencia y orientación tecnológica de nuestros togados adquiere sentido palmario2. Solo así podrán estar en condiciones de valorar el conjunto de medidas de seguridad administrativas, físicas y, sobre todo tecnológicas, que deberán adoptar para proteger de manera solvente la información de sus clientes en esta era digital3.
La comprensión de esta necesidad condujo al criterio de la ABA Commission on Ethics 20/20 de que las enmiendas que impulsara -y que finalmente fueran aprobadas- sobre el deber de competencia dispuesto en la Regla 1.1, así como sobre el deber de confidencialidad consagrado en la Regla 1.6 de las Reglas Modelo, debían leerse de manera conjunta e integral. Con ello se pretendió dejar clara constancia de la relación estrecha entre la competencia tecnológica de los abogados y la correcta ejecución de su deber de proteger la confidencialidad de la información de sus clientes en el creciente medioambiente digital4.
Esta perspectiva y sensibilidad será cada vez más necesaria en la medida en que nuestros profesionales sigan incorporando, como está sucediendo, nuevos mecanismos tecnológicos de apoyo a una emergente práctica legal móvil.
Aprovechando la flexibilidad y conveniencia propias de la computación en nube o cloud computing5, así como su escalabilidad, por impulso de la necesidad que los tiempos imponen de reducir costos de operación, los abogados y abogadas han comenzado a apreciar las ventajas que para sus prácticas aporta este modelo de servicio6. Esta plataforma innovadora les permite acceder y gestionar información de sus clientes desde cualquier lugar, a través de cualquier dispositivo con conectividad a la Internet, en tiempo real y, en algunos casos incluso, de forma colaborativa con otros usuarios de sus oficinas7. Sin embargo, los riesgos de seguridad que plantea un modelo como este, en el que un tercero, proveedor de un servicio con ánimo de lucro, gestiona y almacena la información privilegiada de abogados y abogadas en bases de datos que en muchos casos ni siquiera se hallan ubicados físicamente en el ámbito territorial de Puerto Rico, son extraordinarios.
A estas amenazas habrá que añadir la tendencia emergente por la que los sistemas informáticos de bufetes en Estados Unidos, particularmente de los más reconocidos, están siendo objeto de ataques de todo tipo por piratas informáticos o «hackers», con la finalidad, entre otras, de acceder a la valiosa información que poseen sobre sus clientes8. Y es que a veces se olvida que los abogados y abogadas gestionan y conservan probablemente de las informaciones de mayor calidad, valor y sensibilidad disponibles, pues buena parte de ellas se refieren a litigación que involucra a las compañías más importantes. Incluyen desde información sobre planes futuros de empresas, propiedad intelectual, patentes, datos relativos a fusiones y adquisiciones empresariales, lista de clientes, hasta datos de seguro social, licencia de conducir, información financiera y de salud.
El acceso no autorizado a toda esta información puede dar lugar, entre otros efectos lesivos, a robo de identidad, fraude, a pérdidas financieras considerables e incluso, y no menos importante, a pérdida de la confianza de los consumidores y daños irreparables a la reputación tanto de las empresas concernidas como del bufete atacado9. Pero, es que además de tratarse de blancos tentadores, como ha quedado dicho, por la rentabilidad de la información que manejan, los bufetes son a la vez objetivos de ataque manifiestamente débiles10. Esto se debe, a propósito de la reiterada necesidad de capacitación tecnológica de los profesionales del derecho, a que estos carecen de una cultura e instinto de ciberseguridad. Piensan que debido al pequeño tamaño de sus oficinas y organizaciones son inmunes a este tipo de ataques, en la medida en que consideran que los mismos están reservados a las grandes compañías comerciales o en su caso a las instituciones públicas estratégicas, así como a aquellas instalaciones destinadas a la prestación de servicios esenciales, como la electricidad o el agua potable11. Esto se traduce en sistemas de seguridad informática poco robustos al interior de los bufetes cuyas vulnerabilidades quedan entonces susceptibles de ser explotadas por hackers con herramientas cada vez más potentes12.
Dada la importancia apreciable de este tema para la práctica presente y futura de la profesión, es por lo que nos parece correcto el lenguaje que propone el Secretariado en la parte pertinente de la Regla 3.7 del proyecto de Código, que versa sobre la confidencialidad de la información habida entre un abogado o abogada y sus clientes. A los fines de cumplir con el imperativo ético de no divulgar información relacionada con la representación de su cliente, o de otro anterior, que prescribe el inciso (a) de la antedicha Regla 3.7, su inciso (f) demanda a todo abogado o abogada a que tome las «medidas razonables y necesarias» para «prevenir» la divulgación inadvertida, no autorizada o el acceso no autorizado a este tipo de información privilegiada. Se advierte un enfoque proactivo y de control ex ante en el objetivo de «prevención» en el que se informa el precepto, con miras a que los riesgos asociados a la divulgación inadvertida o no autorizada, así como con respecto al acceso no consentido a información confidencial a los que está y seguirá estando sujeta la misma, sobre todo en esta era electrónica, puedan minimizarse.
Nunca, pues, podrán eliminarse del todo estos riesgos; lo razonable es que logren reducirse por vía de la aproximación «preventiva» a la que alude el precepto de referencia, lo cual nos parece atinado.
Ahora bien, la Regla 3.7 no define cuáles son las «medidas razonables y necesarias» que los abogados y abogadas deben adoptar para dar por satisfecha su obligación de velar por la confidencialidad de la información de sus clientes. Tampoco aporta guías concretas que orienten a los profesionales del derecho para seleccionar opciones de seguridad que se ajusten al deber garantista que le atribuye la norma ni siquiera en la parte correspondiente a los comentarios de la misma. Consideramos que el déficit de criterios orientadores que acusa la regla debe corregirse. Aun reconociendo que, dada la rapidez con que se renuevan las tecnologías, no resulta aconsejable hacer expresiones categóricas sobre factores a considerar al respecto que puedan obedecer a una u otra tecnología concreta, lo cual pudiera afectar la eficacia futura de la regulación, estimamos que algún criterio orientador debería aportarse. De no ser así, nuestros abogados y abogadas carecerán de un referente básico con sujeción al cual calibrar si su actuación preventiva es lo suficientemente razonable como para entender que han dada cumplimiento solvente a su deber ético de proteger las confidencias de sus clientes, particularmente al proyectarse el ejercicio de tal obligación en un ecosistema tan fluido y complejo como es el digital13.
Por otra parte, creemos que debe irse más lejos en el contenido del inciso (a) de la Regla 3.7 del proyecto de Código, al efecto de consignar en su texto que la obligación ética que mandata la disposición a los abogados y abogadas de no divulgar datos confidenciales de sus clientes, resulta de aplicación con independencia del medio utilizado para generar, almacenar o transmitir dicha información (en línea con el principio de neutralidad tecnológica)14. Con lo cual, nuestros profesionales del derecho quedarían debidamente advertidos que este imperativo, junto a las demás exigencias complementarias del precepto, son también de obligado cumplimiento con respecto a la información confidencial dimanante y encausada a través de las tecnologías actuales, así como por aquellas que surjan en el futuro15.
a. Cloud Computing
El uso de la tecnología de cloud computing, a la que ya hicimos referencia, como apoyo a la práctica de la profesión jurídica, suscita, a nuestro modo de ver, una serie de importantes interrogantes en lo que respecta a la debida observancia de este deber de protección de información privilegiada por los abogados y abogadas. Y esto es así motivado, principalmente, por las características de funcionamiento de este modelo de servicio, así como por los múltiples riesgos de seguridad que entraña.
