SOLOVE, DANIEL J., HARTZOG, WOODROW. «The FTC and the New Common Law of Privacy», en 114 Columbia Law Review (forthcoming 2014).

Disponible en http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2312913.

Nota del autor. R. Martínez.

Con frecuencia se afirma que en Estados Unidos no se tutela la privacidad, aunque pudiera ser más preciso afirmar que se tutela de un modo distinto. En este trabajo se ofrece una mera recensión de la primera parte del interesantísimo artículo en el que Solove y Hartzog abordan la “jurisprudencia” de la Federal Trade Commisión. Esta recensión no puede estar exenta de elementos subjetivos, bien conocido es el adagio “traduttore, traditore-, y con frecuencia se acompaña de palabras o expresiones en inglés a fin de ofrecer a aquellos más avezados que yo en el dominio de la lengua de Shakespeare el término exacto utilizado en el original.

En Estados Unidos no existe un cuerpo sólido de jurisprudencia que relacione el derecho a la privacidad con la actuación de las compañías. En la práctica, el despliegue de funciones de enforcement de la Federal Trade Commision (FTC) en los últimos quince años ha dado lugar a un corpus cuasi-jurisprudencial de conocimiento basado en los acuerdos que esta Agencia alcanza con las compañías, sus informes, la elaboración de buenas prácticas y guidelines. Este corpus es la guía que siguen las empresas a la hora de definir sus políticas de privacidad. De algún modo podría decirse que ello permite superar la dispersión normativa dotando de unidad al sistema.

La fragmentación normativa en EE.UU. es particularmente significativa. De una parte el Common Law, esto es la práctica jurídica que emana de la jurisprudencia de los tribunales, es prácticamente inexistente en lo que a privacidad se refiere particularmente en casos civiles vinculados al Tort Law. Por otra parte la legislación es sectorial existiendo normas para el video, el cable, la salud, o sobre el acceso a información, carné de conducir, información financiera, menores… Además, hay que considerar la existencia de legislación estatal y federal, dejando esta última amplias lagunas por regular. Sin embargo, la FTC puede evaluar y actuar para verificar hasta qué punto las empresas vulneran o incumplen los compromisos de privacidad que adquieren con sus clientes e incurren en prácticas engañosas o desleales. Ello, en caso de empresas no sometidas a regulación específica convierte a la FTC en regulador primario y convierte a su práctica en un cuerpo normativo singular.

Una de las características del modo de abordar el derecho a la vida privada en internet a partir del crecimiento de los servicios en la segunda mitad de los años, ha sido el hecho de desgajar la política de privacidad en un documento separado de los términos y condiciones legales. Esta política expresa un compromiso ejecutable o exigible (enforceable promise) cuyo garante primario (primary enforcer) sería la FTC. De hecho, en este contexto los tribunales ordinarios fallaron, o no encontraron el modo de aplicar los Torts. Así, el de aproppiation  no se consideró aplicable a una venta de datos de clientes (Dwyer v. American Express Co.), y lo mismo sucedía con el de revelación de hechos privados ya que la publicación de datos en internet no venía acompañada de los elementos dañosos relativos a su carácter ofensivo y falta de interés público. Del mismo modo cuando se intentó litigar respecto del uso de cookies por Doubleclick se consideró que éstas no estaban dentro del alcance de la legislación sobre comunicaciones, no estábamos ante un caso de wiretapping.

En la práctica las compañías desarrollaron estrategias basadas en el binomio información+consentimiento (notice&choice) generalmente sin posibilidad de especificación, esto es como un opt-out más que como un consentimiento expreso. El punto de partida teórico fueron las llamadas Fair Information Practices (vid. APEC Privacy Framework 2004). De este modo las políticas de privacidad surgieron como un mecanismo de autorregulación aceptado que fue incluso incorporado como deber en las leyes sectoriales posteriores como la Graham-Leach-Bliley Act de 1999. De este modo si en 1998 un 2% de compañías contaban con ellas, en 2001 todas las importantes disponían de políticas de privacidad.

Pero, ¿cuál es la naturaleza jurídica de estas políticas de privacidad? Los autores señalan que la doctrina se ha ocupado muy poco de su consideración como cláusula contractual. Por otra parte, en los pocos litigios planteados los demandantes no pudieron acreditar el daño que justificaría ser indemnizados por el incumplimiento de un compromiso de privacidad.

