Por: Neyshla García-Padilla*
I. Introducción
Bufetes y oficinas legales de todos los tamaños han sido objeto de ciberataques por parte de piratas informáticos.[1] Casos como el de los Panamá Papers y otros donde grandes bufetes que han admitido haber sido víctimas de violaciones de seguridad en sus sistemas de información, han fomentado que se discuta la realidad de estas amenazas.[2] Una encuesta hecha por la American Bar Association (“A.B.A.”) en el 2015 encontró que el 23 por ciento de los bufetes con más de 100 abogados han experimentado violaciones en sus sistemas informáticos.[3] Los bufetes y oficinas de abogados continúan siendo vulnerables y cada vez son más los afectados por este problema. [4]
Las amenazas de ataques cibernéticos e intrusión en los sistemas de información imponen obligaciones y responsabilidades en los miembros de la profesión legal para proteger, sobre todo, información confidencial y privilegiada. La A.B.A. se expresó sobre el uso de tecnologías en la Opinión Formal Núm. 477R del 22 de mayo de 2017 (“Opinión Núm. 477R”) Securing Communication of Protected Client Information, donde explicó cuál es la responsabilidad ética del abogado al comunicar información confidencial del cliente mediante el uso de internet.[5] En la Opinión Formal Núm. 483 del 17 de octubre de 2018 (“Opinión Núm. 483”), titulada Lawyers’ Obligations After an Electronic Data Breach or Cyberattack, la A.B.A. amplió lo que había discutido en la Opinión Núm. 477R sobre el deber de proteger las comunicaciones confidenciales que el abogado envía por vía de la internet. En la Opinión Núm. 483, la A.B.A. examinó las obligaciones éticas que tiene el abogado cuando información confidencial del cliente queda expuesta por una intrusión cibernética.[6] La Opinión se enfoca en una intrusión donde se expone información relacionada con la representación del cliente. La misma no abarca otras leyes que puedan imponer algún tipo de obligación luego de alguna violación de seguridad, como leyes de privacidad, entre otras. Sobre las mejores prácticas, la A.B.A. recomienda que los abogados que han sufrido una violación de seguridad en sus sistemas de información deben analizar el cumplimiento, por separado, de cada ley o regla aplicable.
La Opinión Núm. 483 parte de la premisa de que el cumplimiento con las obligaciones impuestas por las Reglas Modelo de Conducta Profesional va a depender de la naturaleza del evento cibernético, la habilidad del abogado para conocer los hechos y circunstancias que rodearon el evento, el rol del abogado, su nivel de autoridad y sus responsabilidades en las operaciones del bufete.[7] La Opinión Núm. 483 enfatiza que las Reglas Modelos imponen el mismo estándar de obligaciones tanto en casos de intrusión cibernética que involucren información del cliente como en casos de acceso no autorizado a documentos físicos de clientes.
En esta nota expongo un breve análisis de la Opinión Formal Núm. 483 y su relevancia y posible aplicación en Puerto Rico. Es menester tomar en cuenta que dicha Opinión se basa en una interpretación y aplicación de las Reglas Modelo de la A.B.A., mientras que en Puerto Rico rigen los Cánones de Ética Profesional. Aun cuando nuestros Cánones no reconocen de forma clara la necesidad de que los abogados y abogadas tengan perspectiva tecnológica al abordar su práctica desde un punto de vista ético, varias de sus disposiciones, sobre todo las que le imponen a los abogados los deberes de competencia y de mantener la confidencialidad de la información de sus clientes, sirven de marco al analizar las responsabilidades de un abogado para evitar una intrusión cibernética en sus sistemas de información, minimizar el impacto de una intrusión, atender las consecuencias de la misma, y evitar que ocurran en el futuro.
