En 2018, el parlamento australiano aprobó la Ley de Enmienda de Telecomunicaciones y Otras Legislaciones (Asistencia y Acceso) (TOLA) 2018, ampliando los poderes del gobierno para eludir las protecciones de datos digitales y trayendo consigo un potencial daño significativo para la economía y la confianza en los medios digitales, servicios e Internet.
Internet Society encargó a un equipo de investigadores independientes que evaluaran el impacto económico de TOLA. Este equipo, Law & Economics Consulting Associates (LECA), publicó su informe final: El impacto económico de las leyes que debilitan el cifrado el 1 de junio de 2021.
Si bien Australia no es el primer país en aprobar este tipo de ley, los investigadores no encontraron análisis de impacto económico de legislación similar en Australia o en otros lugares, lo que sugiere que se han promulgado leyes similares sin un análisis adecuado de su efecto económico o su impacto en la confianza en la seguridad de datos. Los hallazgos clave de este informe señalan que:
- La Ley TOLA tiene el potencial de provocar un daño económico significativo a la economía australiana y producir efectos secundarios negativos que amplificarán ese daño a nivel mundial.
- La Ley TOLA ha aumentado la incertidumbre empresarial.
- La Ley TOLA puede dañar la imagen de marca de los proveedores de comunicaciones designados (DCP) con operaciones en Australia que son vulnerables a la amenaza que representa TOLA para la seguridad digital de sus productos y servicios.
- La principal fuente de efectos económicos adversos es la amenaza indirecta que la Ley TOLA representa para la confianza en los servicios digitales, incluida Internet.
- Una empresa que respondió a la encuesta y a las entrevistas de los investigadores estimó que, como resultado de la Ley TOLA, había experimentado un impacto económico adverso directo del orden de mil millones de dólares australiano
- En la encuesta de 79 empresas, 54 de las cuales tienen su sede en Australia, el 36% de las que habían sido afectadas por la Ley TOLA declararon que el entorno de riesgo para su negocio se ha visto afectado negativamente por TOLA. Alrededor del 20% dijo que la ley había tenido un impacto negativo en su negocio. Otro 21% creía que TOLA tendría un impacto negativo en los costos operativos futuros de su negocio, incluido el cumplimiento y la remediación.
Puede encontrar un análisis más profundo de los hallazgos clave en esta entrada de blog.
El resumen ejecutivo del informe está disponible a continuación y ofrece una excelente descripción general de los antecedentes y las principales conclusiones del informe. Tanto el informe completo como el resumen ejecutivo también están disponibles en formato pdf, en inglés, francés, español, portugués, árabe y japonés.
Resumen ejecutivo
Autores: George Barker, William Lehr, Mark Loney, and Douglas Sicker, Law and Economics Consulting Associates (LECA)
En diciembre de 2018, el Parlamento de Australia aprobó la Ley de Enmienda de la Legislación sobre Telecomunicaciones y otras Cuestiones (Asistencia y acceso) de 2018, (más conocida como TOLA)[1]. Esta ley amplió la autoridad y las capacidades del gobierno para eludir las protecciones de datos digitales. La ley TOLA creó un marco de conformidad con el cual los organismos de inteligencia y los encargados de hacer cumplir la ley (LEIA)[2] podrían solicitar o exigir a los proveedores de tecnología de la información o, en la terminología de la ley TOLA, a los Proveedores de Comunicaciones Designados (DCP), que proporcionen asistencia para acceder al contenido de los datos cifrados, lo que puede implicar el intercambio de información empresarial confidencial o el diseño de nuevas capacidades.
El objetivo de este informe es evaluar las pruebas disponibles sobre el impacto de la ley TOLA en la economía australiana y del mundo. Nuestro análisis nos lleva a la conclusión de que la ley TOLA tiene el potencial de provocar un daño económico considerable a la economía australiana y producir efectos negativos indirectos que amplificarán ese daño a nivel mundial. Cuando decimos «considerable» nos referimos a daños económicos que ascienden a varios miles de millones de dólares. Estos daños son de base amplia y probablemente se materializarán (sobre todo) en los próximos años.