Aquí es donde entra en juego la FTC que, siendo en origen un organismo regulador de la competencia adquirió funciones de defensa de los derechos de los consumidores en 1995. En particular juega un rol determinante frente a prácticas y actos desleales o fraudulentas (unfair and deceptive acts or practices) o que les cause o pueda causar un perjuicio grave a los consumidores que estos no puedan evitar. En la práctica esto ha convertido a la FTC, en opinión de los autores, en una autoridad de protección de datos de facto. Ha tramitado una media de 10 denuncias por año desde 1997, lo cual si se compara con cualquier autoridad europea es un número relativamente bajo, pero lo relevante es que el volumen de asuntos crece cada año. Este proceso ha ido acompañado por un incremento competencial ley tras ley, -FCRA (1970), COPPA (1998), GLBA (1999)-, por la necesidad de evaluar aspectos como el deber de información o las exigencias de seguridad bajo estas leyes. Añádase el fundamental papel que se le confiere sometiendo a su jurisdicción las compañías americanas que suscriben el Acuerdo Safe Harbour, crucial para el flujo de datos entre la UE y EE.UU. Pero además, su influencia se acrecienta por cuanto puede transferir credibilidad a los mecanismos de autorregulación empresarial y someterlos a su enforcement, especialmente cuando la compañía no asume ningún tipo de responsabilidad o cláusula de compensación al cliente ante un incumplimiento (penalties). En cualquier caso su capacidad de sanción no es elevada aunque, subrayan los autores, que el impacto reputacional de sus decisiones resulta significativo.

En opinión de Solove y Hartzog las resoluciones de la FTC, consent orders, permiten establecer patrones y directrices capaces de orientar el cumplimiento normativo para el sector. Debe señalarse que esta institución se integra por cinco comisionados propuestos por el Presidente, que también elige al comisionado presidente. Son ratificados por el Senado por un mandato de siete años evitando que más de tres sean miembros del mismo partido político. Se les dota de un estatuto de inamovilidad, sólo pueden ser removidos en casos de manifiesta incompetencia, negligencia o dolo (malfeasance) en el ejercicio del cargo. Sus competencias comportan la capacidad de investigación, sanción (enforcement) y la legitiman para interponer acciones judiciales. Puede iniciar algo parecido a nuestras actuaciones previas (pre-complaint activities) que como ellas no son públicas. En esencia, si bien cuando la investigación es en firme puede alcanzarse una resolución que incluya una corrective action, se permite a las compañías negociar un acuerdo que evite el baldón público de admitir un incumplimiento, o que al parecer resulta particularmente eficaz. De hecho sólo en dos casos de 150 se ha llegado a un litigio. Las sanciones impuestas han ido de los mil a los treinta y cinco millones de dólares aunque los acuerdos no tienen por qué suponer el pago de una sanción.  La estructura de sus resoluciones, consent orders, suele incluir sanciones económicas, prohibiciones de hacer y requerimientos de realizar actuaciones que corrijan la conducta. Además incluyen audits, informes y guidelines con previsiones de cumplimiento que pueden extenderse a los siguientes años con el deber de reportar periódicamente a la FTC especialmente sobre los cambios que pudieran operarse. Las resoluciones pueden incluir el deber de notificar al consumidor y de ofrecerle alguna forma de reparar la acción errónea, lo que no implica necesariamente una compensación económica. También pueden incorporar deberes de borrado de datos, cambios en las políticas de privacidad, programas integrales de cumplimiento normativo en privacidad, o sometimiento a auditorías regulares por profesionales independientes.

En cualquier caso, lo más relevante reside en el hecho de que la acción de la FTC reúne ciertas características que la equiparan con la jurisprudencia propia de los sistemas de Common Law. En primer lugar, el propio modus operandi de la FTC posee una naturaleza no jurisdiccional pero con cierto tinte homologable. Si bien sus actuaciones no se someten a un procedimiento jurisdiccional, la investigación de los hechos y el requerimiento de información, y la consideración de los mismos en la resolución por el colegio de comisarios, -que incluso pueden emitir votos particulares concurrentes o disidentes-, no dejan de recordar a la acción de un tribunal. Por otra parte, la FTC se caracteriza por su coherencia hasta el punto de que muchas de sus soluciones se emplean como referencia para casos posteriores. Todo ello concede al sistema solidez y hace que los privacy officcers y otros expertos legales los tomen en consideración para orientar la acción de las compañías a modo de precedente. Por otra parte, incluso los Estados las tienen en cuenta cuando legislan en su ámbito. Añádase que casi siempre se llega a un acuerdo con la compañía investigada y se entenderá la considerable efectividad que puede tener una acción sancionadora basada en un compromiso viable y ejecutable en el futuro.

Por último la FTC publica informes, estudios y guías que permiten predecir su criterio y actúan como una suerte de Soft-Law para el sector.