Verizon, AT&T e T-Mobile estão continuando sua luta contra multas por vender dados de localização de usuários, com dois dos três grandes operadores apresentando novos pareceres judiciais argumentando que a Comissão Federal de Comunicações (FCC) não pode puni-los.
Um parecer da Verizon apresentado em 4 de novembro e um parecer da AT&T em 1º de novembro contestam a base legal para as multas da FCC emitidas em abril de 2024. A T-Mobile também processou a FCC, mas pareceres ainda não foram apresentados nesse caso.
“O pedido de revisão da Verizon decorre dos múltiplos e significativos erros que a FCC, ao pretender aplicar disposições estatutárias de privacidade de dados do consumidor, cometeu ao ultrapassar sua autoridade”, escreveu a Verizon. “A Ordem de Confisco da FCC violou tanto a Lei de Comunicações quanto a Constituição, enquanto não beneficiava os consumidores que supostamente pretendia proteger.”
Verizon e AT&T afirmaram que as multas violam seu direito ao julgamento por júri, de acordo com a Sétima Emenda, e que os dados de localização não estão abrangidos pela lei citada pela FCC. A Verizon apelou ao Tribunal de Apelações dos EUA para o 2º Circuito, enquanto a AT&T apelou no 5º Circuito e a T-Mobile apelou no Circuito de DC.
As multas são de $80,1 milhões para a T-Mobile, $57,3 milhões para a AT&T, $46,9 milhões para a Verizon e $12,2 milhões para a subsidiária da T-Mobile, Sprint. As penalidades estão relacionadas à revelação em 2018 de dados de localização em tempo real sendo compartilhados. A FCC propôs as multas em 2020, quando a comissão tinha uma maioria republicana, e as multas foram finalizadas sob a atual maioria democrata.
Embora as penalidades tenham sido propostas pela primeira vez pelo republicano Ajit Pai em seu último ano como presidente da FCC, os dois republicanos atuais da FCC se opuseram às ordens de multa finais em 2024. Brendan Carr, que provavelmente se tornará presidente após a posse do presidente eleito Donald Trump, disse em sua discordância que a FCC tem apenas “autoridade limitada e circunscrita sobre privacidade” e que o assunto deveria ser tratado pela Comissão Federal de Comércio.
A FCC disse em abril que “cada operadora vendeu acesso às informações de localização de seus clientes para ‘agregadores’, que então revendiam o acesso a essas informações para terceiros prestadores de serviços baseados em localização. Ao fazer isso, cada operadora tentou transferir suas obrigações de obter o consentimento do cliente para os destinatários subsequentes das informações de localização, o que em muitos casos significou que nenhum consentimento válido do cliente foi obtido.”
O problema veio à tona com relatos de que dados de localização de clientes estavam “sendo divulgados pelos maiores operadores sem o consentimento do cliente ou outra autorização legal a um xerife do Missouri através de um ‘serviço de localização’ operado pela Securus, um provedor de serviços de comunicação para instalações correcionais, para rastrear a localização de várias pessoas”, disse a FCC. Mesmo “depois de tomar conhecimento de que suas salvaguardas eram ineficazes, os operadores continuaram a vender acesso a informações de localização sem tomar medidas razoáveis para protegê-las de acesso não autorizado”, disse a FCC.
O parecer da Verizon defendeu o programa de serviços baseados em localização da empresa, afirmando que “concluiu centenas de milhões de solicitações expressas bem-sucedidas de consumidores para fornecer informações de localização a prestadores de serviços.” O programa funcionou por cerca de uma década antes de ser encerrado em meio ao escândalo de dados.
A Verizon alegou que a FCC ultrapassou seus limites com a multa, uma vez que o incidente da Securus ocorreu fora do prazo de prescrição:
No entanto, a FCC não puniu a Verizon pelas ações da Securus ou do xerife — que foram os únicos pedidos não autorizados ou uso indevido das informações do dispositivo do cliente por qualquer prestador de serviços participante do programa LBS da Verizon. A FCC reconheceu que essas ações ocorreram fora do prazo de prescrição, portanto, não poderiam sustentar uma penalidade de confisco. E, no momento do NAL [Aviso de Responsabilidade Aparente], a Verizon havia encerrado seu programa LBS quase um ano antes, eliminando qualquer potencial de responsabilidade atual ou futura. A FCC, portanto, adotou uma abordagem nova para gerar um valor de penalidade impressionante. A FCC puniu a Verizon por não ter encerrado todos os outros prestadores de serviços do programa LBS em um prazo mais rápido.
O parecer da AT&T criticou de forma semelhante a FCC por “fazer da Securus o centro de seu argumento”, apesar de o prazo de prescrição sobre potenciais violações da Securus ter expirado.
Ambas as operadoras citam a decisão de junho de 2024 da Suprema Corte no caso Securities and Exchange Commission v. Jarkesy, que decidiu que “quando a SEC busca penalidades civis contra um réu por fraude de valores mobiliários, a Sétima Emenda dá ao réu o direito a um julgamento por júri.”
A decisão da Suprema Corte, que confirmou uma ordem do 5º Circuito, ainda não havia sido emitida quando a FCC finalizou suas multas. A FCC contestou a decisão do 5º Circuito, dizendo, entre outras coisas, que o precedente da Suprema Corte deixou claro que “o Congresso pode atribuir questões envolvendo direitos públicos a um julgamento por uma agência administrativa ‘mesmo que a Sétima Emenda exigisse um júri onde o julgamento desses direitos seja atribuído a um tribunal federal de direito’.”
Claro, a FCC terá mais dificuldade em contestar a decisão Jarkesy agora que a Suprema Corte confirmou o 5º Circuito. A Verizon apontou que na decisão da alta corte, “a juíza Sotomayor, em dissentimento, reconheceu que Jarkesy não se limitava à SEC, identificando muitas agências, incluindo a FCC, cuja prática de ‘impor penalidades civis em processos administrativos’ seria ‘desmantelada’.”
A Verizon argumentou ainda: “Assim como em Jarkesy, o fato de que a FCC busca ‘penalidades civis… destinadas a punir’ é ‘quase decisivo’ para o direito da Verizon a um tribunal do Artigo III e a um júri, em vez de um promotor e adjudicador da agência.”
Ambas as operadoras afirmaram que a FCC não forneceu “aviso justo” de que sua autoridade da seção 222 sobre informações de rede de propriedade do cliente (CPNI) se aplicaria aos dados em questão.
Quando emitiu as multas, a FCC disse que as operadoras tinham aviso justo. “CPNI é definido por estatuto, em parte relevante, como ‘informações que se relacionam a… a localização… de um serviço de telecomunicações’,” disse a FCC.
As operadoras argumentam que os dados de localização não são CPNI. A AT&T afirma que “a seção 222 da Lei de Comunicações não cobre as informações de localização em questão porque as informações não foram obtidas ‘exclusivamente em virtude’ da prestação de serviços de voz pela AT&T.” A AT&T coletou as informações de localização para fornecer tanto serviços de voz quanto de dados, não apenas serviços de voz, disse a empresa.
A lei relevante diz que CPNI são dados relacionados ao serviço de telecomunicações “que são disponibilizados à operadora pelo cliente exclusivamente em virtude da relação entre operadora e cliente.” A FCC disse que “não está convencida de que a inclusão de múltiplos serviços em um pacote pela AT&T — que inclui um ou mais serviços de telecomunicações — leve a relação resultante para fora do escopo da relação ‘operadora-cliente’ para os propósitos específicos da definição de CPNI.