Por ejemplo, si, como ha sido demostrado, proveedores de servicios en nube, como lo es la popular empresa Dropbox, acceden como parte de su modelo de funcionamiento, o son susceptibles de acceder, a la información que les remiten sus usuarios para almacenamiento, ¿estaría el profesional del derecho violentando entonces su deber de procurar la confidencialidad de los datos de sus clientes si contrata con estos proveedores para que les presten servicios de almacenamiento bajo las apuntadas condiciones16? Esto, más aún, cuando el abogado o abogada de que se trate ni siquiera sabría o no estaría en condiciones de saber, necesariamente, en qué momento y con cuánta frecuencia dichos accesos se efectúan, pues el control inmediato de la información la tiene el proveedor.
Si, como también se ha acreditado, existen empresas del referido sector que aseguran la información que almacenan mediante técnicas de encriptación, pero retienen las llaves para cifrar y descifrar la misma17, ¿no estaría el abogado o abogada que almacena la información privilegiada en los servidores remotos de estos proveedores exponiendo dicha información al riesgo real de que sea accedida por terceros y, como corolario, a violentar su obligación garantista que tienen frente a sus clientes18?
A esto habrá que sumar los fallos de seguridad de que adolecen las plataformas de algunas entidades de cloud computing, según así lo han revelado investigadores que han puesto a prueba sus niveles de protección informática19. También conviene tener presente que el «acuerdo de los términos del servicio» (que es el marco de contratación típica para este tipo de modelo de negocio) de la mayoría de los proveedores del sector, contempla la previsión de que estos se reservan la facultad de divulgar la información encomendada por sus clientes de recibir una orden o requerimiento al efecto, particularmente de origen judicial o legal20.
Desde luego, reconocemos que un Código de Ética no podría anticipar todos estos matices ni dar respuestas concretas a supuestos que están condicionados no solo por las circunstancias que puedan concurrir, sino también por la evolución de una tecnología que, por lo demás, aún no adquirido su plena madurez, particularmente en Puerto Rico. Tampoco pretendemos que el Código tenga este alcance previsor a ultranza. Ahora bien, esto no es incompatible con que se proporcionen lineamientos básicos de orientación a los profesionales del derecho para que, en caso de que decidan utilizar esta tecnología emergente, lo hagan con conciencia y con la debida guía ética21. De ahí que seamos del criterio que este es un asunto que merece un tratamiento particular, quizá a través de unas guías o de un manual con recomendaciones prácticas y técnicas, dirigidas a la incorporación ética de las tecnologías en nube al ejercicio de la práctica de los abogados y abogadas22.
b. Metadata
Un nuevo reto, inexistente en la práctica de la profesión del pasado –predicada exclusivamente en el papel-, que está generando la actual sociedad de la información sobre el deber de los abogados y abogadas de proteger las confidencias de sus clientes, lo plantea la inclusión inadvertida de información confidencial dentro de las comunicaciones que habitualmente transmiten entre sí los representantes legales por vía electrónica. Estos datos, subsumidos dentro de o asociados a documentos electrónicos, es lo que técnicamente se conoce como metadata23.
Por las propias características de las aplicaciones que usualmente se utilizan para procesar información digital en distintos contextos, se van generando una serie de datos asociados al documento digital sobre el cual se está trabajando que ofrecen elementos descriptivos del mismo; datos estos que, contrario al documento que describen, no se ven a simple vista. Ejemplos de este tipo de datos «incrustados» en los documentos electrónicos son aquellos que describen el historial de cambios sufridos por un documento trabajado en un procesador de palabras; aquellos que indican la autoría del documento; su fecha de creación, modificación y remisión, la fecha de recepción, entre otros. Todos ellos son manifestaciones de metadata, particularmente de una de las tipologías del concepto que se conoce en inglés como Embedded Metadata (metadatos empotrados)24.
Al trasladar este fenómeno tecnológico al ámbito de la práctica de la profesión, se verá que muchos de los documentos que generan los abogados y abogadas en soporte digital son el resultado de intercambios de comunicaciones entre estos y sus clientes, cuyo contenido queda registrado en esas interacciones electrónicas, aun cuando no se advierte de la faz de los documentos. Esa información subyacente puede contener elementos estratégicos de la representación legal, información sensible de los clientes o de terceras personas, así como otros datos asociados a la defensa que un abogado o abogada utilizará en un caso, todos los cuales, por su naturaleza, constituiría información derivada de la representación profesional que el abogado o abogada tendría la obligación de asegurar su confidencialidad, por imperativo ético. En este sentido, tal y como sucede con cualquier información del cliente en formato convencional, el profesional del derecho tendría la obligación de tomar «las medidas razonables y necesarias para prevenir», como lo exige la propuesta Regla 3.7 (f) del proyecto de Código, la divulgación de confidencias derivadas de la representación contenidas en metadata incrustada en documentos transmitidos a otro abogado o abogada25.
Frente a supuestos en los que se producen divulgaciones inadvertidas o accidentales de metadata confidencial en comunicaciones entre abogados que representan a partes opuestas, la mayoría de las jurisdicciones en Estados Unidos han respondido con normas éticas por las que se les requiere al abogado o abogada que reciba un documento de otro profesional, conteniendo dicha metadata, y que sabe o debería saber que fue remitido por error, que notifique de inmediato al abogado o abogada remitente sobre la ocurrencia del apuntado hecho26.
Correctamente, a nuestro juicio, el proyecto de Código propone que nos unamos a la enunciada tendencia ética, al disponer en su Regla 2.5 (c) que «El abogado o la abogada que recibe un documento y tiene razones para creer que le fue enviado inadvertidamente, deberá notificar inmediatamente al remitente»27. En el texto mismo del inciso, la regla aclara el alcance del término «documento» contenida en la norma, al efecto de disponer que incluye a correos electrónicos, así como cualquier otra comunicación que pueda ser leída o modificada para ser legible.
Para la configuración de este precepto, el Secretariado reconoce que se apoyó, en parte, en la Regla 4.4 (b) de las Reglas Modelo de la ABA. Parece claro, aunque no lo exprese de manera taxativa, que al prever los correos electrónicos y otra comunicación susceptible de ser leída dentro de la definición de «documento» del precepto, el Secretariado tuvo en mente el fenómeno de la metadata que previamente hemos discutido. Si bien no resulta indispensable para su eficacia normativa, consideramos que sería conveniente, sin embargo, que se haga referencia claramente en la norma, cuando menos en su parte de comentarios, que se pretende contemplar dentro del ámbito de la misma a la figura de la metadata, de la misma forma que a la documentación en formato convencional.
Los profesionales del derecho con algún conocimiento tecnológico podrían estar en condiciones de inferir que es esa la intención derivada de la referida regla. Pero, ello no sería necesariamente así en el caso de aquellos cuyo acercamiento a las nuevas tecnologías sea mínimo o nulo28.
