Preempção: Uma abordagem nacional equilibrada para proteger a privacidade de todos os americanos

Apesar de um início promissor no 116º Congresso, uma legislação abrangente de privacidade de informações parece estagnada no Capitólio. Embora os principais líderes do Senado e da Câmara em ambos os lados do corredor apresentem projetos de lei com semelhanças promissoras, houve pouco movimento em algumas questões centrais e polarizadoras.

Em particular, as propostas são as mais divididas quanto à preempção federal das leis estaduais de privacidade e ao direito dos indivíduos de entrar com ações judiciais por violações de privacidade. Essas são as mesmas questões em que as partes interessadas - a indústria (em termos gerais) de um lado e os defensores da privacidade, dos consumidores e dos direitos civis de outro - assumiram posições polares do tudo ou nada. Enquanto esses protagonistas permanecerem em seus próprios cantos, o debate mais amplo sobre privacidade estará congelado e a legislação federal paralisada.

Como o caminho para a legislação de privacidade passa pela preempção e pelo direito privado de ação, propomos soluções para a preempção federal e ações judiciais privadas que partem das abordagens maximalistas que moldam o debate atual. Nesta postagem, explicamos nossa abordagem sugerida para preempção. Uma segunda postagem tratará da questão igualmente controversa do direito privado de ação.



Preempção

A preempção, como o direito privado de ação, pode ser um artigo de fé para ambos os lados. O juiz Louis Brandeis celebrou o papel das leis estaduais por dizendo , há quase 90 anos, que um estado pode servir de laboratório ... e tentar novas experiências sociais e econômicas sem risco para o resto do país. No reino da privacidade moderna, muitos defensores da privacidade celebram a descrição de Brandeis e resistem a qualquer perspectiva de encerrar a ação legislativa estadual. Diante da resistência da indústria e da inação do Congresso, as legislaturas estaduais assumiram a liderança na legislação de privacidade; os defensores esperam uma marcha constante da Califórnia e Illinois para outros estados.

Por sua vez, a razão mais importante para a indústria aceitar e apoiar a legislação federal de privacidade é um desejo compreensível de seguir um único conjunto nacional de regras. Uma vez que a Internet opera além das fronteiras estaduais, os líderes do setor desejam evitar divergências - e potencialmente conflitantes - nas leis estaduais que estabeleceriam regras de privacidade com base na residência do usuário ou localização atual.

Essas posições se refletem em propostas totalmente diferentes dos líderes do Comitê de Comércio do Senado. Em novembro de 2019, a senadora democrata Maria Cantwell apresentou o Lei de Direitos de Privacidade Online do Consumidor (COPRA) e o senador republicano Roger Wicker divulgaram o rascunho Lei de Privacidade de Dados do Consumidor dos Estados Unidos (USCDPA).

A cláusula de preempção no USCDPA da Wicker é breve e ampla. Com a única exceção das leis de violação de dados, o texto proposto promulgaria a preempção de campo para substituir todas as leis e regulamentos estaduais relacionados à privacidade ou segurança de dados e atividades associadas das entidades cobertas. Tal disposição eliminaria um conjunto de leis estaduais de privacidade desenvolvidas ao longo de décadas, incluindo algumas que tratam de questões que estão totalmente offline e dentro de um único estado. Por exemplo, os estados têm leis relativas à privacidade e segurança de registros educacionais, de bibliotecas e de seguros - entre muitos outros tópicos que afetam uma série de interesses predominantemente locais.

Em contraste, a COPRA de Cantwell evitaria leis estaduais diretamente conflitantes, enquanto preservava uma variedade de estatutos estaduais de aplicabilidade geral e direitos de ação estaduais. Embora forneça um roteiro útil para abordar a preempção, o impacto preventivo da COPRA é amplamente negado por uma disposição adicional de que uma lei estadual não deve ser considerada em conflito direto se oferecer um maior nível de proteção aos indivíduos protegidos por esta lei. Essa abordagem prejudica a meta de um padrão nacional para práticas de privacidade, sistemas de conformidade e expectativas do consumidor. O risco de uma colcha de retalhos de diferentes leis estaduais prejudica o objetivo de fortes proteções de privacidade para todos os americanos. E, por uma questão de realidade política, uma profusão crescente de leis estaduais de privacidade pode complicar - em vez de motivar - a perspectiva de promulgação no Congresso.

Ao lidar com essas visões divergentes, nós - junto com nossos colegas do Brookings Caitlin Chin e Nicol Turner Lee - revisamos as leis de privacidade existentes e os projetos legislativos pendentes propondo uma lei de privacidade abrangente. Sobre a preempção, Peter Swire fez uma análise completa e muito útil do história de preempção nas leis de privacidade dos EUA e um análise das propostas de privacidade então pendentes no Morro. A conclusão de Swire foi que, além de ser politicamente carregada, a questão da preempção da privacidade é tecnicamente desafiadora, com muitas armadilhas ocultas à espera de qualquer redator legislativo.