II. Marco Legal de la Opinión Núm. 483 y de los deberes éticos ante un ataque cibernético.
Los deberes de competencia y confidencialidad son el marco ético-legal de la Opinión Núm. 483. Así, igual a la Regla Modelo 1.1, el Canon 18 de nuestro Código de Ética Profesional establece el deber de competencia del abogado y consejo al cliente.[8] Por tanto, al igual que al amparo de las Reglas Modelo, en Puerto Rico “una representación competente requiere el conocimiento jurídico, la destreza, la profundidad y la preparación necesaria para atender el asunto encomendado.”[9]
En el año 2012, la A.B.A., siguiendo la recomendación de la Comisión de Ética 20/20, reconoció la importancia e impacto que tiene la tecnología en la práctica de la abogacía al incluir en la Regla 1.1 sobre competencia del abogado, el comentario [6] donde dispone la obligación que tienen los abogados en entender los beneficios y riesgos asociados con tecnología relevante.[10] Quiere decir que para que un abogado sea competente, debe conocer, además del derecho, la tecnología que utiliza para proveer sus servicios. Para cumplir con su deber de competencia, los abogados deben usar y mantener esas tecnologías de manera que salvaguarden razonablemente la propiedad e información que le ha sido conferida. La competencia del abogado en este ámbito se puede satisfacer mediante el estudio independiente del abogado, empleando investigación o contratando asistentes cualificados. Contrario a la Regla Modelo, los cánones de ética en Puerto Rico no establecen expresamente la necesidad de tener conocimiento en tecnología para cumplir con el deber de competencia.
Los abogados también tienen que cumplir con el deber de confidencialidad. La Regla Modelo 1.6, establece cuáles deben ser los esfuerzos que deben llevar a cabo los abogados para preservar la confidencialidad de la información relacionada con la representación de un cliente.[11] Esta incluye factores que ayudan a los abogados al momento de determinar si están haciendo “esfuerzos razonables” para proteger la información de los clientes. Los esfuerzos mencionados son la sensibilidad de la información, la posibilidad de divulgación si no se emplean salvaguardas adicionales, el costo de emplear salvaguardas adicionales, la dificultad de emplear estas salvaguardas y el hasta dónde estas salvaguardas pueden afectar la habilidad del abogado para representar a su cliente. En Puerto Rico, los Cánones 21 y 23 discuten el elemento de la confidencialidad y lealtad absoluta para con los clientes. El Canon 21, específicamente, menciona que es obligación del abogado representar al cliente con fidelidad y que esto incluye “no divulgar sus secretos o confidencias y la de adoptar medidas adecuadas para evitar su divulgación.” Mientras que el Canon 23 exalta que la relación entre abogado y cliente debe ser una que esté fundada en la honradez absoluta.
III. Aspectos más importantes de la Opinión Núm. 483 de la A.B.A.
- Obligación de Monitorear Sistemas de Información y tecnología para identificar ataques cibernéticos o eventos que pueden comprometer la confidencialidad de data.
La A.B.A. define una violación de seguridad de datos personales en los sistemas de información cómo un evento en el cual se roba, destruye, o de otro modo se compromete la información confidencial del cliente, o cuando la habilidad del abogado de ofrecer servicios legales para los cuales fue contratado es impedida significativamente por tal episodio.[12] Sin embargo, la Opinión Núm. 483 aclara que no todo episodio cibernético experimentado por un abogado es una violación de seguridad a los sistemas de información que active las obligaciones descritas en la Opinión.
La Opinión se fundamenta en las Reglas Modelo 5.1 y 5.3, las cuales les imponen a los abogados la obligación de asegurarse que en efecto se hayan implementado medidas que provean una garantía razonable de que todos los abogados y los empleados en general en el bufete cumplen con las Reglas Modelo.[13] Los bufetes deben adoptar procedimientos y políticas internas para manejar este tipo de intrusiones y amenazas a la seguridad de los sistemas de información y data. Aunque nuestro Código de Ética Profesional no detalla las medidas que los abogados deben tomar para prevenir e identificar estos episodios de amenazas o ataques cibernéticos, el Canon 18 establece que el abogado debe defender los intereses del cliente diligentemente e impone un deber general de competencia.[14] También, el Canon 23 establece que “[l]a naturaleza fiduciaria de las relaciones entre abogado y cliente exige que éstas estén fundadas en la honradez absoluta”. Proteger la información confidencial de los clientes y los documentos e información del cliente requiere que el abogado actúe diligente y honradamente.[15]
Según el Comité de Ética y Conducta Profesional de la A.B.A., los abogados deben emplear esfuerzos razonables para monitorear la infraestructura tecnológica de la oficina que está conectada al internet, a fuentes de datos externas y a vendedores externos que proveen servicios relacionados a la data y a su uso. Una violación ética puede ocurrir cuando los abogados no ejecutan los esfuerzos razonables para evitar la pérdida de datos, o para detectar una intrusión a sus sistemas de información.
