CIUDAD DE MEXICO (apro).- La empresa de internet estadunidense Yahoo! Inc enfrenta una oleada de solicitudes de investigación y demandas por el hackeo de 500 millones de cuentas de correo electrónico y la entrega de información de usuarios al gobierno de Estados Uidos y que podría costarle millones de dólares en responsabilidades penales y civiles. A la fecha, el portal afronta al menos 20 demandas presentadas desde el 4 de octubre ante tribunales estadunidenses por ambos sucesos y peticiones de investigación de organizaciones de la sociedad civil y de autoridades de privacidad de la Unión Europea (UE). "Yahoo! tendrá que responder algunas interrogantes en sitios como Europa", señaló a Apro Gregory Nojeim, director del Programa de Libertad, Seguridad y Tecnología en el Centro para la Democracia y la Tecnología (CDT) de Estados Unidos. Junto a una treintena de organizaciones de derechos humanos y de defensa de la privacidad, CDT pidió el 25 de octubre último, en una carta enviada a James Clapper, director nacional de Inteligencia, explicaciones sobre la vigilancia indiscriminada que la administración de Barack Obama ordenó a la empresa sobre todos los correos que llegaran a las cuentas estadunidenses. "Creemos que un monitoreo masivo, particularmente si involucra el contenido, podría violar FISA, la Cuarta Enmienda (de la Constitución de EU que garantiza el derecho a la privacidad) y leyes internacionales de derechos humanos, y tiene graves implicaciones para la privacidad", cuestiona la misiva. "Nos hemos enfocado en solicitar qué hizo que Yahoo! monitoreara los e-mails de sus usuarios. Nuestra preocupación se debe a la naturaleza de la orden, por su amplitud. Una orden típica a los proveedores de servicios electrónicos es entregar toda la información de un usuario por un periodo de tiempo. Una orden típica no es tan amplia. Es un precedente peligroso. Queremos saber cuál es el criterio del gobierno para hacer este tipo de peticiones", explicó Nojeim en conversación telefónica. En septiembre pasado, Yahoo! reconoció que más de 500 millones de cuentas de e-mails fueron hackeadas a finales de 2014, por lo cual datos como nombres, claves y direcciones postales quedaron expuestos, en una de las mayores violaciones a la privacidad de los datos o data breaches ocurridos hasta ahora. Para agravar las tribulaciones de la corporación, registrada en Delaware --un notorio paraíso fiscal en Estados Unidos-- y con sede en Sunnyvale, California, la agencia Reuters reveló el 4 de octubre que Yahoo! construyó en secreto en 2015 un programa especial para buscar en todos los e-mails entrantes información específica a petición del gobierno estadunidense. El buscador cumplió así con una orden confidencial para monitorear millones de cuentas para la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) o el Buró Federal de Inteligencia (FBI). A partir de leyes como la de Vigilancia de Inteligencia Extranjera (FISA, por sus siglas inglesas) de 2008, las agencias de Estados Unidos pueden pedir a los proveedores telefónicos y de internet que entreguen datos de sus clientes para la recolección de datos de inteligencia. En 2007, Yahoo! litigó una orden de FISA para revisar ciertas cuentas de correo sin una orden judicial. Aunque el caso es confidencial, una opinión legal editada de la Corte muestra que la lucha legal de la compañía fue infructuosa. Aún se ignora cuánta información transfirió la corporación, por cuánto tiempo y si otras compañías tecnológicas recibieron órdenes similares, aunque se especula que el buscador ya puso fin a la entrega de datos. El data breach llevó a la estadunidense Michelle Bouras, radicada en Orange, California, a demandar a la empresa el 27 de septiembre, bajo la acusación de violaciones a las leyes de Compensaciones Legales y de Registros de Clientes, así como al Código de Empresas y Profesiones, así como por negligencia e incumplimiento de contrato. Bouras interpuso la querella ante la Corte Superior del estado de California, según el pliego 30-2016-00877883-CU-BT-CXC, consultado por Apro, y en el cual acusa que Yahoo! no protegió adecuadamente la información de sus usuarios, como era su obligación. Esos también son los argumentos esgrimidos por Brendan Quinn, quien demandó a la compañía ante la Corte Superior de California, de acuerdo con el caso BC 635382. Los denunciantes buscan, entre otras metas, daños compensatorios y generales, reembolso, restitución y devolución de ganancias mal habidas, mil dólares por cada miembro de la acción colectiva en daños nominales, amparo y costos del juicio. Frente a esos litigios, que