O FTC pode enfrentar o desafio da privacidade, mas não sem a ajuda do Congresso

O recente acordo do Facebook com a Federal Trade Commission (FTC) reacendeu o debate sobre se a agência está à altura da tarefa de proteger a privacidade. Muitas pessoas, incluindo alguns céticos quanto à capacidade da FTC de controlar o Vale do Silício, elogiaram o acordo, ou pelo menos partes dele.

Outros, no entanto, viram a multa de cinco bilhões de dólares, as reformas de supervisão e as medidas de certificação de conformidade como uma gota no oceano em comparação com os lucros do Facebook. Dois comissários dissidentes da FTC e outros críticos apontaram que a FTC não mudou o modelo de negócios fundamental do Facebook nem responsabilizou Mark Zuckerberg pessoalmente, apesar das sugestões de que a empresa não cumpriu com sua ordem original de consentimento da FTC de 2010 logo depois que o acordo foi assinado. Alguns defensores da privacidade e legisladores até argumentaram que os limites do acordo são evidências de que a FTC, a principal reguladora de privacidade nos Estados Unidos desde o final dos anos 1990, não é mais a agência certa para proteger nossas informações pessoais da Big Tech. Eles apóiam a criação de uma nova agência federal voltada para a privacidade do consumidor.

Achamos que a FTC ainda é a agência certa para liderar o esforço regulatório de privacidade dos Estados Unidos. Neste ensaio, explicamos os pontos fortes estruturais e culturais da FTC para essa tarefa e, em seguida, voltamos para as reformas que poderiam ajudar a FTC a enfrentar os desafios modernos de privacidade da informação. Fundamentalmente, o FTC tem a estrutura e os poderes legais necessários para fazer cumprir as regras de privacidade razoáveis. Mas precisa evoluir para enfrentar o desafio de regulamentar as plataformas de informação modernas.



O FTC exerce grandes poderes temperados com experiência

O FTC tem poderes notáveis. Em sua criação, há um século, o Congresso lhe deu ferramentas de investigação e fiscalização sem precedentes. Isso foi ampliado ao longo do tempo, à medida que a FTC enfrentou novos erros. Hoje, a FTC pode examinar as práticas de negócios mesmo quando não há predicado investigatório e, como agência de proteção ao consumidor de propósito geral, pode processar quase qualquer empresa.

Como resultado, o FTC é ágil e pode se adaptar às novas tecnologias sem um ato do Congresso. Fundada na época da propaganda enganosa em jornais, a FTC rapidamente se transformou em fraude no rádio, na televisão e na Internet. A amplitude e a generalidade de seus poderes também são uma fonte de força. Muito mais do que apenas proteção de dados, os problemas modernos do consumidor envolvem plataformas, energia, assimetrias de informação e competição de mercado. Em teoria, a FTC tem jurisdição e responsabilidade ampla o suficiente para lidar com diversos problemas frequentemente rotulados como privacidade, como manipulação algorítmica e responsabilidade.

Na economia da informação, a privacidade está entre os valores mais importantes que a lei e as normas devem proteger. No entanto, ao mesmo tempo, a privacidade também deve acomodar outros valores importantes, incluindo os riscos inerentes ao desenvolvimento econômico. Em nossa opinião, a privacidade é um meio para os fins de liberdade e autonomia em nossas vidas pessoais e em nossa política. É um componente chave para o florescimento humano.

O FTC alcançou muito com recursos limitados e sem apoio consistente do Congresso

Muitos problemas de privacidade são considerados novos. Mas a FTC tem décadas de experiência em lidar com problemas de privacidade, especialmente em relatórios de crédito e cobrança de dívidas. As primeiras questões de privacidade de informações da FTC, em 1951 e, em seguida, uma série de casos na década de 1970, reconheceram a preferência geral do consumidor contra a comercialização de dados pessoais. Usando seus poderes de fiscalização, a FTC processou empresas por coleta enganosa de dados e pela venda de dados coletados na preparação de declarações fiscais. A agência apresentou seu primeiro caso de fraude relacionada à Internet em 1994, muito antes de a maioria dos consumidores fazer compras online. Desde então, a FTC tem perseguido os maiores nomes do comércio pela Internet. Ele tem ampliado constantemente as funções de tratamento justo da informação, particularmente no domínio da segurança da informação.