- Detener Intrusión y Restaurar Sistemas
La Opinión Núm. 483 de la A.B.A. indica que cuando se detecta o se sospecha una intrusión en los sistemas de información y cuando información protegida o confidencial del cliente quedó expuesta, la Regla Modelo 1.1 requiere que el abogado actúe razonablemente y con prontitud para detener el ataque o intrusión, de manera que pueda mitigar los daños que resulten del acceso indebido. La Opinión sugiere, como cuestión de preparación y buenas prácticas, que se adopte un plan llamado “incident response plan” con procedimientos específicos para atender el ataque a la seguridad de los sistemas.
El “incident response plan” tiene como fin ayudar a minimizar el robo o la pérdida de información, así como la interrupción a los servicios causados por el incidente.[16] La decisión de implementar un plan y todo lo que conlleva crearlo, debe tomarse antes de que el evento de intrusión ocurra. En caso de que ya haya ocurrido una intrusión, el abogado debe procurar restaurar los sistemas de manera que pueda continuar atendiendo las necesidades de sus clientes. El abogado puede hacerlo por su cuenta, si está cualificado, o con ayuda de expertos en la materia. El proceso de restauración le permite al abogado evaluar cómo ocurrió el incidente y cómo puede prevenir que ocurra nuevamente, incluyendo considerar adoptar nueva tecnología o prescindir de tecnología cuando la misma no sea necesaria.[17]
- Determinar qué ocurrió
La A.B.A. recomienda que, al igual que ocurre si se compromete información impresa o física de un cliente, el abogado debe hacer una investigación. La investigación post-intrusión, requiere que el abogado recopile suficiente información como para asegurar que el ataque cesó y luego, en la manera que sea posible, evalúe los datos que fueron expuestos o robados. Esta información es necesaria para comprender el alcance de la intrusión y permitirle al abogado informar al cliente con precisión sobre el evento, lo que es cónsono con el Deber de Comunicación y Honestidad bajo las Reglas Modelo 1.4 y 8.4(c).[18]
- Deber de notificación al cliente
La Opinión Núm. 483 indica que cuando el abogado conoce o razonablemente debe conocer que ocurrió un ataque cibernético a información confidencial del cliente, debe evaluar su obligación de notificarle al cliente. La comunicación debe proveer información suficiente como para permitirle al cliente tomar una decisión informada de los pasos a seguir, si alguno.
El deber de notificación a un cliente actual surge de la Regla Modelo 1.4(a)(3) la cual dispone que “el abogado deberá informar a su cliente sobre los asuntos objeto de su representación de manera tal que éste pueda tomar una decisión informada”.[19] Por lo tanto, existe una obligación de informar al cliente sobre la violación de seguridad. Igualmente, en Puerto Rico, el Canon 19 del Código de Ética Profesional establece el deber de información al cliente. Éste requiere que el abogado mantenga a su cliente siempre informado de todo asunto importante que surja en el desarrollo del caso que le ha sido encomendado. Aunque el Canon 19 no lo dispone expresamente, una intrusión a los sistemas de información del abogado es un asunto importante que debe ser objeto de notificación al cliente ya que información privilegiada puede haber quedado expuesta a terceros, lo que representa un riesgo para el cliente. Si se le notifica al cliente, este puede tomar las medidas necesarias para proteger su información. Considero que, en Puerto Rico, el Código de Ética Profesional debe expresar directamente el deber del abogado de notificar al cliente al ocurrir este tipo de situaciones.
La Opinión sugiere que, si la obligación para notificar surgió post-intrusión, el abogado debe notificar al cliente actual sin importar el tipo de esfuerzo que haya hecho para proteger la información del cliente luego de la intrusión. La notificación debe proveer suficiente información para que el cliente pueda tomar una decisión informada sobre las medidas de protección que debe tomar, si alguna.
