La noticia de última hora publicada el viernes por The Wall Street Journal de que la Comisión Federal de Comercio (FTC) de EE.UU. ha aprobado la imposición de una multa de $5 mil millones a Facebook no fue una gran sorpresa. Después de todo, Facebook ya había advertido hace semanas a sus accionistas que se prepararan para una sanción de esta cuantía, por violaciones de su decreto de consentimiento de 2011 con la FTC.
Como era de esperar, ha habido fuertes reacciones en dos direcciones. Mientras que algunos señalan el hecho de que se trata de la mayor multa por violación de la privacidad jamás impuesta por la FTC, otros argumentan que $5 mil millones es una mera gota en el océano para el gigante de las redes sociales, rico en dinero, y sugiere un fracaso por parte de la FTC para hacer cumplir las leyes de privacidad del consumidor.
Por el momento, la FTC no ha hecho ningún comentario, y la multa aún no ha sido aprobada por el Departamento de Justicia.
Entonces, ¿tiene sentido esta multa? ¿Y cuáles son las implicaciones para las empresas en general?
No cabe duda de que esta cuestión suscitará animados debates en la sala de juntas sobre el riesgo operativo, por no hablar de las posibles audiencias en el Congreso sobre cómo echar por tierra las leyes de privacidad a nivel estatal, en favor de la regulación federal de la privacidad.
El antiguo tecnólogo de la FTC, Neil Chilson, dijo que aunque todavía no lo sabemos todo sobre la teoría legal del caso, la multa es significativa. Continuó:
"la FTC consiguió la mayor cantidad de dólares jamás alcanzada en un acuerdo sobre privacidad utilizando su autoridad general [no específica sobre privacidad] de protección del consumidor en un caso en el que ningún consumidor perdió un céntimo. Es un enfoque agresivo, potencialmente más allá de lo que el Congreso ha facultado a la agencia para hacer. Pero también demuestra que la FTC tiene poderosas herramientas para proteger a los consumidores".
La abogada Janis Kestenbaum, del bufete de abogados internacional Perkins Coie, dijo que la multa indica que la FTC está hoy "muy centrada en la privacidad y la seguridad de los datos, y no teme ir más allá cuando utiliza su limitada autoridad".
Entre los muchos que están en total desacuerdo, se encuentra Matthew Stoller, miembro del Instituto de Mercados Abiertos, que dijo:
"La multa es una broma, por lo que las asociaciones comerciales de Facebook, como NetChoice, están presionando para que se aplique, ...¿Quién presiona para que se aplique su propia multa a menos que no sea realmente una sanción? Quieren un buen titular. Así que quieren hacer que la cifra parezca una multa récord. Cuando no lo es. La FTC quiere que la compares en tamaño absoluto, pero eso son manzanas y naranjas. Si lo comparas con los ingresos de Facebook, es relativamente pequeño".
Sin embargo, el profesor David Vladeck, de la Facultad de Derecho de la Universidad de Georgetown, y antiguo director de la Oficina de Protección del Consumidor de la FTC, dijo que la multa tenía mucho sentido si se calculaban los números.
Según mis cálculos, se trata de más de 20% de los beneficios globales de Facebook en 2018 ...y dado que solo la mitad de los ingresos de Facebook provienen de Estados Unidos [y] la FTC no aplica la ley estadounidense extraterritorialmente, $5 mil millones es un gran bocado de los beneficios de un año completo.
Stoller argumentó que una acción más apropiada habría sido "forzar cambios en el modelo de negocio que marcaran la diferencia".
Vladeck respondió que es difícil expresar una opinión sobre un decreto de consentimiento que aún no hemos visto. Quiere ver si las soluciones estructurales impuestas por el decreto de consentimiento incluyen cosas como un control estricto sobre el acceso de terceros a los datos personales; claridad en cuanto a la información que los consumidores consienten que se comparta, y con quién; y que la FTC tenga "amplias capacidades de supervisión, incluida la notificación en tiempo real de los errores cometidos por la empresa", como el incidente de Cambridge Analytica.
Opinión dividida
Según se informa, la FTC, que normalmente prefiere llegar a un consenso en casos como éste, se dividió entre las líneas de partido, con los republicanos votando a favor y los demócratas en contra. Las especulaciones en torno a Washington sugieren que los demócratas Rohit Chopra y Rebecca Kelly Slaughter querrían ver garantizados estos cambios operativos.