Asimismo, recomendamos que se aclare en el contenido de la antedicha Regla 2.5(c) si, como parte de las condiciones que deben verificarse para que se active el deber ético de los abogados y abogadas de notificación al remitente, el documento con metadata enviado por equivocación debe o no estar relacionado con la representación de sus clientes. Decimos esto porque en el inciso de referencia no se matiza al efecto si para propósitos de la antedicha obligación debe tratarse de un documento «asociado a la representación del cliente del abogado», como así se dispone expresamente en cambio en la Regla Modelo 4.4(b) («...document or electronically stored information relating to the representation of the lawyer’s client...»), que el Secretariado ha utilizado como referente para proponer la suya. Al abordarse la reflexión que proponemos debe tenerse presente que, como norma general, en la mayoría de las jurisdicciones en Estados Unidos con experiencia en este terreno, se parte de la premisa de que la metadata no es, de suyo, confidencial y privilegiada. Esta característica dependerá en todo caso de si en efecto la información que encarna la metadata deriva de la relación profesional entre un abogado o abogada y sus clientes, como cualquier otra información de este tipo29.
Finalmente estimamos que sería de gran beneficio para la comunidad jurídica dejar claro si para el otro de los requisitos que informa la Regla 2.5 (c), a cuya concurrencia depende la exigencia de notificación que nos ocupa, predicado en que el abogado o abogada de que se trate «tenga razones para creer» que haya recibido metadata inadvertidamente, el Secretariado perseguía parangonarlo con el alcance sustantivo del concepto que para esos mismos efectos ha previsto la Regla Modelo 4.4 (b) citada. El término comparable que utiliza la referida regla del A.B.A. para los apuntados propósitos se refiere a que el abogado o abogada de que se trate «sabe o razonablemente debería saber» («...knows or reasonably should know...») que el documento o la información electrónicamente almacenada en cuestión le fue enviada inadvertidamente.
En este mismo orden de ideas, sería también de agradecer que se aclare si cuando se alude en la Regla 2.5(c) a que el documento o la metadata haya sido enviada a un abogado o abogada «inadvertidamente», se le quiere atribuir el mismo significado a la que a una expresión similar se le imparte en la equivalente Regla Modelo 4.4 (b). En el comentario a esta regla 4.4 (b) se señala que lo que se quiere decir cuando la norma alude a «documento o a información electrónicamente almacenada que se envía de manera inadvertida», es a aquellas circunstancias en las que este tipo de información es transmitida de forma «accidental». Por ejemplo, cuando un correo electrónico o una carta por vía del correo convencional, se remite a una dirección equivocada o cuando un documento o información electrónica es accidentalmente incluida con otro documento que intencionalmente sí se interesaba remitir30.
(c) Legislaciones independientes
Por claramente superar los límites propios del tema según lo hemos planteado, no abordamos aquí el ángulo referente a otras exigencias que para el manejo por parte de los abogados de la información de la información de sus clientes en formato electrónico le puedan imponer otras normas legales, tanto federales como estatales, y que sean adicionales a los deberes de confidencialidad que preceptúa el proyecto de Código propuesto. Sin embargo, se trata de un aspecto que precisa tenerse presente y que merece un análisis detenido en lo sucesivo, a propósito del importante interés que ha venido cobrando la materia en tiempos recientes, acreditado por la ingente producción legislativa que se ha generado a escala internacional (siendo la Regulación General de Protección de Datos de la Unión Europea el principal ejemplo de ello31) y que ha encontrado eco en EE. UU., principalmente a nivel de los estados y los territorios, pero también a escala federal, como lo demuestra las varias propuestas de ley pendientes al efecto32. Aunque en menor escala, el legislador puertorriqueño también ha comenzado a mostrarse preocupado por esta área, lo cual se ha traducido en estatutos de protección de datos y privacidad, actualmente vigentes, potencialmente extensibles a los abogados y bufetes, en su condición de proveedores de servicios al público en el tráfico comercial y profesional33; así como en la consideración de medidas, aún en fase de proyecto de ley, que parecen nutrirse de algunos de los avances más significativos con respecto a la tutela de la privacidad digital de los consumidores34. De ahí la necesidad de estar atentos en lo referente a lo que estos y otros desarrollos futuros puedan suponer para los deberes de protección de datos por parte de la profesión legal.
NOTAS:
1 Véase «Nuevas Tecnologías y Abogacía Puertorriqueña: Análisis breve acerca de sus implicaciones sobre la profesión en el marco del proyecto de Código de Conducta Profesional de Puerto Rico», Al DÍA, Microjuris, publicado el 2 de septiembre de 2019, ../../noticias/noticia/nuevas-tecnologias-y-abogacia-puertorriquena-analisis-breve-acerca-de-sus-implicaciones-sobre-la-profesion-en-el-marco-del-proyecto-de-codigo-de-conducta-profesional-de-puerto-rico/. Como se recordará, en dicha primera parte discutimos la imperiosa necesidad de que los abogados se alfabeticen tecnológicamente, como expresión actual de una práctica legal competente, por exigencia del nuevo medioambiente digital en el que estarán desarrollando sus respectivas prácticas profesionales en lo sucesivo. Para lograr dicho cometido, abogamos porque este deber de competencia tecnológica se codifique dentro del proyecto de Código de Conducta Profesional que está ante la consideración del Tribunal Supremo, utilizando para ello las enmiendas a los comentarios a la Regla 1.1 de las Reglas Modelo de la ABA que fueran aprobadas por este organismo y que han incorporado, con distintos matices y alcances, casi 40 estados de EE. UU. a esta fecha.
2 La sabiduría de este imperativo queda plasmada nítidamente en la Opinión Ética No. 05-04 de julio de 2005, formulada por el State Bar of Arizona. Al responder a una consulta sobre las salvaguardas técnicas que un bufete debía adoptar para asegurar la información privilegiada de sus clientes frente a ciberataques, señala el Bar lo siguiente en cuanto a la obligación ética de un ejercicio profesional competente al respecto: [A]n attorney or law firm is obligated to take competent and reasonable steps to assure that the client’s confidences are not disclosed to third parties through theft or inadvertence. In addition, attorney or law firm is obligated to take reasonable and competent steps to assure that the client’s electronic information is not lost or destroyed. In order to do that, an attorney must either have the competence to evaluate the nature of the potential threat to the client’s electronic files and to evaluate and deploy appropriate computer hardware and software to accomplish that end, or if the attorney lacks or cannot reasonably obtain that competence, to retain an expert consultant who does have such competence. http://www.azbar.org/Ethics/EthicsOpinions/ViewEthicsOpinion?id=523 (última visita 11 de junio de 2014).
3 Esta exigencia que tienen los abogados y abogadas de orientarse y obtener el conocimiento que sea necesario para ofrecer el mejor consejo posible a sus clientes, como parte de su deber ético de un desempeño profesional competente, es compatible con la obligación que entraña el inciso (b) de la Regla 3.2 propuesta en el proyecto de Código. Esta disposición mandata que, a los fines de «...asesorar [de forma competente] a una persona, el abogado o la abogada hará referencia no sólo al derecho, sino a cualquier otro factor relevante al caso, entre los cuales se encuentran factores de tipo moral, económico, social y político[....»]. (énfasis nuestro.) Dentro de estos «otros factores relevantes» sin duda podría encuadrarse el que se proporcione por el abogado o abogada la debida orientación tecnológica a sus clientes, si ello resulta necesario para proteger la confidencialidad de su información en un contexto digital. En caso de que no contara con el conocimiento técnico necesario al efecto, el profesional del derecho tendría la obligación, por imperativo del acápite (2) del referido inciso (b) de la citada Regla 3.2 propuesta, de recomendar la búsqueda de asesoría de profesionales, en este caso, en materia de seguridad informática, como parte de la correcta asesoría a su cliente. Véase también Formal Opinion No. 11-0004 del Standing Committee on Professional Responsibility and Conduct del State Bar de California (marzo de 2014).