La Opinión concluye que la Regla Modelo 1.4 requiere, como mínimo, que en caso de intrusión a los sistemas de información, donde piratas informáticos hayan visto u obtenido información privilegiada del cliente, se le informe al cliente que hay sospechas de que ocurrió la intrusión o que efectivamente ocurrió una intrusión.[20] Como parte de las mejores prácticas, la Opinión recomienda que el abogado le informe al cliente actual sobre las medidas que ha tomado para atender la intrusión, los esfuerzos realizados para obtener información perdida si eso ocurrió y provea detalles de las medidas tomadas para aumentar la seguridad en el manejo de la data. Los abogados también deben considerar que, además de estas recomendaciones, hay que tener en cuenta otras leyes que puedan imponer algún tipo de obligación luego de alguna violación de seguridad, como leyes de privacidad de datos, entre otras.
La Opinión Núm. 483 también discute y analiza los contornos de la obligación de notificación a los antiguos clientes en caso de que información sobre su representación haya quedado comprometida. Esa discusión se enfoca en la Regla Modelo 1.9(c) la cual dispone que el abogado que haya representado a un cliente en un asunto, o cuyo anterior o actual bufete haya representado a tal cliente en un asunto, no debe divulgar información relacionada con la representación excepto lo permitido o requerido por las Reglas con respecto al cliente.[21] La Opinión reconoce y destaca que las Reglas Modelo no ofrecen guías directas sobre la obligación del abogado notificar al antiguo cliente. En ausencia de una regla o norma específica que lo requiere, el Comité de la A.B.A. no estuvo dispuesto a requerir, desde una perspectiva de reglamentación ética, que el abogado le emita una notificación al antiguo cliente.
Empero, como asunto de buena práctica, la Opinión indica que antes de culminar la relación abogado-cliente, los abogados pueden llegar a un acuerdo con sus clientes sobre cómo manejarán su información electrónica. En caso de que el abogado no haga un acuerdo con el antiguo cliente sobre cómo manejará su información electrónica, se recomienda que el abogado tenga una política de retención de documentos tanto físicos como electrónicos que cumpla con las leyes y reglas aplicables para reducir la cantidad de información que el abogado retiene sobre la representación anterior. En caso de una intrusión a los datos o información electrónica de un antiguo cliente, los abogados también deben considerar que los estatutos de privacidad de data, los deberes generales de cuidado y los acuerdos contractuales con los antiguos clientes, podrían imponerle un deber de notificación al antiguo cliente. Un abogado prudente debe considerar esos asuntos al manejar una intrusión relacionada con información de antiguos clientes.
IV. Comentarios
La Opinión Núm. 483 deja claro que: (i) bajo la Regla Modelo 1.6(c), los abogados deben realizar esfuerzos para prevenir el acceso o divulgación no autorizada de información relacionada con la representación de un cliente, (ii) bajo la Regla Modelo 1.1, los abogados se deben mantener al día con los cambios en tecnología, y (iii) bajo las Reglas Modelo 5.1 y 5.3 los abogados deben supervisar adecuadamente a otros abogados y a suplidores de servicios externos, con relación a posibles violaciones de seguridad de sus sistemas de información. De ocurrir una intrusión en los sistemas de información, el abogado debe notificar a los clientes actuales, por mandato de la Regla Modelo 1.4, proveyendo detalles suficientes para mantener a los clientes “suficientemente informados” y habiéndoles ofrecido una explicación “lo suficientemente abarcadora como para permitirle al cliente tomar una decisión informada sobre su representación”. Nuestro Código de Ética Profesional no discute específicamente cómo manejar estos casos de intrusión en los sistemas de información, a pesar de la rápida integración de nuevas tecnologías en la profesión legal y en la sociedad en general. Nuestro Código de Ética Profesional debe atemperarse a las Reglas Modelo e incluir como parte de los requerimientos de “conocimiento”, “destrezas” y “preparación”, sobre la competencia profesional, el deber de los abogados de tener un conocimiento mínimo sobre los sistemas tecnológicos y una formación continua en torno a cómo utilizarlos.