A jurisdição mais ampla da FTC é sua aplicação contra práticas desleais e enganosas de acordo com a Seção 5 da Lei da FTC. Apesar de um amplo alcance, no entanto, a Seção 5 tem alguns limites significativos de poder. A FTC geralmente não pode emitir uma multa por violações da Seção 5 inicialmente - multas só podem ser emitidas por violações de decretos de consentimento, como aconteceu no caso do Facebook.

qual é o país mais racista do mundo

Os recursos são a maior restrição da FTC. É uma pequena agência encarregada de uma ampla missão em concorrência e proteção ao consumidor. Realiza essa missão com um orçamento de pouco mais de US $ 300 milhões e uma equipe total de cerca de 1.100, dos quais não mais de 50 encarregados da privacidade. Em comparação, o Gabinete do Comissário de Informação (ICO) do Reino Unido tem mais de 700 funcionários e um orçamento de £ 38 milhões para uma missão focada inteiramente na privacidade e proteção de dados. Além disso, durante grande parte da história moderna, o Congresso manteve a FTC sob controle. Em 1980, Congresso puniu a agência por ser muito agressiva , fazendo com que ele desligue duas vezes. O Congresso manteve a autorização sobre o chefe da agência e usou o poder de supervisão para examinar o que os membros do Congresso percebem como o uso extensivo da autoridade legal da FTC, incluindo sua interpretação de danos à privacidade.

Dadas essas restrições, os advogados da FTC fazem escolhas pragmáticas em sua seleção de casos. A qualquer momento, os advogados estão investigando muitas empresas e avaliando as decisões sobre onde direcionar os recursos limitados de fiscalização. A FTC só pode mover ações contra uma pequena fração dos infratores e escolheu casos com sabedoria para fazer declarações em voz alta à indústria sobre como proteger a privacidade.

Mesmo com essas limitações severas, conseguiu sustentar normas importantes e enviar sinais fortes à indústria que influenciaram as práticas de muitas empresas. Tornou-se uma importante agência de fiscalização à qual a indústria presta atenção. Possui um histórico de aplicação que se compara muito bem a outras agências nos Estados Unidos e também em todo o mundo.

Alguns críticos do acordo com o Facebook se concentraram apenas em suas deficiências. Apesar das falhas e limites no pedido de consentimento, a multa de cinco bilhões de dólares foi, de longe, o maior acordo de privacidade em todo o mundo. É uma ordem de magnitude maior do que a multa mais alta sob o Regulamento Geral de Proteção de Dados da UE até agora (a multa de € 183 milhões da ICO do Reino Unido contra a British Airways) e quase o dobro da multa recorde sob a lei de concorrência da UE, que os defensores da privacidade recomendaram como a referência para multas de privacidade.

O acordo também contém medidas significativas e dignas de nota, como forçar o Facebook a tornar a privacidade uma preocupação do conselho e exigir que Mark Zuckerberg verifique a conformidade. Como observam os comissários dissidentes Chopra e Slaughter, o acordo da FTC não resolve todos os problemas; A estrutura e o modelo de negócios do Facebook permanecem os mesmos. Mas nenhuma agência de fiscalização existente chegou perto de igualar o impacto da FTC neste caso, e agências estrangeiras de proteção de dados semelhantes às propostas nos EUA, pois as alternativas da FTC não demonstraram o poder ou capital político para fazê-lo. No que diz respeito aos aplicadores de privacidade, o FTC agrada aos demais em muitos aspectos.

O FTC resiste à captura e ao partidarismo

O FTC é resistente, embora não imune, à captura pelas indústrias que regulamenta. Uma razão pela qual a FTC resiste à captura é porque ela não regulamenta uma indústria única e coerente. Mesmo a indústria de tecnologia é um grupo heterogêneo, com interesses fundamentais concorrentes e conflitantes. Embora algumas empresas de tecnologia tenham acompanhado seus modelos de negócios com compromissos com a privacidade como um direito humano, isso não é típico do Vale do Silício.

O episódio de captura mais recente do FTC relacionado à bolha de crédito. A agência bebeu profundamente do poço de crédito, com um oficial até mesmo cunhando a frase milagre de crédito instantâneo para descrever o que ele acreditava ser um sistema de concessão sólido que poderia assumir os riscos adequados mesmo com tomadores de empréstimos subprime. Na época, a FTC - e virtualmente todos os outros reguladores - abraçou as preferências da indústria para a venda de dados e juntou-se à indústria na oposição a reformas reais para proteger os consumidores.