posiblemente sean consolidados en cortes federales de California, la compañía niega cualquier irregularidad o que los quejosos y la acción colectiva sufrieran daño evidente o tengan derecho a cualquier compensación por parte de la corporación. Yahoo!, representada por abogados del despacho Hunton & Williams LLP, de Los Ángeles, ya requirió la consolidación de los expedientes. A esos litigios se suma la solicitud de información presentada por el Grupo de Trabajo del Artículo 29 de la Comisión Europea, un cuerpo colegiado independiente compuesto por las autoridades de protección de datos personales del bloque conocido como G29. En esa petición del 27 de octubre, los especialistas manifestaron su preocupación "por el hackeo y la cantidad significativa de sujetos de datos de la UE que pudieron ser afectados", y sostuvieron que "entender la base legal y la justificación de cualquier espionaje será importante, incluyendo una explicación de su compatibilidad con las leyes europeas y la protección de los ciudadanos" del bloque. La ley de Estados Unidos exculpa a las empresas de responsabilidad legal por entregar información de usuarios al gobierno. Pero el marco sobre intercambio de datos entre Estados Unidos y la UE, conocido como Privacy Shield, obliga a sus signatarios a proveer de información sobre los tipos de datos personales recolectados, sobre los propósitos de esa recolección y uso, opciones para limitar el uso y difusión de datos personales, acceso a esa información y seguridad razonable y apropiada para esos datos. El acuerdo transatlántico, vigente desde julio último para regular el tráfico de datos entre ambas partes, contiene un mecanismo de resolución de disputas sobre la recolección, tratamiento y transferencia de datos. Además, los usuarios afectados pueden presentar una queja ante la Comisión Federal de Comercio de Estados Unidos. Asimismo, el ombudsman del marco es el responsable de manejar solicitudes vinculadas con el acceso por seguridad nacional a datos transmitidos desde la UE a Estados Unidos. El Departamento estadunidense de Estado debe definir los lineamientos para ciudadanos europeos que deseen presentar solicitudes ligadas a dicho acceso. Cuestionamientos múltiples En la carta enviada a Clapper, las organizaciones demandan cumplir el compromiso gubernamental de “proveer con transparencia oportuna sobre asuntos de interés público” al revelar públicamente la interpretación legal y de la Cuarta Enmienda que justificó el espionaje; difundir prontamente la opinión y la orden de la Corte FISA que posibilitaron la vigilancia; revelar si ésta implicó el monitoreo del contenido de los e-mails, e indicar la cantidad total de veces en que tal orden ha sido entregada a un proveedor para que monitoree los correos entrantes, así como el año en que esa orden fue emitida. "Cuestionamos la legalidad de la medida. Esperamos que el gobierno libere la orden que obligó a Yahoo! a monitorear los correos o un sumario. Esperamos más revelaciones sobre la base legal sobre la que se apoya el gobierno. Pero no sé si sabremos más sobre lo que pasó, por cuestiones de seguridad nacional. Esperaría que otras empresas se preocuparan por la naturaleza de la orden que Yahoo! recibió y respaldar los llamados por más transparencia", analizó Nojeim. Para el G29, es de "la mayor urgencia" que Yahoo! dedique "recursos significativos" para "entender, transmitir y abordar" todos los aspectos de esta violación de datos sin precedentes y notificar los efectos adversos a todos los titulares de los datos que usan los servicios que su empresa ofrece. Para los expertos, esa tarea debe ser llevada a cabo "de una forma rápida, integral y fácilmente entendible", de modo que los usuarios europeos de Yahoo! entiendan cualquier medida que necesiten tomar a causa del quebranto. Al Grupo 29 le interesa particularmente la naturaleza y contenido de los datos involucrados, las consecuencias probables de la violación, la cantidad de personas afectadas en cada país europeo, las medidas tomadas para notificar a los titulares de los datos y para mitigar los riesgos a sus derechos y libertades. Finalmente, los expertos piden a la empresa cooperar "completamente" con cualquier investigación emprendida por autoridades de protección de datos nacionales en Europa. El affaire Yahoo! es el primer gran desafío para el Privacy Shield, luego de que su anterior versión, los Principios Internacionales de Privacidad "Puerto Seguro", fuesen anulados por el Tribunal Europeo de Justicia en octubre de 2015 por no salvaguardar adecuadamente los datos de los ciudadanos europeos.