La semana pasada, un juez federal rechazó la moción del gobierno para desestimar nuestra demanda judicial en virtud de la Ley de Privacidad contra la Oficina de Administración de Personal de EE. UU. (OPM) y el «Departamento de Eficiencia Gubernamental» (DOGE) de Elon Musk. La OPM está revelando a los agentes del DOGE información personal altamente sensible de decenas de millones de empleados federales, jubilados y solicitantes de empleo. Esta divulgación viola la Ley de Privacidad Federal, una ley decisiva que limita estrictamente la forma en que el gobierno federal puede utilizar nuestra información personal.

Representamos a dos sindicatos de empleados federales: la AFGE (American Federation of Government Employees) y la AALJ (American Association of Law Judges). Nuestros abogados adjuntos son Lex Lumina LLP, State Democracy Defenders Fund y The Chandra Law Firm LLC.

Ya hemos explicado por qué la nueva sentencia es un gran asunto, pero profundicemos en el razonamiento del Tribunal.

Los demandantes tienen legitimación activa

Un demandante debe demostrar que tiene «legitimación» para presentar su demanda. El artículo III de la Constitución de los Estados Unidos faculta a los tribunales para decidir «casos» y «controversias». Los tribunales han sostenido durante mucho tiempo que esto requiere que el demandante demuestre un «daño de hecho», es decir, entre otras cosas, «concreto». En los últimos años, dos decisiones del Tribunal Supremo — Spokeo contra Robins (2016) y TransUnion contra Ramírez (2021)— abordaron cuándo una lesión «intangible», como la invasión de la privacidad de los datos, es suficientemente concreta. Dictaminaron que dicha lesión debe tener «una estrecha relación con un daño tradicionalmente reconocido como base para una demanda en los tribunales estadounidenses».

En nuestro caso, el Tribunal consideró que nuestros clientes superaron esta prueba: «La demanda alega daños concretos análogos a la intrusión en la intimidad». Este es uno de los agravios de privacidad del derecho consuetudinario, reconocido desde hace mucho tiempo en la legislación estadounidense. Según el Restatement of Torts, se produce cuando una persona «invade» la «intimidad de otra» de una manera «altamente ofensiva para una persona razonable».

El Tribunal razonó que los registros en cuestión aquí «contienen información sobre los asuntos profundamente privados de los demandantes», incluyendo «números de seguridad social, historial médico, divulgaciones financieras e información sobre miembros de la familia». El tribunal también enfatizó la alegación de los demandantes de que estos registros fueron «divulgados a los agentes de DOGE de manera apresurada e insegura», incluyendo «acceso administrativo, lo que les permitió alterar los registros de la OPM y ocultar su propio acceso a esos registros».

El Tribunal rechazó el argumento de los demandados de que nuestros clientes supuestamente alegaron «solo que a los agentes de DOGE se les concedió acceso al sistema de datos de la OPM», y no también que «los agentes de DOGE de hecho utilizaron ese acceso para examinar los registros de la OPM». Como cuestión de hecho, los demandantes alegaron que «los agentes de DOGE realmente aprovecharon su acceso para revisar, poseer y utilizar los registros de la OPM».

Como cuestión legal, tal uso no es necesario: «La exposición de la información de identificación personal del demandante a terceros no autorizados, sin uso o divulgación posterior, es análoga al daño reconocible en virtud del derecho consuetudinario a la privacidad». Así lo dictaminó el Tribunal, que observó: «al menos cuatro de los tribunales federales han determinado que los demandantes ante ellos habían demostrado suficientemente un daño concreto, análogo a los agravios de privacidad del derecho consuetudinario, cuando las agencias concedieron a los agentes de DOGE acceso a los repositorios de información personal de los demandantes».

Para tener legitimación, un demandante también debe demostrar que su «daño de hecho» es «real o inminente». El Tribunal sostuvo que nuestros clientes también pasaron esta prueba. Dictaminó que los demandantes alegaron adecuadamente un daño real: «el acceso continuo no autorizado por parte de los agentes de DOGE a los datos de los demandantes». También dictaminó que los demandantes alegaron adecuadamente un perjuicio separado e inminente: la divulgación de la OPM a DOGE «ha hecho que los datos de la OPM sean más vulnerables a la piratería informática, el robo de identidad y otras actividades que son sustancialmente perjudiciales para los demandantes». El Tribunal hizo hincapié en las alegaciones de «acceso amplio y descontrolado a agentes de DOGE que no fueron debidamente investigados o capacitados», así como en la notoria violación de datos de la OPM en 2015.

Por último, el Tribunal sostuvo que nuestros clientes alegaron suficientemente los dos elementos restantes de legitimación: que los demandados causaron daños a los demandantes y que un mandamiento judicial los repararía.

Los demandantes pueden proceder con sus reclamaciones de la Ley de Privacidad

El Tribunal sostuvo: «Los demandantes han alegado de manera plausible violaciones de dos disposiciones de la Ley de Privacidad: 5 U.S.C. § 552a(b), que prohíbe ciertas divulgaciones de registros, y 5 U.S.C. § 552a(e)(10), que impone el deber de establecer las salvaguardias adecuadas y garantizar la seguridad y confidencialidad de los registros». El Tribunal citó a otros dos jueces que recientemente habían «encontrado una probabilidad de que los demandantes tuvieran éxito» en sus reclamaciones por divulgación ilícita.

