FEP alla Corte: la legge sulla privacy della banda larga approva il primo emendamento

Quando si tratta di sorveglianza delle nostre vite online, i fornitori di servizi Internet (ISP) sono tra i peggiori trasgressori. L'anno scorso, lo stato del Maine ha approvato una legge mirata ai danni che gli ISP fanno ai loro clienti quando usano e vendono le loro informazioni personali. Ora quella legge è sotto attacco da un gruppo di ISP che sostengono che viola i loro diritti di Primo Emendamento. La causa solleva una serie di problemi, tra cui la libertà di parola e la privacy dei dati, che sono cruciali per mantenere una Internet aperta. Quindi il FEP ha presentato un breve amicus sostenendo che la legge del Maine non viola il Primo Emendamento. Il brief spiega che il requisito di legge secondo cui gli ISP ottengono il consenso esplicito dei propri clienti prima di utilizzare o divulgare le loro informazioni personali è strettamente adattato ai sostanziali interessi dello stato nella protezione della privacy dei dati degli ISP, della libertà di parola e della sicurezza delle informazioni.

Il caso si chiama ACA Connects v. Frey . A noi si unirono altri tre gruppi dedicati sia alla libertà di parola che alla privacy dei dati su Internet: l'ACLU, l'ACLU del Maine e il Center for Democracy and Technology.

Perché EFF supporta le leggi sulla privacy della banda larga

Gli ISP hanno poteri distintivi per sorvegliare le nostre vite online. Non possiamo accedere a Internet senza un ISP e la maggior parte degli americani non ha scelta tra gli ISP, quindi non possono passare se non sono soddisfatti del loro attuale provider. Gli ISP possono vedere tutto ciò che viaggia avanti e indietro tra i nostri dispositivi e Internet. Anche quando crittografiamo il nostro traffico Web per proteggere il contenuto, gli ISP possono visualizzare i nostri metadati, ad esempio quali server Web visitiamo. Gli ISP hanno una storia lunga e preoccupante di abuso dei loro poteri distintivi per intromettersi nella nostra privacy online.

In risposta, la FCC ha adottato le norme sulla privacy della banda larga nel 2016, con il sostegno del FEP. Sfortunatamente, il Congresso e il Presidente hanno abrogato queste regole FCC nel 2017, a causa dell'opposizione del FEP. Quindi la battaglia per la privacy della banda larga si è spostata negli Stati Uniti . EFF supporta le fatture sulla privacy della banda larga in tutto il paese , e lo ha fatto nel Maine .

Il Maine ha adottato la sua legge sulla privacy della banda larga nel 2019. Entrerà in vigore nel luglio 2020. La legge richiede agli ISP di ottenere il consenso di consenso del consumatore prima di utilizzare o divulgare ciò che la legge chiama "informazioni personali del cliente". Questo termine è definito per includere (1) informazioni di identificazione personale, come le informazioni di fatturazione e il numero di previdenza sociale di un cliente, e (2) informazioni derivate dall'uso del servizio a banda larga da parte di un cliente, come cronologia di navigazione, geolocalizzazione e informazioni sanitarie. Le leggi vietano anche gli schemi di " pagamento per la privacy "; vale a dire, gli ISP non possono punire i consumatori che negano il proprio consenso, rifiutando il servizio, addebitando una sanzione o trattenendo uno sconto.

Nel febbraio 2020, un consorzio di ISP ha intentato una causa contro lo Stato del Maine. Sostengono , tra l'altro, che la legge sulla privacy della banda larga del Maine viola i diritti del Primo Emendamento degli ISP. Non siamo d'accordo.

Perché la legge del Maine approva il primo emendamento

Il FEP non è secondo a nessuno nel lavorare per proteggere la libertà di parola su Internet per tutte le persone del mondo. Riconosciamo che la legge del Maine limita l'espressione degli ISP: la legge regola il modo in cui gli ISP creano e diffondono informazioni, che sono parole ai sensi del Primo Emendamento.

Ma non tutti i limiti di espressione del governo meritano il massimo livello di protezione del Primo Emendamento dai tribunali. Qui, data la particolare relazione tra gli ISP e i loro clienti, è appropriato un livello di protezione ridotto. In primo luogo, la legge del Maine regola il discorso commerciale, che la Corte Suprema ha descritto come "espressione legata esclusivamente agli interessi economici di chi parla e del suo pubblico", in un parere chiamato Central Hudson Gas contro New York (1980). In secondo luogo, il discorso regolato dal Maine non riguarda un "problema pubblico", nelle parole di un'opinione della Corte Suprema chiamata Dun & Bradstreet contro Greenmoss Builders (1985).

Nei casi che prevedono regolamenti vocali con queste caratteristiche, i tribunali applicano una forma leggermente rilassata di protezione del Primo Emendamento nota come controllo intermedio. Il governo deve dimostrare (1) di avere un "interesse sostanziale" che sta cercando di raggiungere attraverso la legge, e (2) che la legge "avanza direttamente", ed è "strettamente attratta" da questo interesse. Ma il governo non ha bisogno di dimostrare che la legge contestata è "il mezzo meno restrittivo" per raggiungere gli interessi del governo.

Questa analisi non è cambiata da Sorrell v. IMS Health (2011), una decisione della Corte Suprema che ha annullato una legge del Vermont che regolava l'uso e la divulgazione delle informazioni sulle prescrizioni della farmacia, ma solo per quanto riguarda un ristretto numero di oratori (venditori di droghe) e un messaggio ristretto (commercializzazione di farmaci di marca). La legge del Maine, d'altra parte, non discrimina sulla base del punto di vista ed è uniformemente mirata a un intero settore tecnologico.