Existen numerosos mecanismos por los que la ley TOLA puede causar daños económicos. Por ejemplo, esta ley aumenta la incertidumbre empresarial. En los estudios realizados por el Instituto Nacional de Normas y Tecnología (NIST) de los EE.UU. en 2001 y 2018 se concluyó que las intervenciones patrocinadas por el Gobierno que redujeron la incertidumbre sobre la seguridad digital, dieron lugar a beneficios agregados por valor de muchos miles de millones de dólares.[3] Al aumentar la incertidumbre entre los participantes del mercado digital en cuanto a las mejores formas de asegurar la información digital, la ley TOLA puede impedir la materialización de beneficios análogos.
En segundo lugar, la ley TOLA puede perjudicar la imagen de marca de los DCP que operan en Australia y que son vulnerables a la amenaza que esta ley supone para la seguridad digital de los productos y servicios que ellos comercializan. Los clientes, entre los que se encuentran tanto las empresas como los usuarios de Internet del mercado de masas, preocupados por la posibilidad de que sus datos sean menos seguros debido a la ley TOLA, pueden optar por llevar su negocio a otra parte. Estas reacciones pueden reducir los ingresos de los DCP y aumentar sus costos de operación, ya que estos adoptan estrategias para contrarrestar las amenazas relacionadas con la ley TOLA. Estos efectos directos no tienen por qué limitarse a los DCP que reciban notificaciones de la ley TOLA: ellos pueden incidir en los DCP que tomen medidas previendo que han de recibir una notificación de la ley TOLA o en otras entidades preocupadas por el impacto de dicha ley. Estas entidades no tienen por qué limitarse a los DCP, sino que pueden incluir a sus clientes. En conjunto, es probable que estos efectos directos e indirectos tengan una amplia base y se acumulen con el tiempo a medida que las repercusiones se propaguen por la economía.
En tercer lugar, quizá la mayor fuente de efectos económicos adversos sea la amenaza indirecta que la ley TOLA supone para la confianza en los servicios digitales, incluida Internet. Estamos en medio de una transición mundial hacia una economía digital en la que el comercio electrónico y la información digital en red desempeñan un papel cada vez más importante, el cual afecta a todos los países, todos los sectores y todas las empresas. Si los servicios y las redes que apoyan esta actividad son de confianza (por ejemplo, los DCP), las perspectivas de crecimiento económico son buenas. Se espera que la reducción de la confianza en la seguridad de los datos disminuya la demanda agregada en toda la economía digital e induzca a las empresas a incurrir en mayores costos para tratar de compensar los perjuicios derivados de la reducción de la confianza.[4] Además, dado que la tecnología digital se utiliza en toda la economía, estos efectos abarcan la totalidad de esta última e inciden en todos los aspectos del funcionamiento de las empresas modernas. En consecuencia, incluso las pequeñas amenazas a la ciberseguridad, o lo que es lo mismo, a la confianza digital, tienen el potencial de provocar grandes efectos adversos. Un estudio muestra cómo las amenazas a la confianza digital pueden traducirse en daños mundiales del orden de miles de millones de dólares o más.[5] Medir, atribuir y cuantificar el impacto adverso que la ley TOLA tendrá en la confianza digital no es factible con los datos disponibles. Además, dado que estos efectos se producirán sobre todo en los próximos años, la estimación del impacto depende de que se formulen previsiones adecuadas sobre lo que ocurriría con esta ley y sin ella. Tales previsiones dependerán de una amplia gama de supuestos de modelización que probablemente serán controvertidos.
Aunque podemos identificar múltiples vectores a través de los cuales los daños de la ley TOLA pueden propagarse, los datos no nos permiten ofrecer una cuantificación más precisa de los probables daños económicos que esta ley supone. Esto se debe a varios motivos que se analizan con más detalle en el informe, pero entre ellos se encuentran los siguientes:
-
La estimación del impacto económico de la ley TOLA es intrínsecamente compleja y difícil. Esta ley puede tener efectos económicos adversos tanto directa como indirectamente de varias maneras. Algunas son más fáciles de rastrear y estimar que otras, pero para captar todos los efectos es importante no centrarse solo en lo que es fácilmente observable.