* Estudiante de cuarto año en la Escuela de Derecho de la Universidad de Puerto Rico y participa de la Clínica de Ética Legal.
[1] A.B.A. Comm’n on Ethics & Prof’l Responsibility, Formal Op. 483 (2018), https://www.americanbar.org/content/dam/aba/administrative/professional_responsibility/aba_formal_op_483.pdf [en adelante, A.B.A. Formal Op. 483].
[2] Are Lawyers Easy Marks for Hackers? The American Lawyer (Online) May 23, 2016 Monday Nell Gluckman, https://www.law.com/americanlawyer/almID/1202757856163/
[3] Id.
[4] Cybersecurity for Law Firms: Recent Developments, New York Law Journal (Online), February 2, 2018 Friday
[5] ABA Formal Opinion 477R: Securing communication of protected client information.
[6] A.B.A. Formal Op. 483 supra nota 2.
[7] In analyzing how to implement the professional responsibility obligations set forth in this opinion, lawyers may wish to consider obtaining technical advice from cyber experts. ABA Comm. on Ethics & Prof’l Responsibility, Formal Op. 477R (2017) (“Any lack of individual competence by a lawyer to evaluate and employ safeguards to protect client confidences may be addressed through association with another lawyer or expert, or by education.”) See also, e.g., Cybersecurity Resources, ABA Task Force on Cybersecurity, https://www.americanbar.org/groups/cybersecurity/resources.html (last visited Oct. 5, 2018).
[8] CÓD. ÉTIC. PROF. 18, 4 LPRA Ap. IX, § 18 (2020).
[9] Ver Regla 1.1, Reglas Modelo de Conducta Profesional, centro de ética legal de la escuela de derecho de la universidad de puerto rico, http://eticalegal.org/wp-content/uploads/2018/05/Reglas-Modelo-Final-1.pdf (última visita 15 de octubre de 2019).
[10] ABA COMMISSION ON ETHICS 20/20 REPORT 105A (Aug. 2012), https://www.americanbar.org/content/dam/aba/administrative/ethics_2020/2012_hod_annual_meeting_105a_filed_may_2012.pdf
[11] Id.
[12] A.B.A. Formal Op. 483, supra nota 2 en la pág. 4.
[13] Model Rules of Prof’l Conduct R. 5.1(a) (2018). “A partner in a law firm, and a lawyer who individually or together with other lawyers possesses comparable managerial authority in a law firm, shall make reasonable efforts to ensure that the firm has in effect measures giving reasonable assurance that all lawyers in the firm conform to the Rules of Professional Conduct.”
Model Rules of Prof’l Conduct R. 5.3(a) (2018). “(a) a partner, and a lawyer who individually or together with other lawyers possesses comparable managerial authority in a law firm shall make reasonable efforts to ensure that the firm has in effect measures giving reasonable assurance that the person’s conduct is compatible with the professional obligations of the lawyer;”
[14] CÓD. ÉTIC. PROF. 18, 4 LPRA Ap. IX, § 18 (2020).
[15] CÓD. ÉTIC. PROF. 23, 4 LPRA Ap. IX, § 23 (2020).
[16] NIST Computer Security Incident Handling Guide, at 6 (2012), https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
[17] Ver Regla 1.6(c), Reglas Modelo de Conducta Profesional, centro de ética legal de la escuela de derecho de la universidad de puerto rico, http://eticalegal.org/wp-content/uploads/2018/05/Reglas-Modelo-Final-1.pdf (última visita 15 de octubre de 2019).
[18] Model Rules of Prof’l Conduct (2018).
[19] Ver Regla 1.4(b), Reglas Modelo de Conducta Profesional, centro de ética legal de la escuela de derecho de la universidad de puerto rico, http://eticalegal.org/wp-content/uploads/2018/05/Reglas-Modelo-Final-1.pdf (última visita 15 de abril de 2020).
[20] Id.
[21] Model Rules of Prof’l Conduct R. 1.9(c) (2018) (traducción suplida).