4 Como parte del paquete de enmiendas propuestas por la Comisión 20/20 de la ABA fue añadida una nueva subsección a la Regla Modelo 1.6 de la ABA de referencia, la cual reza de la siguiente manera: (c) A lawyer shall make reasonable efforts to prevent the inadvertent or unauthorized disclosure of, or unauthorized access to, information relation to the representation of a client. Este esfuerzo de enmienda incluyó cambios a los comentarios que sobre dicha Regla 1.6 (c) prevén las Reglas Modelo. El texto de los comentarios, según modificados por las enmiendas apuntadas, refleja en su conjunto el siguiente tenor, a saber: Acting Competently to Preserve Confidentiality [18] Paragraph (c) requires a lawyer to act competently to safeguard information relating to the representation of a client against unauthorized access by third parties and against inadvertent or unauthorized disclosure by the lawyer or other persons who are participating in the representation of the client or who are subject to the lawyer’s supervision. See Rules 1.1, 5.1 and 5.3. The unauthorized access to, or the inadvertent or unauthorized disclosure of, information relating to the representation of a client does not constitute a violation of paragraph (c) if the lawyer has made reasonable efforts to prevent the access or disclosure. Factors to be considered in determining the reasonableness of the lawyer’s efforts include, but are not limited to, the sensitivity of the information, the likelihood of disclosure if additional safeguards are not employed, the cost of employing additional safeguards, the difficulty of implementing the safeguards, and the extent to which the safeguards adversely affect the lawyer’s ability to represent clients (e.g., by making a device or important piece of software excessively difficult to use). A client may require the lawyer to implement special security measures not required by this Rule or may give informed consent to forgo security measures that would otherwise be required by this Rule. Whether a lawyer may be required to take additional steps to safeguard a client’s information in order to comply with other law, such as state and federal laws that govern data privacy or that impose notification requirements upon the loss of, or unauthorized access to, electronic information, is beyond the scope of these Rules [...].
5 El National Institute of Standards and Technology ha definido el concepto cloud computing como «a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.» Peter Mell & Timothy Grance, «The NIST Definition of Cloud Computing», NIST Special Publication 800-145 (septiembre de 2011).
6 Los resultados del ABA’s Legal Technology Survey, que es una encuesta que lleva a cabo la A.B.A. anualmente para medir la penetración de las nuevas tecnologías en la práctica de la abogacía en Estados Unidos, demuestran un aumento significativo en el uso de las tecnologías de cloud computing por la profesión legal desde el año 2011. De un 16%, que era la incidencia en uso de estas aplicaciones por los abogados y abogadas encuestados en el año 2011, se pasa a un 21% al siguiente año 2012, y de este por ciento a un impresionante 31% el año siguiente 2013. Véase Nicole Black, 2014: The Year Cloud Computing Became the Norm in the Legal Industry?, Legal IT Today, (8 de enero de 2014),http://www.legalitprofessionals.com/legal-it-columns/nicole-black/6232-2014-the-year-clyoud-computing-became-the-norm-in-the-legal-industry (última visita 27 de noviembre de 2019). Los datos más recientes de este informe, complementados con otras fuentes por la ABA, validan la tendencia al alza en la penetración de estas tecnologías emergentes en la gestión profesional de la clase togada norteamericana: 55% en 2018 y 58% en 2019. Véase Jason Tashea, Lawyers are failing at cybersecurity, says ABA TechReport 2019, ABA Journal (24 de octubre de 2019), http://www.abajournal.com/news/article/lawyers-are-failing-at-cybersecurity-says-aba-techreport-2019 (última visita 27 de noviembre de 2019). Pese a que se trata de datos recabados de abogados y abogadas en Estados Unidos, y no tenemos constancias de si contemplaron a profesionales del derecho puertorriqueños dentro de las encuestas, creemos, no obstante, dada la influencia que la práctica en Estados Unidos tiene sobre la nuestra, que los apuntados datos pueden dar una idea general del avance que a grandes rasgos debe estar teniendo el empleo de este modelo de servicios en los profesionales del derecho en nuestro País. En cualquier caso, el desarrollo de encuestas sobre este tema y otros de importancia para nuestra clase jurídica es sin lugar a dudas una asignatura importante que tenemos pendiente. En el resumen ejecutivo del Estudio sobre el Mercado de Servicios Legales en Puerto Rico -el primero de su clase- preparado por la empresa de consultoría, Estudios Técnicos, según comisionado por la empresa de inteligencia legal, Microjuris, en el que se procura ofrecer una radiografía del estado de situación de la abogacía puertorriqueña a partir de varios indicadores, y cuyos datos generales fueron divulgados en el mes de septiembre pasado, no se desprende información sobre la incidencia del uso de herramientas en nube por parte de los profesionales del derecho en Puerto Rico. Si bien se brinda información valiosa acerca del uso que, en general, los abogados vienen haciendo de las nuevas tecnologías como parte de sus prácticas, no se incluye empero dentro de dichos datos del informe -por lo menos en la versión de resumen ejecutivo que del mismo se ha hecho disponible hasta el momento- la penetración y alcance que está teniendo el cloud computing dentro de las respectivas prácticas de nuestros togados.