A resposta ao colapso do crédito é instrutiva na avaliação dos pontos fortes e fracos da FTC na proteção ao consumidor. O desastre abalou a confiança do Congresso na FTC, levando o Congresso a pensar que os serviços financeiros precisavam de seu próprio regulador de proteção ao consumidor, o Consumer Financial Protection Bureau (CFPB). Com um novo nomeado presidencial à sua frente, o CFPB deixou de ser um executor sério para se tornar um instrumento de mera educação do consumidor. Ao contrário do CFPB, o FTC, até agora, resistiu à administração Trump. A liderança nomeada pela FTC é bem qualificada e fundamentalmente a bordo de uma missão de proteção ao consumidor.

As agências podem ser capturadas não apenas pelas indústrias, mas também por ideologias. Por mais importante que seja a privacidade, o risco de uma agência de privacidade é que ela possa se tornar muito pró-privacidade, muito estreitamente focada nas proteções amplamente processuais de práticas justas de informação. A FTC geralmente evita ir muito longe em qualquer uma dessas direções. Ela tem a tarefa de proteger os consumidores de forma mais holística. Não trata a privacidade como um fim em si mesma, mas tem como objetivo promover a privacidade em um ambiente de mercados prósperos e desenvolvimento tecnológico.

A estrutura da FTC, com não mais do que três em cada cinco comissários autorizados a ser do mesmo partido político, ajudou a permanecer bipartidária. E, na prática, o FTC geralmente operou com um amplo consenso em casos de privacidade. A maioria das ações de imposição de privacidade recebeu 5-0 votos dos comissários.

Reforçando os poderes existentes da FTC

Apesar da aplicação equilibrada e consistente da FTC, ela não está realizando todo o potencial de sua autoridade. A agência deve aceitar mais casos inovadores e que estimulam as normas. A maioria de seus casos modernos são certezas porque a agência é avessa a riscos e teme uma reação negativa do Congresso. De fato, em uma era diferente quando o Congresso apoiou a FTC, a FTC assumiu casos que eram mais normativamente consequentes. Mas, nas últimas décadas, tem procedido de forma mais cautelosa e incremental, negociando ordens de consentimento e apenas raramente litigando.

Além de fazer mais para promover as normas, o FTC tem poderes que poderiam criar mais dissuasão, se usados. O Circuito DC afirmou recentemente um amplo poder de impor responsabilidade pessoal às pessoas que participam diretamente ou controlam práticas enganosas. Isso parece ser um excelente remédio para empresas de plataforma como o Facebook e o Google. Essas empresas continuam a ser controladas pelo fundador em um sentido real, e os fundadores demonstraram pouco ou inconsistente respeito pelos interesses de privacidade dos usuários. Em suas investigações, a FTC descobriu vários e-mails de executivos nos quais discutiam predações de informações. Considerar esses executivos mais responsáveis ​​pode ter um efeito dissuasor dramático.

A FTC também poderia conseguir maior dissuasão, alavancando um poder obscuro conhecido como responsabilidade não respondente. Nos casos em que a FTC tem uma questão totalmente julgada em relação a alguma prática comercial, a agência pode usar esse precedente para emitir penalidades civis para outros envolvidos na mesma atividade. O poder é limitado a casos de conhecimento real de um precedente estreitamente semelhante pelo novo réu, mas isso pode ser estabelecido através do envio de notificação à empresa de seu delito e da ordem anterior relevante. Se pensarmos nos erros recentes de privacidade - segurança de dados insatisfatória, venda de dados apesar da promessa de não o fazer e assim por diante - muitos são práticas recorrentes e generalizadas. Se a FTC estivesse disposta a julgar apenas um caso envolvendo venda de informações, alteração das configurações dos usuários ou mesmo armazenamento de senhas em texto simples, centenas de empresas poderiam herdar a exposição à responsabilidade civil por meio desse mecanismo.

Os poderes existentes da FTC seriam fortalecidos pela ampliação de sua análise econômica. Alguns membros da FTC veem a privacidade como um interesse econômico, mas a aplicação dos princípios econômicos da FTC tem sido excessivamente doutrinária. A FTC considera as reivindicações de utilidade das empresas obtidas a partir de informações pessoais pelo seu valor nominal - basta observar como a agência se curvou aos credores subprime. Ao mesmo tempo, a FTC tem se mostrado cética quanto às consequências econômicas do comércio de informações para os consumidores, incluindo os custos de transação que as empresas podem moldar e impor oportunisticamente aos consumidores. O FTC está descompassado com as melhores evidências comportamentais sobre como os consumidores (mal) concebem a economia da informação. Com uma concepção econômica mais ampla de comportamento do consumidor e erros de privacidade, a FTC poderia usar seu poder para policiar muitas práticas que violam normas.