-
Hasta la fecha, la aplicación de la ley TOLA ha sido limitada. Desde su aprobación, múltiples revisiones y diversas partes interesadas han expresado su preocupación por la posibilidad de provoque importantes daños económicos y han pedido que se modifique para reducir esa amenaza. El poco tiempo transcurrido desde la aprobación de la ley TOLA y las preocupaciones sobre la mejor manera de responder a la oposición que generó pueden explicar los escasos datos empíricos sobre los costos que se le pueden atribuir.
-
El acceso a datos relacionados con la ley TOLA para utilizarlos en el cálculo de las repercusiones económicas está muy limitado por la falta de transparencia y las disposiciones de no divulgación que forman parte de esta ley. Esta falta de datos supone una amenaza para la supervisión eficaz, en particular para la capacidad de los analistas que intentan hacer cálculos sólidos desde el punto de vista teórico y empírico sobre los efectos de la ley TOLA.
Además, aunque la atención se centra aquí en los posibles costos de la ley TOLA, el examen de los posibles beneficios sugiere que estos últimos serían aún más difíciles de estimar. No está claro si esta ley ha mejorado o mejorará el acceso de los LEIA a los datos digitales o si aumentará la eficacia operativa de estos organismos. Además, en general se acepta que una de las formas más importantes de fomentar la ciberseguridad es promover una mayor adopción del cifrado de extremo a extremo.[6] La ley TOLA supone un obstáculo para la adopción más amplia de un cifrado eficaz de extremo a extremo, ya que, por su diseño, esta ley procura brindar una capacidad para acceder al contenido de los datos cifrados.
Nos ha sorprendido comprobar que ni en Austraia ni en otros sitios se ha realizado ninguna labor previa sustancial para estimar empíricamente los costos o beneficios económicos de la ley TOLA o de alguna ley análoga (con implicaciones económicas para la seguridad digital).
A falta de investigaciones de terceros en las que basar una estimación del impacto económico de la ley TOLA, llevamos a cabo una investigación primaria en forma de entrevistas detalladas realizadas por videoconferencia con los principales DCP multinacionales y por medio de una encuesta anónima a los DCP, todos ellos con operaciones en Australia. Como explicamos con más detalle en el informe, los datos empíricos recogidos son totalmente coherentes y respaldan el análisis del resto del informe. La investigación de las experiencias y expectativas de los DCP con la ley TOLA proporciona un fundamento empírico para concluir que:
-
Es de esperar que la ley TOLA tenga un impacto adverso en las empresas y sus clientes que sea de base amplia (es decir, que no se limite a las empresas de los sectores de las TIC).
-
La mayor parte de los daños previstos serán indirectos y estarán asociados a la amenaza que la ley TOLA supone para la percepción de los clientes y los socios del sector sobre la confianza digital.
-
Sigue habiendo una incertidumbre considerable sobre la ley TOLA y sus efectos.
-
Los datos empíricos directos de los costos (o beneficios) económicos son muy limitados, pero atribuimos ese hecho a lo siguiente: a) la falta de transparencia que caracteriza las actividades relacionadas con la ley TOLA debido a las disposiciones de no divulgación; b) el escaso tiempo transcurrido desde la aprobación de esta ley y la controversia aún vigente que impide que los LEIA apliquen la autoridad que esta ley les brinda, y c) la previsión de que los impactos sean probablemente indirectos y ocurran en el futuro.
-
Los datos directos limitados que observamos apoyan la conclusión de que los beneficios específicos de las empresas son probablemente pequeños, mientras que sus costos específicos pueden ser bastante grandes.
-
Los datos empíricos disponibles no proporcionan una base fiable para cuantificar el impacto económico agregado de esta ley.