7 Véase Jared Correia, Lawyering Security in the Cloud: Client-Side Encryption, Law Practice Today (mayo 2012).
8 Rhodes and Polley, The ABA Cybersecurity Handbook 3 (2013). Como cuestión de hecho, en el mes de noviembre del año 2009, el Federal Bureau of Investigations (F.B.I.) emitió un aviso general por el que informaba, como resultado de sus investigaciones, que los bufetes norteamericanos se habían convertido en nuevos objetivos de ataque de los hackers, con la finalidad por parte de estos de apropiarse de la información confidencial que poseen dichas entidades profesionales. Véase Lora Bentley, Spear Phishing Attacks Target Law Firms and Public Relations Organizations, IT Business Edge (18 de noviembre de 2009), https://www.itbusinessedge.com/cm/blogs/bentley/spear-phishing-attacks-target-law-firms-public-relations-organizations/?cs=37576 (última visita 4 de diciembre de 2019). En cumplimiento de este presagio, según datos de la empresa de servicios de seguridad, Mandiant, más de 80 de los más importantes bufetes de EE. UU. han sido objetos de intrusiones, ataques, fuga de datos, entre otros incidentes de ciberseguridad, desde el año 2011. Véase Mathew J. Schwartz, Cyberattacks: Why Law Firms Are Under Fire, Data Breach Today (7 de abril de 2016), http://www.databreachtoday.com/cyberattacks-law-firms-are-under-fire-a-9026?rf=2016-04-08-edbt&mkt_tok=eyJpIjoiT1RjMk9UWmtabVJpWVdKbSIsInQiOiJvOER5cmlwMXdoWDVcL3RveGt4dUVuQkRGdjVLZXRKRVIzbzd5SkJCXC9uNWJhRnJEbVdDYTIyOEZjMzZNUGp4UHlsVExxXC93REJcL01cL1crOWhqQ2J0U2ExQmE1eGZoUVYrXC81MDcxdURjR2hUOD0ifQ%3D%3D (última visita el 4 de diciembre de 2019). En esta misma línea, la publicación Law.com llegó a identificar, fruto de sus investigaciones, que más de 100 bufetes norteamericanos han informado incidentes de fuga de datos a las autoridades de 14 estados desde el año 2014. Entre estos bufetes se encuentra la importante firma, DLA Piper, la cual fue víctima de un importante ciberataque, como parte de una campaña global que afectó a cientos de entidades públicas y privadas en junio de 2017, basada en el malware conocido como NotPetya. Christine Simmons, et. al, More Than 100 Law Firms Have Reported Data Breaches. And the Problem Is Getting Worse, law.com, (15 de octubre de 2019), https://www.law.com/more-than-100-law-firms-have-reported-data-breaches-and-the-picture-is-getting-worse/ (última visita el 4 de diciembre de 2019). NotPetya es una variante del ransomware Petya, que, a diferencia de este último, el cual se caracterizaba por cifrar o bloquear el acceso a los datos o a sistemas a cambio del pago de un «rescate»-como típicamente sucede en escenarios ransomware- provocaba en cambio la destrucción sin más de la información que encontraba a su paso. Sharon D. Nelson & John W. Simek, The DLA Piper Breach Revisited, Slaw, (26 de septiembre de 2018), http://www.slaw.ca/the-2017-dla-piper-breach-revisited/. Como resultado de este ataque, los sistemas de telefonía y de computadoras de DLA Piper estuvieron inoperantes por varias semanas, lo que se tradujo en costos económicos y reputacionales significativos. Pero, sin lugar a dudas, el incidente de seguridad informática más grande registrado en un bufete hasta el momento, si lo medimos por la cantidad de datos comprometidos, fue la fuga de datos experimentada por la firma Mossack Fonseca, con sede en Panamá, y a la cual se acusa de haber ayudado a clientes afluentes y ricos a desviar millones de dólares para evadir el pago de impuestos en sus países de origen. Este el caso de los ahora infames «Panama Papers». Aunque aún se debate si lo que experimentó el bufete fue un ataque hacker externo (como asegura uno de sus socios fundadores) o en cambio un «trabajo interno» de algún exempleado disgustado, el incidente de seguridad sufrido tuvo la consecuencia neta de que cerca de 11.5 millones de documentos, que corresponden a 40 años de récords acumulados sobre la representación de sus clientes, fueran filtrados y expuestos al público. Mathew J. Schwartz, supra nota al calce 7. A esta filtración le siguió otra igualmente masiva, divulgada casi 18 meses después, que involucró al bufete británico Appleby con sede en Bermuda. Los documentos, conocidos como «Paradise Papers», recogen 13.4 millones de documentos, relacionados sobre todo con el asesoramiento financiero y fiscal que el bufete prestaba a sus clientes -la mayoría pertenecientes a la élite de la sociedad británica- para ayudarles a eludir la imposición de contribuciones. Véase John Leyden, Panic of Panama Papers-style revelations follows Bermuda law firm hack, The Register (25 de octubre de 2017), https://www.theregister.co.uk/bermuda_law_firm_hack/ (última visita el 5 de diciembre de 2019).
9 Rhodes and Polley, supra págs.10-11.
10 Rhodes and Polley, supra pág. 3. En efecto, los abogados constituyen el eslabón más débil de la cadena de seguridad de la información en el tráfico jurídico y comercial. Y, esto los hackers y piratas informáticos lo saben: ¿por qué tratar de acceder directamente a la valiosa y rentable información de las empresas a través de las bases de datos y sistemas informáticos de éstas, si es posible obtener la misma información -e incluso mucha más- a través de los sistemas computacionales menos robustos, desde un punto de vista de ciberseguridad, pertenecientes a los abogados externos de dichas corporaciones? Lawyers the Weakest Link in Firms’ Cybersecurity, Expert Warns, Lawyersweekly, (31 de octubre de 2017), https://www.lawyersweekly.com.au/biglaw/22169-lawyers-the-weakest-link-in-firms-cyber-security-expert-warns (última visita el 4 de diciembre de 2019). La toma de consciencia de esta realidad por parte de muchas compañías, particularmente aquellas caracterizadas por una elevada facturación, ha dado lugar a que éstas hayan comenzado a exigirle a los bufetes y abogados interesados en representarles que superen una serie de auditorías para constatar los niveles de seguridad informática que estos observan, como condición para convertirse en sus clientes. Véase Gabrielle Orum Hernández, Law Firms ‘Doing Terribly’ At Protecting Client Data, the american lawyer (26 de octubre de 2017). Valga decir, según constatado a través de conversaciones que este autor ha tenido con proveedores de servicios de computación forense, que existen bufetes en Puerto Rico que han sido objeto de requerimientos como el apuntado para ser elegibles a representar a ciertas empresas en el País. Algunas empresas han llegado a exigir incluso que los bufetes acrediten la compatibilidad de sus sistemas informáticos con estándares como el ISO 27001, que es una de varias certificaciones producidas por organismos de estandarización de prestigio que acreditan niveles de seguridad solventes por parte de la entidad que la porta.
11 Prueba de que en efecto el tamaño de un bufete o de su operación no es determinante a la hora de los hackers decidir colocarlo como un objetivo de ataque lo es el caso de lo sucedido a un bufete pequeño, pero muy conocido, de la ciudad de Providence, en el estado de Rhode Island. Pese a tratarse de una oficina legal de no más de 10 abogados, lo que lo convierte en un bufete pequeño, el mismo fue objeto no obstante de un potente ataque ransomware. Katie Mulvaney, última visita‘Ransomware’ locks down prominent Providence law firm, Providence Journal (1 de mayo de 2017), https://www.providencejournal.com/news/20170501/ransomware-locks-down-prominent-providence-law-firm (última visita el 6 de diciembre de 2019). Ransomware es un software maligno que cifra o bloquea los datos de un dispositivo o sistema, de manera que el acceso a los mismos esté condicionado al pago de un «rescate» por parte de la víctima, típicamente a través de criptomonedas. Véase Krzysztof Cabaj & Wojciech Mazurczyk, Using Software-Defined Networking for Ransomware Mitigation: the Case of CryptoWall, 30 IEEE Network 14 (2016). Como resultado de este ataque, los sistemas y redes computacionales del bufete estuvo deshabilitada por espacio de tres (3) meses, hasta que los mismos fueran finalmente restablecidos luego del pago a los hackers de la cantidad de $25,000. Este caso demuestra de manera elocuente además no sólo el daño que un ataque hacker como el descrito le puede infligir a la reputación profesional de un bufete, sino que revela la capacidad que un solo ataque de este tipo encierra para, potencialmente, provocar grandes pérdidas comerciales a cualquier oficina legal e incluso su salida del mercado. Véase One Hack Can Destroy Your Reputation and Your Business – Is Your Law Firm Secure?, lawsites (17 de octubre de 2017), https://www.lawsitesblog.com/2017/10/one-hack-can-destroy-your-reputation-and-your-business-is-your-law-firm-secure.html (última visita el 6 de diciembre de 2019).