Além da pesquisa, também tivemos várias conversas com funcionários do Capitol Hill em ambos os lados do corredor e com um amplo espectro de interessados ​​e especialistas em todos os setores. Isso incluiu uma série de mesas redondas privadas focadas para explorar questões de convergência e divergência no debate sobre privacidade.

Essas conversas confirmaram que a preempção era o objetivo primordial das corporações. Os defensores do interesse público reconheceram essa realidade, mas procuraram garantir que qualquer projeto de lei federal forneça proteções de privacidade realmente significativas com fortes mecanismos de fiscalização - incluindo, como discutido em nossa próxima postagem, um direito privado de ação.

Em última análise, acreditamos que uma lei nacional preventiva com proteções de privacidade eficazes que se aplicam tanto online quanto offline é mais benéfica para pessoas em todos os lugares nos EUA em comparação a nenhuma lei nacional ou a uma lei nacional fraca sem preempção. E, olhando mais especificamente para o ambiente online, também estamos persuadidos de que a Internet e os aplicativos e serviços que a utilizam são mais semelhantes aos padrões de ferrovias e automóveis, que estão amplamente sujeitos à regulamentação federal, em vez do setor de seguros, que é amplamente regulamentado pelos estados.

Ao avaliar os interesses concorrentes de defensores e corporações - para proteger a capacidade dos estados de inovar nas proteções de privacidade e evitar uma colcha de retalhos de regulamentação, respectivamente - propomos um caminho que previne as leis estaduais que competem com um padrão nacional, preserva outras leis de privacidade estaduais e direitos e pede ao Congresso que reveja esta questão alguns anos após a implementação da nova lei federal.

Acreditamos que o debate atual sobre privacidade apresenta uma oportunidade genuína de alcançar proteções de privacidade significativas em âmbito nacional. Também acreditamos que a preempção significativa é o preço a pagar pelo estabelecimento de fortes proteções de privacidade para todos os americanos. Como também recomendamos a preservação de um papel robusto para os estados na aplicação da legislação federal de privacidade, como a COPRA e o USCDPA fornecem, não acreditamos que uma disposição de preempção bem focada prejudicaria indevidamente a capacidade de um estado de proteger seus residentes.

Uma abordagem em camadas para preempção

Acreditamos que a estrutura geral da linguagem de preempção da COPRA pode ser revisada para fornecer um padrão nacional forte para privacidade, enquanto deixa espaço significativo para leis estaduais que preenchem lacunas ou abordam os interesses tradicionais do estado. Recomendamos várias alterações e acréscimos à abordagem e linguagem do COPRA.

À boa lista da COPRA de leis estaduais a serem preservadas - que inclui leis de proteção ao consumidor de aplicabilidade geral, leis que proíbem práticas desleais e enganosas, leis de direitos civis, leis que regem a privacidade de funcionários ou alunos e leis de notificação de violação de dados, entre outras - sugerimos adicionar lei constitucional estadual e leis relacionadas a outros tópicos, incluindo números de seguridade social, licenças de motor e registros públicos. No entanto, não apoiamos a preservação da COPRA das leis estaduais que concedem direitos privados de ação.

Nossa modificação mais significativa na disposição de preempção da COPRA é impedir leis inconsistentes, em vez de apenas aquelas que são diretamente conflitantes, e omitir a exceção que permite leis estaduais com um nível maior de proteção de privacidade do que a lei federal. Especificamente, recomendamos a preempção das leis estaduais que regulam a coleta, processamento, compartilhamento e segurança dos dados cobertos, na medida em que tal lei seja inconsistente com a lei ou regulamentação federal. Esta abordagem sugerida destinada a leis estaduais inconsistentes é modelada na Seção 536 da Lei de Política de Comunicações a Cabo de 1984, 47 U.S.C. § 536 . A televisão a cabo, assim como a privacidade, é um campo no qual a lei federal se sobrepõe a um corpo de regulamentação estadual existente. Embora tal questão de preempção estabeleça limites indefinidos que podem ser definidos caso a caso, a lei federal domina a forma de regulamentação de televisão a cabo e, em nossa experiência, a maioria das disputas sobre preempção foram resolvidas por acomodação. Um padrão mais estreito e diretamente conflitante, acreditamos, levaria a uma colcha de retalhos ou sobreposição na regulamentação de privacidade e resultaria em mais incertezas e disputas ao analisar se um estatuto estadual está em conflito com uma lei nacional, e o faz diretamente.