Los datos también fueron coherentes con nuestra expectativa de que las pruebas empíricas de los efectos directos de la ley TOLA serían escasas y difíciles de observar. Sin embargo, esta falta de datos empíricos no es prueba de que no haya ningún efecto. No obstante, los escasos datos recogidos son reveladores. Uno de los encuestados que había experimentado un impacto económico adverso directo estimaba que el efecto había sido del orden de los mil millones de dólares (australianos)[7], mientras que el único encuestado que opinaba que el impacto de la ley TOLA era mayoritariamente favorable consideraba que el principal efecto de esta ley era la racionalización de la legislación existente.[8] Ambas observaciones son coherentes con la conclusión de que los beneficios específicos para las empresas son probablemente pequeños, mientras que los costos específicos para ellas pueden ser bastante grandes. Aunque la investigación empírica apoya la conclusión general del informe, el tamaño de la muestra impide utilizarla como base para hacer una cuantificación más precisa de esos daños.
Conclusiones
En conjunto, este análisis nos lleva a concluir que la ley TOLA supone un riesgo significativo de daños económicos a futuro para la economía australiana con consecuencias adversas a nivel internacional. Esta evidencia preliminar demuestra que algunas firmas ya han experimentado daños económicos significativos, aunque parece que la mayoría del impacto añadido de los daños ocurrirá en el futuro y se extenderá si continúa la amenaza de la ley TOLA al cifrado. Además de eso, la confusión e incertidumbre que la ley TOLA causa en relación con los DCP persiste y aún no han deben ser manejadas de manera adecuada.
Mientras que los retos que implican el estimar el impacto económico son difíciles, no ha habido ninguna investigación pública que intente cuantificar el impacto económico de la ley TOLA o de otras legislaciones australianas o de cualquier otra región. Sin embargo, la falta de evidencia empírica no implica que no haya un impacto significativo. En su lugar, esto sugiere que la carga de la prueba debería cambiar a la evaluación del caso en el sentido de por qué se espera que la ley TOLA surta beneficios significativos, tomando en cuenta que los riesgos o daños cuantiosos que suponen dicha ley son claros.
Notas
[1] También conocida como la Ley de Cifrado o la Ley de Asistencia y Acceso,https://www.legislation.gov.au/Details/C2018A00148/Download
[2] LEIA son las siglas de las Agencias de Inteligencia y Aplicación de la Ley, entre las que se incluyen las agencias gubernamentales legalmente autorizadas para solicitar acceso gubernamental a los datos.
[3] Ver NIST (2015, 2018), cuyos estándares se discuten más abajo y a los que se hace referencia en las notas 110, 112 infra.
[4] En 2019, 18 % de aquellos que desconfían de Internet respondieron que hacen menos compras en línea (ver https://www.internetsociety.org/wp-content/uploads/2019/06/CIGI-Ipsos-Trust-User-Privacy_Report_2019_EN.pdf).
[5] Por ejemplo, vea el estudio del Zurich Insurance Group (2015), Nota 105 infra.
[6] «El cifrado de extremo a extremo (en el que las claves necesarias para descifrar un comunicado cifrado reside solo en los dispositivos que se comunican entre sí) proporciona el nivel más alto de seguridad y confianza puesto que, por su diseño, solo el destinatario correcto tiene la llave para descifrar el mensaje» (ver https://www.internetsociety.org/resources/doc/2020/fact-sheet-client-side-scanning/)
[7] El resultado adverso se le atribuyó directamente al daño que produjo la ley TOLA a la imagen de marca de DCP, el cual al mismo tiempo resultó en pérdidas para las ventas presentes y futuras. Vea el Capítulo 6 para una discusión completa sobre la entrevista y los resultados de la encuesta.
[8] Antes de la ley TOLA, un subconjunto de los DCP fueron sujeto de la legislación vigente que proveyó acceso gubernamental a los datos digitales. Uno de los demandados veía la ley TOLA como una ley que reduce los costos al racionalizar la exposición de la firma frente a la legislación vigente. El demandado no proveyó un estimado de los costos-ahorros, aunque no pareció verlos como particularmente cuantiosos.