12 La intrusión a sistemas de seguridad informáticos de bufetes no sólo ha sido fruto de la autoría de entidades o personas privadas que actúan por cuenta propia. También ha incluido a gobiernos enteros que dedican recursos e impulsan ataques a compañías en sectores comerciales estratégicos que pertenecen a otros países, como parte de un esfuerzo de piratería industrial. Eric Savitz, Conversations On Cybersecurity: The Trouble With China, Part 1, Forbes (31 de enero de 2012), http://www.forbes.com/sites/ciocentral/conversations-on-cybersecurity-the-trouble-with-china-part-1/ (última visita 6 de diciembre de 2019); Michael S. Schmidt & David E. Sanger, 5 in China Army Face U.S. Charges of Cyberattacks, The New York Times (19 de mayo de 2014) (artículo en el que se informa sobre las acusaciones formales incoadas –la primera vez, que se sepa- por el Departamento de Justicia de Estados Unidos contra personal del ejército de la República Popular China, por efectuar ataques informáticos con el objetivo de apropiarse ilegalmente de secretos comerciales de empresas norteamericanas), http://www.nytimes.com/us/us-to-charge-chinese-workers-with-cyberspying.html (última visita 6 de diciembre de 2019). De hecho, de un documento revelado por el ex-analista de la National Security Agency (N.S.A.) de Estados Unidos, Edward Snowden, se desprende que las comunicaciones entre cierto bufete americano y un cliente en particular (la República de Indonesia) fueron monitoreadas por la agencia de inteligencia nacional de Australia, y la información que a tales fines fue recabada por la entidad fue puesta a disposición de la N.S.A. El documento señala, citando a los responsables de la agencia australiana, que «información cubierta por el privilegio abogado-cliente puede estar incluida en la información de inteligencia retenida» (traducción suplida). Véase James Risen & Laura Poitras, Spying by N.S.A. Ally Entangled U.S. Law Firm, The New York Times (15 de febrero de 2014), http://mobile.nytimes.com/us/eavesdropping-ensnared-american-law-firm.html?_r=1&referrer (última visita 6 de diciembre de 2019).
13 Para fines referenciales, los comentarios citados anteriormente a la Regla 1.6 (c) de las Reglas Modelo de la ABA, que corresponde a la Regla 3.7 de referencia del proyecto de Código, en su párrafo 18, ofrece varios factores a tomarse en cuenta al justipreciar la razonabilidad de las medidas que adopten los profesionales del derecho para proteger información privilegiada, concretamente en el contexto de un entorno electrónico y en red; a saber: considerar el carácter sensitivo de la información, la posibilidad de que la información sea divulgada de no adoptarse salvaguardas adicionales, el costo de emplear protecciones adicionales, la dificultad de implementar las salvaguardas y en qué medida las salvaguardas a emplearse afectan adversamente la capacidad del abogado o abogado de representar apropiadamente a su cliente. Véase también informe que acompaña a la Resolución 105A, preparado por la Comisión de Ética 20/20, y que sirviera de base para la enmienda practicada al referido inciso(c) de la Regla Modelo 1.6, correspondiente a la Regla 3.7 (f), en la pág. 5 del informe. Otro referente que merece destacarse aquí es la Opinión Ética No. 09-04 del State Bar de Arizona, de diciembre de 2009, en la que se aportan ejemplos concretos de medidas razonables que los abogados y abogadas pueden emplear para proteger la confidencialidad de información de clientes en soporte digital. Al efecto se señala en la Opinión que «In satisfying the duty to take reasonable security precautions, lawyers should consider firewalls, password protection schemes, encryption, anti-virus measures, etc.» (énfasis suplido), http://www.azbar.org/Ethics/EthicsOpinions/ViewEthicsOpinion?id=704.
14 Lo que persigue el principio de neutralidad tecnológica, como concepto empleado dentro de la técnica legislativa, es evitar atar a priori el ejercicio válido de un procedimiento o acto concreto objeto de regulación, al uso indefectible de determinada tecnología o formato. Así, al no privilegiar ni apostar por una tecnología definida, se dota de mayor flexibilidad al ámbito regulado, al dar cabida dentro de éste a la introducción de cualquier desarrollo tecnológico que en el futuro se genere y que se estime apropiado utilizar para encauzar la actuación de que se trate, sin comprometer de este modo la eficacia jurídica de la misma al uso de un medio o cauce exclusivo. Véase, George L. Paul, Foundations of Digital Evidence, xxvi-xxvii (2008); Bert-Jaap Koops, Should ICT Regulation be Technology-Neutral?, en Starting Points for ICT Regulation. Deconstructing Prevalent Policy One-Liners 77-108 (Bert-Jaap Koops, Miriam Lips, Corien Prins & Maurice Schellekens eds., 2006). Esta forma de legislar de manera sostenible en materia de la regulación de nuevas tecnologías, de suerte que la legislación a aprobarse en tal sentido no pierda efectividad regulatoria futura debido a los cambios tecnológicos que ulteriormente se produzcan y que incidan sobre dicho ámbito regulado, es lo que un autor ha denominado como «legislación a prueba de futuro» («future-proof law»). Chris Reed, Making Laws for Cyberspace 189-204 (2012).
15 Nos parece importante llamar la atención sobre la posibilidad real de que una vez nuestros abogados y abogadas comiencen a participar con mayor intensidad en la Red (como algunos lo vienen haciendo), concretamente a través de softwares sociales (blogs, miniblogs, etc.) tengan que lidiar con dilemas éticos en los que queden enfrentados valores personales dimanantes del uso de estas aplicaciones, de un lado, y la observancia de sus deberes éticos, por el otro. Controversias éticas de estas características podrían surgir si por ejemplo un abogado o abogada tuviera un blog (bitácora virtual) con el fin de comentar noticias y asuntos de interés relacionados con las áreas del derecho que conforman su práctica. Si en el marco de tal iniciativa virtual el profesional del derecho comentara detalles de un caso que hubiera representado, ello tendría el potencial de generar una tensión valorativa entre el derecho de libertad de expresión que cobija al abogado o abogada, probablemente en su vertiente de expresión comercial, por tratarse de una comunicación que tendría el efecto de mejorar su imagen profesional; y por el otro lado, el deber de ese letrado o letrada de no divulgar información confidencial derivada de los casos que representa. Hace unos años el Tribunal Supremo del estado de Virginia abordó un asunto con los apuntados elementos en el caso Hunter v. Virginia State Bar, 744 S.E. 2d 611 (2013). Para fallar a favor del letrado allí implicado, contra quien se presentó una querella por comentar en su blog detalles de ciertos casos criminales que en su día había litigado, sin incluir el correspondiente «disclaimer», el Tribunal se apoyó en los factores que caracterizaban a los datos concretos compartidos por el abogado mediante su bitácora en línea. Estos factores eran que la información divulgada versaba sobre casos finalizados y cerrados, así como el hecho de que la misma ya estaba públicamente disponible a través de los expedientes públicos de los casos. Al tratarse, pues, de información no privilegiada acerca de sus clientes actuales y anteriores, lo cual lo ubicaba, en la práctica, en una situación parecida a cualquier ciudadano desde el punto de vista del derecho a la expresión, la corte concluyó que no podría impedirse al abogado en cuestión a que publicara la información que compartía mediante su blog. Sin embargo, considérese la recomendación formulada por la A.B.A. en su Formal Opinion 480, de 6 de marzo de 2018, en la que se analiza la capacidad de los abogados para comentar información sobre sus representaciones en blogs y otros medios en línea, a la luz del deber de confidencialidad recogido en la Regla 1.6 de las Reglas Modelo, y cuyo contenido es distinto a la versión de esta regla bajo el código de conducta profesional del estado de Virginia. En dicha Formal Opinion se concluye que los abogados que se dediquen a escribir en blogs u en otros medios sociales similares no deben, en el curso de dicha actividad, revelar información confidencial protegida relacionada con la representación de sus clientes, aun si dicha información figure en el récord público, a menos que se obtenga el consentimiento informado del cliente de que se trate; la divulgación esté implícitamente atribuida como parte de la representación; o que dicha pretensión se apoye en cualquier otra excepción prevista en las Reglas Modelo. ABA Comm. On Ethics & Prof’l Responsability Formal Opinion 480 (6 de marzo de 2018) https://www.americanbar.org/content/dam/aba/administrative/professional_responsibility/aba_formal_opinion_480.pdf (última visita 3 de diciembre de 2019).