Maine ha interessi sostanziali nella protezione della privacy, del parlato e della sicurezza delle informazioni degli utenti

Qui, la legge sulla privacy della banda larga del Maine promuove tre importanti interessi del governo. Innanzitutto, la nostra privacy sulle nostre informazioni personali è un diritto umano fondamentale . Dovremmo avere voce in capitolo su come gli altri elaborano i dati su di noi. Le nuove tecnologie rendono sempre più facile per le aziende raccogliere e monetizzare grandi quantità di informazioni personali.

In secondo luogo, la nostra libertà di parola si basa spesso sulla privacy della conversazione. Come ha spiegato la Corte Suprema in Bartnicki v. Vopper (2001), "la paura della divulgazione pubblica delle conversazioni private potrebbe avere un effetto agghiacciante sul discorso privato". Per essere chiari, gli ISP non sono le uniche parti in questo caso con interessi sul Primo Emendamento. Piuttosto, i clienti degli ISP hanno anche un interesse nel Primo Emendamento che il tribunale deve soppesare: il loro interesse a mantenere private le loro informazioni espressive, incluso chi comunicano online e quali siti Web visitano.

In terzo luogo, la sicurezza delle informazioni è rafforzata dalla nostra capacità di controllare il flusso dei nostri dati personali. Regolamentando il modo in cui gli ISP utilizzano e divulgano i nostri dati, la legge del Maine riduce l'incentivo per gli ISP a raccogliere e archiviare vaste scoperte dei nostri dati. Pertanto, in caso di violazione dei dati presso un ISP, meno dei nostri dati saranno a rischio. Avversari come ladri di identità, stalker e nazioni straniere possono utilizzare i dati violati per ulteriori attacchi contro di noi. Ad esempio, i nostri modelli di utilizzo di Internet possono esporre quando non siamo a casa e i nostri interessi e le associazioni che sono esposti dalla navigazione possono facilitare gli attacchi di phishing.

La legge del Maine è strettamente adattata

Il requisito della legge del Maine ( vale a dire che gli ISP ottengono il consenso esplicito prima di utilizzare o divulgare i dati dei clienti) è strettamente adattato agli interessi sostanziali del Maine ( vale a dire , protezione della privacy dei dati dei clienti ISP, della libertà di parola e della sicurezza delle informazioni). Come spiegato dalla Corte suprema in DOJ contro Reporter Committee (1989), "il controllo individuale delle informazioni riguardanti la [loro] persona" è al centro dei nostri diritti alla privacy. Il requisito del consenso esplicito ripristina ai consumatori il controllo sulle informazioni personali che espongono agli ISP quando visitano Internet.

Gli ISP sostengono che il requisito di consenso esplicito della legge del Maine non è strettamente adattato, perché esiste un approccio normativo alternativo che, secondo gli ISP, sarebbe meno oneroso per il loro trattamento dei dati dei clienti: responsabilizzazione dei clienti all'opt-out di questa elaborazione. Ma i valori predefiniti contano. Gli studi dimostrano che gli utenti della tecnologia generalmente non modificano le impostazioni predefinite. Molti clienti che preferiscono fortemente che gli ISP non utilizzino e divulghino i loro dati personali non sono consapevoli (1) che gli ISP lo stanno facendo, (2) che possono annullare la sottoscrizione e (3) come navigare le impostazioni per invertire l'impostazione predefinita . Pertanto, il requisito del consenso all'adesione è molto più protettivo della riservatezza dei dati rispetto all'opzione del consumatore di recedere.

Numerosi tribunali di appello e di processo federali hanno confermato le leggi sulla privacy dei dati dei consumatori come quella in questione perché sono strettamente adattate a interessi governativi sostanziali. L'unica decisione anomala della corte d'appello è più antica, soggetta a dissenso persuasivo e non seguita da decisioni successive.

Infine, la legge del Maine è adattata a un settore economico, i fornitori di banda larga, che presenta minacce particolari alla privacy dei dati, come discusso sopra. Molte altre leggi sulla privacy dei dati dei consumatori sono specifiche del settore, comprese quelle che regolano i cavi , i noleggi di video , i servizi sanitari , i servizi finanziari , i rapporti di credito , i gestori di telecomunicazioni , i siti Web , i servizi di comunicazione elettronica e i servizi di elaborazione remota . L'approccio settoriale adottato qui dal Maine non intensifica il controllo del primo emendamento.

Prossimi passi

Andando avanti, il FEP continuerà a sostenere l'emanazione delle leggi sulla privacy della banda larga, a livello federale e statale, e di difendere queste leggi in tribunale contro le sfide del primo emendamento male adottate.

Questo lavoro fa parte di una più ampia costellazione di patrocinio del FEP per gli utenti di Internet. Ad esempio, supportiamo le leggi sulla neutralità della rete che vietano agli ISP di discriminare a favore o contro diversi siti Web, app o servizi. Allo stesso modo, sosteniamo la fibra – per – tutte le leggi che, tra le altre cose, promuovono la concorrenza e offrono ai consumatori una scelta più ampia tra gli ISP. Supportiamo le leggi sulla privacy dei dati dei consumatori che si applicano a tutti i tipi di entità che raccolgono e monetizzano le nostre informazioni personali, inclusi tracker di terze parti .

Puoi leggere qui il nostro brief su Amicus in ACA Connects v. Frey [ PDF], la sfida del Primo Emendamento degli ISP alla legge sulla privacy della banda larga del Maine.