El profesor David Carroll, de la New School de Nueva York, demandó a Cambridge Analytica para intentar descubrir qué datos tenía la consultora sobre él. La acción de Carroll provocó que la Oficina del Comisionado de Información del Reino Unido abriera una investigación sobre por qué Cambridge Analytica estaba ignorando su petición, con vistas a tomar las medidas de ejecución adecuadas. Carroll dijo que la multa indica una debilidad en la capacidad del regulador estadounidense para hacer su trabajo en la regulación de los gigantes tecnológicos. Y añadió:
Está claro que Estados Unidos no tiene las herramientas necesarias para regular las grandes tecnologías... El escándalo de Cambridge Analytica lo ilustra perfectamente. La mayoría de los estadounidenses no tienen ni idea de que sus servidores fueron incautados en el Reino Unido [por la] ICO bajo orden penal, y finalmente [Cambridge Analytica fue] condenada penalmente por desafiar a las autoridades. Por el contrario, la multa récord de la FTC fue borrada instantáneamente cuando los inversores aumentaron la capitalización bursátil por encima del coste de la multa. Al menos el Reino Unido tenía algunas herramientas para perseguir los delitos relacionados con los datos.
El ex director de políticas de la Oficina de Investigación Tecnológica de la FTC, Justin Brookman, afirmó que si bien "$5 mil millones es mucho dinero, no está claro que tenga un impacto en las prácticas de Facebook en general, a falta de limitaciones claras y sustantivas sobre lo que pueden hacer con los datos."
Sin embargo, Phil Lee, abogado de Fieldfisher, afirma que estas comparaciones no tienen en cuenta el panorama general...
...es decir, que la FTC ha abierto un nuevo camino al emitir una multa de esta magnitud, y ha creado un precedente de que ella, u otros reguladores internacionales de la privacidad más amplios, pueden emitir futuras multas de una escala similar. Por muy grandes que sean sus ingresos, a ninguna empresa le gustará esa perspectiva.
Impacto en la ley federal de privacidad
Rebobinemos hasta el 26 de septiembre de 2018, y el senador John Thune (republicano), presidente de la Comisión de Comercio, Ciencia y Transporte del Senado, convoca una audiencia titulada "Examinar las garantías de la privacidad de los datos de los consumidores".
Thune abrió el proceso diciendo:
Los consumidores merecen respuestas y normas claras sobre la protección de la privacidad de los datos, ...Esta audiencia ofrecerá a las principales empresas tecnológicas y a los proveedores de servicios de Internet la oportunidad de explicar sus enfoques sobre la privacidad, cómo planean abordar los nuevos requisitos de la Unión Europea y California, y qué puede hacer el Congreso para promover expectativas claras sobre la privacidad sin perjudicar la innovación.
Mientras tanto, la Casa Blanca, a través de la Administración Nacional de Telecomunicaciones e Información del Departamento de Comercio, publicó una solicitud de comentarios sobre un marco nacional de privacidad. El plazo de respuesta se fijó para el 26 de octubre. Esta acción se produjo poco después de que varias partes interesadas del sector recomendaran una norma nacional de privacidad, entre ellas la Asociación de Internet, la Oficina de Publicidad Interactiva, la Asociación Nacional de Cooperativas de Crédito y la Cámara de Comercio de Estados Unidos.
Aunque los representantes de Amazon, Apple, AT&T, Charter Communications, Google y Twitter apoyaron la prelación federal durante la audiencia, surgieron algunas sutiles diferencias. Len Cali, Vicepresidente Senior de Políticas Públicas Globales de AT&T, advirtió que un proyecto de ley federal sin prelación "sería de poca ayuda si se convierte en el proyecto de ley número 51" que las empresas tendrían que cumplir.
Sin embargo, Apple se diferenció en varias ocasiones al pedir una ley federal fuerte. El Vicepresidente de Tecnología de Software de Apple, Bud Tribble, dijo que "sería útil prohibir un mosaico, pero es importante para los consumidores que el listón sea lo suficientemente alto para garantizar que la ley sea efectiva."
El senador Brian Schatz, demócrata de Hawai, hizo una fuerte advertencia durante su ronda de preguntas: "Comprendo que no haya que navegar por 50 marcos, pero la ley debe tener sentido. El santo grial es la preeminencia, pero quiero que entiendan que tiene que tener sentido. Si no lo es, no llegará a ninguna parte".