16 Véase Ryan Singel, Dropbox Lied to Users About Data Security, Complaint to FTC Alleges, Wired (13 de mayo de 2011), http://www.wired.com/threatlevel/2011/05/dropbox-ftc/ (última visita el 6 de diciembre de 2019). Dropbox alega que se ve precisada a acceder al contenido de los archivos de sus clientes para poder ofrecerles a estos el servicio de «vista previa» de sus documentos. Por el contrario, existen empresas de servicios en nube, como Spideroak, que, en lugar de visualizar los datos que sus clientes le remiten para almacenamiento y gestión, prestan estos servicios sin necesidad de acceder al contenido de la información suministrada. Bajo un sistema conocido como zero knowledge system, empresas de servicios en nube con un modelo de gestión como el de Spideroak, encriptan los archivos de sus clientes desde los dispositivos mismos de estos. De manera que cuando estos datos llegan a los servidores de la empresa no son susceptibles de ser decodificados por esta. Siendo tal decodificación solo posible por el usuario-cliente, quien es el único poseedor de la clave exclusiva de cifrado. Véase Jemina Kiss, Snowden: Dropbox is hostile to privacy, unlike ‘zero knowledge’ Spideroak, The Guardian (17 de julio de 2014), http://www.theguardian.com/technology/2014/jul/17/edward-snowden-dropbox-privacy-spideroak/print (última visita el 6 de diciembre de 2019).
17 Jared Correia, Lawyering Security in the Cloud: Client-Side Encryption, Law Practice Today (mayo 2012).
18 En este análisis habrá que tener presente, a nuestro juicio, la Regla 7.4 (b) del proyecto de Código, la cual se refiere a las responsabilidades de los profesionales del derecho con respecto a la conducta de sus asistentes que no son abogados. Se trata de una disposición que en principio le sería de aplicación a proveedores de servicios de cloud computing, como personas legas contratadas por abogados o abogadas, por cuyo comportamiento dichos profesionales del derecho deben esforzarse por asegurar que se ajuste a las obligaciones profesionales de la abogacía; en este caso, que protejan la confidencialidad de la información derivada de representación legal como si tales proveedores fueran abogados sujetos a los deberes éticos del Código.
19 Julie Bort, Security Researchers Prove That Dropbox Can Be Hacked, Business Insider (28 de agosto de 2013). Por otra parte, conviene apuntar, según se desprende de un artículo del The Washington Post, que Dropbox figuraba como una de las entidades a ser incluida próximamente (la expresión concreta utilizada al efecto fue «coming soon») dentro de la lista de proveedores de servicio de Internet (ISPs) de cuyos servidores se ha venido apoyado la N.S.A. para recabar datos en el marco de sus programas secretos de vigilancia electrónica. Barton Gellman & Laura Poitras, U.S., British intelligence mining data from nine U.S. Internet companies in broad secret program, The Washington Post (7 de junio de 2013), https://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html (última visita el 6 de diciembre de 2019).
20 En el caso de Dropbox, el derecho que retienen para divulgar discrecionalmente a terceros los archivos almacenados de sus clientes, se expresa concretamente en su Política de Privacidad de la siguiente manera: We may disclose to parties outside Dropbox files stored in your Dropbox and in-formation about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcemen. (énfasis suplido). Véase https://www.dropbox.com/privacy En cambio, empresas en nube con un sistema zero knowledge, como el que discutimos en la nota al calce número 46, reclaman que, al no poseer las claves de cifrado para acceder al contenido de los archivos de sus clientes (por tales claves estar bajo el control exclusivo de estos últimos), están por lo tanto técnicamente impedidas de entregar esta información frente a pedidos al efecto por parte de las agencias de seguridad y de orden público. Tal entrega solo podría ser dable si estas agencias obtuvieran a priori la clave criptográfica de acceso directamente del cliente-usuario de que se trate, para lo cual requerirían de una orden judicial previa. Véase Jemina Kiss, supra nota 18.
21 Por ejemplo, un asunto sobre el cual convendría ofrecer orientación básica a los abogados o abogadas que decidan incursionar en el uso de este tipo de servicios -toda vez que responde a las características propias de este modelo de negocio-, es a que se aseguren de que en la contratación que a tales fines alcancen con el proveedor se disponga lo relativo a qué sucedería con los datos de sus clientes que remitan a la nube para su almacenamiento, en caso de que dicho proveedor deje de operar en el mercado, bien porque se haya ido a la bancarrota, se haya vuelto insolvente o por cualquier otro motivo en el apuntado sentido, o porque la relación contractual con el proveedor cese abruptamente. Véase Ashley Hallene, Clearing Up the Cloud, GP SOLO magazine (enero-febrero 2013). Para una lista de las preguntas que un abogado debería formular a cualquier proveedor de servicios de cloud computing para aquilatar si éste ofrece las condiciones operacionales, legales, administrativas, financieras, tecnológicas y de seguridad, a fin de confiarle los datos de sus representados -y así ejercer su responsabilidad de debido cuidado que los imperativos éticos demandan-, véase Nicole Black, Cloud computing for lawyers, ABA Publishing: USA (2012), pág. 101 a 103.
22 En este sentido, el eLawyering Task Force, que es un grupo de trabajo adscrito a la Law Practice Division de la ABA, publicó, en el año 2011, un documento en el que ofrece unas guías a la comunidad jurídica para entender los conceptos básicos asociados al cloud computing, así como aporta mejores prácticas para hacer un uso ético de esta tecnología en el ejercicio de la profesión jurídica. Guidelines for the Use of Cloud Computing in Law Practice, disponible en, http://meetings.abanet.org/webupload/commupload/EP024500/relatedresources/cloudcomputingguidelines05.30.2011.pdf.
23 Véase Aguilar v. Inmigration & Customs Enforcement Div. of U.S. Dep’t of Homeland Sec., 255 F.R.D. 350 (S.D.N.Y. 2008), en el que se incluye la siguiente definición general de metadata: «Metadata, frequently reffered to as ‘data about data’, is electronically-stored evidence that describes the history, tracking or management of an electronic document.» Id., a la pág. 354.
24 Y, es que no existe un solo tipo de metadata. Por ejemplo, en el glosario de términos del Sedona Conference, que es un laboratorio de ideas (think tank) dedicado, entre otros asuntos, a la reflexión y a la propuesta de guías en materia del manejo de información electrónica en el ámbito legal, ha reconocido, aparte del Embedded Metadata, cinco tipologías de Metadata, a saber: Application Metadata, Document Metadata, File System Metadata, Email Metadata y Metadata, en sentido estricto. Véase The Sedona Conference Glossary: E-Discovery & Digital Information Management 3, 17, 19, 22, 34 (3ra ed. 2010).
25 North Carolina State Bar, Opinión Ética 1 (15 de enero de 2010) («A lawyer must use reasonable care to prevent the disclosure of confidential client information hidden in metadata when transmitting and electronic communication...»).
26 Minnesota Lawyers Professional Responsibility Board Opinion No. 22 (marzo 2010); Pennsylvania State Bar, Opinión Ética 2009-100; también The Sedona Conference, Commentary on Ethics & Metadata 178 a 179 (2013).