Retomando sus argumentos de legitimación fallidos, el gobierno argumentó que para alegar una violación de la regla de no divulgación de la Ley de Privacidad, nuestros clientes deben alegar «no solo la transmisión a otra persona, sino también la revisión de los registros por parte de ese individuo». Una vez más, el Tribunal rechazó este argumento por dos razones independientes. De hecho, «la demanda alega ampliamente que los agentes del DOGE vieron, poseyeron y utilizaron los registros de la OPM». Legalmente, «los demandados malinterpretan el término «divulgar»». El Tribunal examinó la propia normativa de la OPM, que define el término para incluir «proporcionar una revisión personal de un registro», y una opinión de un tribunal de apelación anterior, que interpreta el término para incluir «prácticamente todos los casos [de] transmisión no autorizada por parte de una agencia de un registro protegido».

A continuación, el gobierno alegó una excepción a la norma de no divulgación de la Ley de Privacidad, para la divulgación «a aquellos funcionarios y empleados de la agencia que mantiene el registro que tienen necesidad del registro en el desempeño de sus funciones». El Tribunal observó que nuestros clientes impugnaron esta excepción por dos motivos independientes: «tanto porque [las divulgaciones] se hicieron a agentes del DOGE que no eran funcionarios ni empleados de la OPM como porque, aunque los agentes del DOGE fueran empleados de la OPM, no necesitaban esos registros para el desempeño de ninguna función legal». En ambos casos, las alegaciones de los demandantes fueron suficientes.

Los demandantes pueden tratar de prohibir las violaciones de la Ley de Privacidad

El Tribunal dictaminó que nuestros clientes pueden solicitar medidas cautelares y declaratorias contra las presuntas violaciones de la Ley de Privacidad, mediante la Ley de Procedimiento Administrativo (APA), aunque no a través de la propia Ley de Privacidad. Esto representa una victoria: lo que importa, en última instancia, es la disponibilidad de reparación y no el camino específico hacia dicha reparación.

Como se ha comentado anteriormente, los demandantes alegan dos violaciones de la Ley de Privacidad por parte del gobierno: divulgaciones ilegales y fallos ilegales de ciberseguridad. Los demandantes también presentan una demanda APA que argumenta que la acción de la agencia fue «no conforme a la ley», relacionada directamente con estas dos violaciones de la Ley de Privacidad.

Para estar sujeta a revisión judicial APA, la acción de la agencia impugnada debe ser «definitiva» El Tribunal consideró la finalidad: «La demanda alega de manera plausible que las acciones de la OPM no fueron representativas de sus operaciones cotidianas ordinarias, sino que fueron, en marcado contraste con sus procedimientos normales, ilegales, apresuradas y peligrosas».

Otro requisito para la revisión judicial de la APA es la ausencia de «otro recurso adecuado». El Tribunal concluyó que, como resultado, los demandantes carecen de un recurso adecuado en virtud de la Ley de Privacidad y pueden recurrir a medidas cautelares según la APA. El Tribunal escribió además:

El argumento kafkiano de los demandados privaría a los demandantes de cualquier recurso legal. Según su postura, los demandantes no tendrían derecho a una medida cautelar, ni en virtud de la Ley de Privacidad ni de la APA. Este razonamiento, sin embargo, se desmorona rápidamente bajo escrutinio.

Los demandantes pueden proceder con otras dos reclamaciones

El Tribunal permitió a nuestros clientes seguir adelante con sus otras dos reclamaciones.

Primero, pueden proceder con su demanda de que el gobierno violó la APA al actuar de manera «arbitraria y caprichosa». El Tribunal razonó: «La demanda alega que la OPM apresuró el proceso de incorporación, omitió prácticas de seguridad cruciales y, por lo tanto, puso en grave riesgo la seguridad de los registros de la OPM».

Por último, nuestros clientes están autorizados a continuar con su reclamación de que DOGE actuó «ultra vires», es decir, excedió su poder legal, al acceder a los registros de la OPM. El Tribunal razonó: «La demanda alega adecuadamente que los demandados de DOGE cruzaron clara y abiertamente una línea trazada por el Congreso en la arena».

Próximos pasos

El Congreso aprobó la Ley de Privacidad en respuesta a los escándalos de Watergate y COINTELPRO, con el objetivo de restaurar la confianza en el gobierno y prevenir que un futuro presidente creara otra «lista de enemigos». Asimismo, el Congreso concluyó que el creciente uso, por parte del gobierno federal, de bases de datos repletas de registros personales «aumentaba enormemente el daño a la privacidad individual». Por esta razón, se establecieron regulaciones estrictas sobre el uso de estas bases de datos por parte de las agencias gubernamentales.

Actualmente, la recopilación de datos por parte de DOGE podría representar la peor violación de la Ley de Privacidad desde su promulgación en 1974. Por ello, es una excelente noticia que un juez haya rechazado la moción del gobierno para desestimar nuestra demanda. Esto nos permite continuar adelante y demostrar nuestro caso.

Related Issues

Privacy

Related Cases

American Federation of Government Employees v. U.S. Office of Personnel Management

Related Updates

Electronic Frontier Alliance logo in a tricolor starburst
Deeplinks Blog by Rory Mir | April 3, 2025

Calyx Institute: A Case Study in Grassroots Innovation

Technologists play a huge role in building alternative tools and resources when our right to privacy and security are undermined by governments and major corporations. This direct resistance ensures that even in the face of powerful adversaries, communities can find some safety and autonomy through community-built tools.One of the most...

The words "EFFecting Change" on black background with red,white,& grey ribbons with panelist photos
Deeplinks Blog by Melissa Srago | March 13, 2025

EFFecting Change: Is There Hope for Social Media?

Please join EFF for the next segment of EFFecting Change, our livestream series covering digital privacy and free speech. Join our panel featuring EFF Civil Liberties Director David Greene, EFF Director for International Freedom of Expression Jillian York, Mastodon's Felix Hlatky, Bluesky's Emily Liu, and Spill's Kenya Parham as they...