Todos estuvieron de acuerdo en que la espina dorsal de cualquier ley significativa es la aplicación de la misma, y ese deber debe recaer claramente en la Comisión Federal de Comercio.
El diputado demócrata Bill Nelson, señalando la limitación de personal y recursos de la agencia, preguntó a los miembros:
¿Podría cada uno de ustedes decirnos si sus empresas apoyarán que el Congreso proporcione a la FTC más recursos para hacer su trabajo?
Los cinco representantes de la industria estuvieron de acuerdo.
De vuelta al presente
Así que aquí estamos, diez meses después, el miércoles 17 de julio de 2019, y la batalla entre los defensores de la regulación federal de la privacidad frente a los partidarios de las leyes a nivel estatal continúa, con cantidades significativas de tiempo durante las audiencias del Congreso que todavía se gastan en decidir quién debe ser responsable de hacer cumplir una ley federal.
Por ahora, parece que esta responsabilidad seguirá recayendo en la FTC, como policía de facto de la privacidad del país.
Con opiniones divididas sobre si la multa a Facebook es positiva o negativa para la privacidad de los consumidores, ¿podría en realidad frustrar los esfuerzos para impulsar un marco federal de privacidad de referencia?
Según Janis Kestenbaum, la respuesta es un "no" rotundo. Según ella:
El acuerdo notificado no dice nada sobre la necesidad de una ley federal de privacidad. Hay muchas razones por las que los Estados Unidos deberían tener una ley federal de privacidad de referencia - ningún caso cambia eso. Pero el acuerdo notificado debería establecer definitivamente que la FTC está mejor posicionada para servir como agencia de aplicación de cualquier nueva ley de privacidad.
Stoller estaba claramente en una página diferente, argumentando que la multa provoca la pregunta "¿Por qué molestarse?". Continuó:
"No hay necesidad de un proyecto de ley federal sobre la privacidad, ... ¿Por qué iba a importar? Los responsables de la privacidad no hacen cumplir la ley. ¿Por qué iban a hacer cumplir leyes diferentes? No la hacen cumplir".
Mientras tanto, Brookman cree que la controversia sobre la multa de Facebook refuerza el movimiento para aprobar algo:
"Si la orden no hace nada para frenar fundamentalmente las prácticas de datos de Facebook, entonces las peticiones de una ley de privacidad sólo serán más fuertes. La FTC simplemente no tiene el poder bajo la Sección 5 [de la Ley de la FTC] y con su limitado personal de aplicación para manejar Facebook hoy. Si la gente se indigna porque la orden no hace lo suficiente, la única solución es promulgar normas más estrictas y dar a los reguladores mayor autoridad".
Miembros de ambos lados de la cámara política apoyan esto. Hace décadas que no se aumenta el presupuesto de la FTC, a pesar de las numerosas peticiones de la agencia para obtener más fondos, así como mayor autoridad, incluida la de las sanciones civiles. Esto permitiría imponer multas a la primera infracción, en lugar de hacerlo tras la violación de un decreto de consentimiento.
El resultado final
Queda por ver qué cambios operativos se producirán en Facebook. y otras empresas tecnológicas infractoras - como resultado de multas de esta magnitud.
Brookman cree que habrá cambios.
Entre esto, y [el Reglamento General de Protección de Datos de la UE] y [la Ley de Privacidad del Consumidor de California], y el serio interés del Congreso y otros estados, las empresas van a empezar a darse cuenta de que la fiesta se ha acabado", dijo. "La "batalla campal" de datos de los últimos 20 años tiene que llegar a su fin. Y no, los programas de responsabilidad y las evaluaciones de riesgo no van a ser suficientes.
Phil Lee, abogado del bufete Fieldfisher, coincide en que la multa provocará un cambio. Cree que cambiará las conversaciones de los consejos de administración sobre las consideraciones presupuestarias relativas a la privacidad y el riesgo.
Con razón o sin ella, muchas organizaciones asignan sus presupuestos de cumplimiento sobre la base del riesgo de aplicación, ... En un mundo en el que su riesgo potencial es del orden de magnitud de unos pocos cientos de miles a pocos millones de dólares, se obtiene un tamaño de presupuesto. En un mundo en el que el riesgo potencial es de cientos de millones, incluso de miles de millones, el tamaño del presupuesto es muy diferente.
Fuentes: IAPPComisión de Comercio, Ciencia y Transporte del Senado de EE.UU.