27 Como se advertirá, debería reformularse la frase enunciada para aclarar cuál es el hecho sobre el cual el abogado o abogada de que se trate deberá notificar inmediatamente al remitente.
28 Aquí de nuevo se pone de relieve la pertinencia de la capacitación tecnológica de los abogados y abogadas, como parte de su deber ético de ejercer de manera competente la profesión. Como cuestión de hecho, en la Opinión Ética No. 22 del Minnesota Lawyers Professional Responsibility Board, de 26 de marzo de 2010, se ata inexorablemente el deber ético de los abogados y abogadas de ofrecer una representación competente a su cliente con evitar la divulgación de información confidencial a través de metadata contenida en documentos electrónicos que se remitan. («[A] lawyer is ethically required to act competently to avoid improper disclosure of confidential and privileged information in metadata in electronic documents.»). En el cumplimiento cabal de este deber, una capacitación tecnológica básica permitiría a los profesionales del derecho conocer algunas medidas tecnológicas sencillas que podrían utilizar para prevenir la remisión de metadata confidencial. Algunas de estas técnicas al alcance incluyen el uso de lo que se llama en inglés como «scrubbing software», la cual, como alude el término, se refiere a un programa informático que «limpia» los documentos electrónicos de metadata antes de ser remitidos. Este mismo efecto se puede lograr al convertir un documento electrónico creado mediante un procesador de palabras (como Microsoft Word) a un formato .pdf. Otra medida parecida comprende el escanear un documento electrónico utilizando el formato .pdf o .tiff. Véase Sedona Conference, supra nota 26, págs. 189 a 190. Véase también Paul Domnick, Vendor Voice: The Server Advantage in Metadata Cleaning, Law Technology News (13 de enero 2014). («Attorneys and their staff members that are involved in document production should be properly educated on what software features may embed metadata and the risks and ramifications of their use. Many independent studies outline common metadata misuse scenarios for law firms. Using the dup-and-revise or «save as» method to create new documents is one of the most common mistakes. When documents are repurposed, hidden text is often forgotten and carried over. Using track changes as a collaboration tool and inserting comments are the other most common scenarios. If a metadata removal tool is not used on the document, any revisions that have not been accepted and incorporated and any hidden comments could potentially be revealed.»).
29 Véase Sedona Conference, supra nota 26, página 179, nota al calce 41. Cabe señalar que existen comisiones de ética de varias asociaciones de abogados en distintas jurisdicciones en Estados Unidos en cuyas opiniones éticas al respecto parecerían presumir, a primera vista, que todo tipo de metadata remitida inadvertidamente a otro abogado o abogada es per se confidencial, aun cuando la información que entraña no sea fruto de la representación de un cliente. No obstante, a poco que se profundiza en algunas de estas opiniones se puede advertir que lo que en ellas se persigue regular realmente es que los abogados y abogadas no incurran en la práctica de someter la metadata que inadvertidamente puedan recibir a un escrutinio riguroso con el fin deliberado de constatar si pueden descubrir en ella información confidencial. Véase The North Carolina State Bar Opinión Ética (2009) («In summary, a lawyer may not search for and use confidential information embedded in the metadata of an electronic communication sent to him or her by another lawyer of party unless the lawyer is authorized to do so by law, rule, court order or procedure, or the consent of the other lawyer of party. If a lawyer unintentionally views metadata, the lawyer must notify the sender and may not subsequently use the information revealed without the consent of the other lawyer of party.»; Alabama State Bar Opinión Ética RO-2007-02 (14 de marzo de 2007) («Mining of metadata constitutes a knowing and deliberate attempt by the recipient attorney to acquire confidential and privileged information in order to obtain an unfair advantage against an opposing party.»); New York State Bar Association, Committee of Professional Ethics, Opinión Ética 749 (14 de diciembre de 2001) («A lawyer may not make use of computer software applications to surreptitiously ‘get behind’ visible documents or to trace e-mail.»).
30 Véase párrafo número 2 de los comentarios a la Regla 4.4 de las Reglas Modelo de la ABA. En este punto conviene recordar que la norma básica que rige en nuestro ordenamiento para evitar que opere la renuncia a la confidencialidad de una comunicación o materia habida en el contexto de una relación abogado-cliente, en el supuesto de su divulgación inadvertida, se consagra en la Regla 505 de las Reglas de Evidencia de Puerto Rico de 2009, según enmendadas, 32 LPRA Ap. VI, R. 505. Esta regla dispone, en su apartado (c), que no se considerará la renuncia del privilegio, pese a la divulgación inadvertida verificada, si concurran todos los requisitos siguientes; a saber: [1] si [la divulgación] fue realizada por inadvertencia, [2] como parte del procedimiento judicial o administrativo en el cual se invoca la renuncia, [3] quien posee el privilegio tomó medidas de precaución razonable para evitar la divulgación, y [4] una vez el poseedor o la poseedora del privilegio conoció o debió conocer de la divulgación, con razonable prontitud tomó medidas para rectificar el error. 32 L.P.R.A. Ap. VI R.505(c)(1)(2)(3)(4).
31 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN
32 Para una breve muestra de alguna de la legislación que se ha venido impulsando o se ha aprobado desde los estados de EE. UU., véase http://www.ncsl.org/research/telecommunications-and-information-technology/a-higher-profile-for-data-privacy.aspx (última visita en 9 de diciembre de 2019); también véase la siguiente nota publicada por el National Conference of State Legislatures, en la que se pasa balance sobre las medidas que poco más de 17 estados tienen sometidas para aprobación, siguiendo el ejemplo de California luego de que éste estado aprobara su Consumer Privacy Act en 2018 y cuya vigencia está prevista para comienzos del próximo año, 2020. Pam Greenberg, California’s New Data Protection Law Gives Consumers Greater Control Over Their Information, ncsl (19 de noviembre de 2019 (última visita el 10 de diciembre de 2019). Véase además el siguiente enlace, que remite a un estudio comparativo de los proyectos de ley en materia de privacidad digital actualmente bajo consideración en los respectivos estados, así como la etapa del proceso legislativo en que los mismos se encuentran en estos momentos https://iapp.org/news/a/us-state-comprehensive-privacy-law-comparison/. En cuanto a las propuestas legislativas a nivel federal, véase el informe Grading on a Curve: Privacy Legislation in the 116th Congress (2019-2020), electronic privacy information center (epic) (septiembre 2019), en el que se listan las medidas que están siendo consideradas al presente por el Congreso federal y donde se ofrece una valoración sobre las fortalezas de dichos proyectos a partir de unos criterios que establecen los autores del documento. https://epic.org/EPIC-GradingOnACurve-Nov2019.pdf.
33 Véase al efecto por ejemplo la «Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información», Ley Núm. 111 de 7 de septiembre de 2005, según enmendada. También la Ley de Notificación de Política de Privacidad, Ley Núm. 39 de 24 de enero de 2012.
34 Véase el Proyecto de Ley 1231, de la autoría del Senador Carmelo Ríos Santiago, el cual propone «crear la ‘Ley para la Protección de la Intimidad Digital’, a los fines de proteger la información personal de los consumidores y garantizar el derecho a la intimidad en la era digital; y para otros fines relacionados». Este proyecto fue presentado el 19 de marzo de 2019 y fue referido a la Comisión de Asuntos del Consumidor y Servicios Públicos Esenciales del Senado el 25 de marzo de 2019. No ha experimentado, hasta el presente, evolución legislativa ulterior desde esa fecha.
MI OFICINA > MIS DOCUMENTOS GUARDADOS