tensões entre nós e a China

A FTC não apreciou totalmente o desafio do mercado de informações e do poder da plataforma, resultando em casos pouco conceituados e oportunidades perdidas. O desafio do consumidor moderno não é a escassez de informações e uma escolha discreta entre comprar um Abdominizer ou Ab Roller. A dinâmica da informação moderna é de excesso de informação, e muitas transações são contínuas, onde as empresas tentam capturar consumidores em uma plataforma. As plataformas têm meios insondáveis ​​e fins mal compreendidos, podem alterar os termos dos consumidores e manterão os dados do usuário para sempre, se puderem.

O poder da plataforma é, portanto, maior do que nossas decisões individuais. Os poderes da plataforma moldam nossas decisões e distorcem o que pensamos ser possível. Esse é o desafio moderno que a FTC precisa enfrentar. É maior do que a privacidade, e uma agência focada apenas na proteção de dados não poderia lidar com isso.

Reformando o FTC

Com mais recursos, o FTC poderia lidar com muitos mais casos. A quantidade depende do tipo de empresa e das áreas de negócio. Um efeito de ferradura assola a aplicação da privacidade da FTC: algumas pequenas empresas podem se considerar imunes porque acreditam que são muito irrelevantes para a atenção da FTC, enquanto algumas das maiores empresas se mostraram dispostas a fazer quase qualquer coisa para ganhar o status de plataforma.

Claramente, o número de casos que a agência está fazendo agora não é suficiente. Em média, a FTC anuncia cerca de 15-20 acordos de fiscalização da Seção 5 por ano. Ele poderia começar fazendo cerca de 100 casos e, em seguida, estudar o efeito dissuasor entre pequenas e grandes empresas. Mas ele precisa de muito mais recursos para se expandir dessa forma. Independentemente de adotar uma legislação de privacidade abrangente que expanda a autoridade de aplicação da FTC, o Congresso deve expandir significativamente as dotações da agência para fazer cumprir a lei existente.

Além disso, à medida que as ameaças das plataformas evoluem e se tornam claras, o FTC pode precisar ir além da defesa contra o engano e ações injustas que causam danos, e também direcionar a manipulação e práticas abusivas. Plataformas e aplicativos agora estão implantando regularmente interfaces de manipulação, às vezes chamadas de padrões escuros, para persuadir, pressionar e convencer as pessoas a agirem contra seus próprios interesses para o benefício da empresa. Esses padrões sombrios muitas vezes não são totalmente enganosos nem necessariamente causam o tipo significativo de dano contemplado pelas regras de injustiça. Em vez disso, eles alavancam as próprias limitações das pessoas contra eles de uma forma adversa. O Congresso poderia encorajar a FTC a lutar contra esses padrões sombrios, modificando a Seção 5 para proibir práticas comerciais abusivas, além das enganosas e injustas, que espelhariam os poderes do CFPB.

O que realmente incomodou os dois comissários dissidentes e muitos críticos é que a FTC não mudou o modelo de negócios do Facebook; acabou de criar um rastro de papel melhor para quando o Facebook vigiar seus usuários. No entanto, se a FTC pretende levar a sério a privacidade, o Congresso terá que levar a sério a limitação do poder da plataforma, entre outras questões. A FTC não pode corajosamente fazer todas as coisas que devem ser feitas sem que o Congresso também tome medidas.

Conclusão

Achamos que a FTC se saiu bem, dados seus limites sobre penalidades civis e regulamentação. O desempenho do FTC deve ser avaliado no contexto de seu ambiente hostil. É constantemente superado por poderosos grupos empresariais. A FTC tem muito menos recursos do que a maioria das empresas que examina, bem como suas agências semelhantes em outras partes do mundo. Dado seu poder, sua posição, a lei e todas as pressões sobre ela, a FTC navegou bem nessas águas. Em geral, foi bipartidário e evitou grande parte da politização observada na Comissão Federal de Comunicações e no CFPB.

Mas se o FTC pretende ser um regulador bem-sucedido de plataformas de tecnologia, ele precisa de mais recursos, mais ferramentas, um escudo maior contra a pressão política e um mandato claro do Congresso. Só então pode desenvolver e dar efeito a uma visão mais ampla de privacidade, poder e florescimento humano para uma sociedade da informação segura e sustentável.