Para fornecer um método para resolver a incerteza sobre se uma lei estadual está em conflito com uma lei federal que é mais rápida e fácil do que o litígio, recomendamos dar à Federal Trade Commission (FTC) autoridade para resolver questões sobre preempção, seja em resposta a uma petição ou em por conta própria. Para evitar preempção excessiva, sugerimos que a capacidade da FTC de antecipar uma lei estadual seja limitada à extensão necessária para prevenir tal conflito, exigindo assim que a comissão deixe em vigor um estatuto estadual como um todo quando uma pequena ação preventiva pode reconciliar qualquer inconsistência .

Propomos o fim de um aspecto de nossa abordagem recomendada para a preempção: após oito anos, os estados teriam permissão para promulgar regras de privacidade que forneçam maior proteção do que a lei federal, deixando a lei federal como um piso para a proteção da privacidade. Especificamente, sugerimos que uma lei estadual seja permitida quando:

(i) for promulgada oito anos após a promulgação de uma abrangente lei federal de privacidade;

(ii) declara explicitamente que a disposição se destina a complementar a nova lei federal; e

(iii) dá maior proteção aos indivíduos do que a fornecida pela nova lei federal.

O conceito, o texto e a duração desta extinção de preempção sugerida são extraídos diretamente das emendas de 1996 ao Fair Credit Reporting Act (FCRA), 15 U.S.C. § 1681t .

Acreditamos que um pôr do sol parcial serviria a dois propósitos valiosos. Em primeiro lugar, garantiria que haveria demanda para o Congresso revisitar o sucesso - ou a falta dele - do regime federal de privacidade, da perspectiva de aumentar as proteções de privacidade e corrigir problemas processuais ou outros que possam surgir com a lei. Com toda a probabilidade, as partes interessadas da indústria fariam lobby para a eliminação do ocaso - como ocorreu com o Pôr do sol da FCRA 1996 - enquanto os defensores fariam lobby para melhorar a lei federal e proteger o ocaso. A conversa resultante perante o Congresso seria valiosa.

Em segundo lugar, a cláusula de caducidade fornece uma válvula de escape para tratar de questões de privacidade futuras, caso o Congresso não aja. Os estados poderiam então tentar resolver os problemas de privacidade que podem ter evoluído ao longo dos oito anos após a promulgação de uma lei federal, enquanto a FTC manteria a capacidade de se antecipar às disposições da lei estadual que minam o regime federal de privacidade.

eleição presidencial do sri lanka 2019

Um caminho a seguir

Propomos que ambos os lados do debate político têm algo a ganhar ao encontrar um equilíbrio - e que ambos têm algo a perder com o impasse contínuo. As empresas já percorreram um longo caminho no reconhecimento de que uma forte legislação de privacidade é importante para promover a confiança em suas marcas e a competitividade nos mercados nacional e internacional. No entanto, quanto mais tempo a indústria espera por uma preempção total sem quaisquer soluções individuais, mais difícil se torna alcançar um padrão nacional consistente.

Por outro lado, a confiança dos defensores na legislação estado por estado está destinada a deixar um conjunto incompleto e aleatório de proteções para os americanos. Levou mais de 15 anos para que todos os 50 estados adotem leis de proteção de dados tão básicas quanto a notificação de violação. Um caminho semelhante à frente, simplesmente, forneceria proteções de privacidade menos abrangentes e significativas em um período de tempo mais longo do que o que poderia ser alcançado em nível federal em um futuro próximo - se a indústria, defensores e líderes políticos estivessem dispostos a fazer algumas escolhas difíceis. Esperamos que nossos compromissos amplos, mas cuidadosamente calibrados, possam apontar para as etapas que os principais interessados ​​podem tomar para alcançar a proteção nacional eficaz da privacidade das informações.

Conclusão

Acreditamos que, em conjunto, nossa abordagem de preempção atinge um equilíbrio construtivo entre os objetivos concorrentes de estabelecer fortes padrões de privacidade nacionais, preservando leis estaduais de longa data e garantindo o foco contínuo na privacidade. Acreditamos que esse equilíbrio, juntamente com nossa recomendação de direito de ação privado discutida a seguir em nossa série de postagens sobre este tópico, pode fornecer um caminho a seguir para as partes interessadas encontrarem soluções para uma legislação federal de privacidade abrangente e bem-sucedida.

As partes interessadas geralmente são polarizadas nessas questões, mas elas devem ser tratadas se a legislação de privacidade se tornar lei. Nossa abordagem não irá satisfazer os maximalistas em nenhum dos lados do debate, mas esperamos que nossas recomendações abordem os interesses legítimos de partes interessadas divergentes e lhes permitam preencher essas grandes lacunas.