Un tribunal de apelaciones federal rechazó el intento de T-Mobile de anular multas por un total de 92 millones de dólares por vender información de ubicación de clientes a empresas externas.
La Comisión Federal de Comunicaciones (FCC) multó el año pasado a T-Mobile, AT&T y Verizon, alegando que las empresas compartieron ilegalmente el acceso a la información de ubicación de los clientes sin su consentimiento y no tomaron medidas razonables para proteger esos datos sensibles contra divulgaciones no autorizadas. Las multas están relacionadas con la venta de datos de ubicación en tiempo real, revelados en 2018, aunque la FCC tardó años en finalizar las sanciones.
Las tres empresas apelaron las decisiones en tres tribunales diferentes, y la primera resolución importante se emitió el viernes. Un panel de tres jueces del Tribunal de Apelaciones de EE. UU. para el Circuito de Columbia falló unánimemente en contra de T-Mobile y su filial Sprint.
El fallo comienza afirmando que “cada teléfono celular es un dispositivo de rastreo”. Para recibir servicio, un teléfono celular debe conectarse periódicamente a la torre más cercana de la red de un operador. Cada vez que lo hace, envía al operador un registro de la ubicación del teléfono y, por extensión, de la ubicación del cliente que lo posee. Con el tiempo, esta información se convierte en un historial exhaustivo de los movimientos de un cliente y “proporciona una ventana íntima a la vida de esa persona”.
Hasta 2019, T-Mobile y Sprint vendieron información de ubicación de clientes a agregadores de información de ubicación, LocationSmart y Zumigo. Los operadores no verificaron si los compradores obtuvieron el consentimiento del cliente, según el fallo. “Varios actores malintencionados abusaron de los programas de Sprint y T-Mobile para acceder ilícitamente a la información de ubicación sin el conocimiento, y mucho menos el consentimiento, de los clientes. E incluso después de que Sprint y T-Mobile se dieron cuenta de esos abusos, continuaron vendiendo dicha información durante algún tiempo sin adoptar nuevas medidas de seguridad”, escribieron los jueces.
Los operadores afirmaron que la venta de datos no violaba la ley
En lugar de negar las acusaciones, los operadores argumentaron que la FCC excedió su autoridad. Sin embargo, el panel de apelaciones decidió que la FCC actuó correctamente:
Sprint y T-Mobile (colectivamente, “los operadores”) ahora solicitan nuestra revisión. Ninguno niega lo que sucedió. En cambio, argumentan que los hechos no disputados no constituyen una violación de la ley. Los operadores también argumentan que la Comisión malinterpretó la Ley de Comunicaciones, calculó incorrectamente las multas y violó la Séptima Enmienda al no otorgarles un juicio por jurado. Debido a que los argumentos de los operadores carecen de mérito, denegamos las solicitudes de revisión.
Las multas impuestas por la FCC incluyeron 80.1 millones de dólares para T-Mobile y 12.2 millones de dólares para Sprint. T-Mobile, que compró Sprint en 2020, reportó ingresos por servicios de 17.4 mil millones de dólares y una ganancia neta de 3.2 mil millones de dólares en el último trimestre.
Aunque la FCC propuso inicialmente las multas en 2020, bajo la presidencia del republicano Ajit Pai, la votación de 2024 para finalizar las sanciones fue de 3-2, con disidencias de los republicanos Brendan Carr y Nathan Simington. Carr es ahora presidente de la FCC.
T-Mobile informó a Ars que está “revisando actualmente la acción del tribunal”, pero no proporcionó más comentarios. La empresa podría solicitar una revisión en banc ante todos los jueces de la corte de apelaciones o pedir a la Corte Suprema que revise el caso. Mientras tanto, AT&T está impugnando su multa en el tribunal de apelaciones del 5.º Circuito, mientras que Verizon lo hace en el 2.º Circuito.
AT&T y Verizon fueron multados con 57.3 millones de dólares y 46.9 millones de dólares, respectivamente. La FCC dijo el año pasado que los principales operadores divulgaron información de ubicación de clientes “sin el consentimiento del cliente u otra autorización legal a un sheriff de Missouri a través de un ‘servicio de localización’ operado por Securus, un proveedor de servicios de comunicaciones para instalaciones correccionales, para rastrear la ubicación de numerosas personas”.
Los operadores renunciaron al derecho a un juicio por jurado, según el tribunal
AT&T y Verizon hicieron argumentos similares sobre su derecho a un juicio por jurado y citaron el fallo de la Corte Suprema de junio de 2024 en Securities and Exchange Commission v. Jarkesy. Ese fallo sostuvo que “cuando la SEC busca sanciones civiles contra un acusado por fraude en valores, la Séptima Enmienda otorga al acusado el derecho a un juicio por jurado”.
En el fallo contra T-Mobile, el panel del Circuito de DC sostuvo que los operadores renunciaron a cualquier derecho potencial a un juicio por jurado cuando “decidieron pagar sus multas y solicitar una revisión directa en este tribunal… Los operadores no pueden quejarse ahora de que se les negó un derecho que renunciaron voluntariamente”.
Los operadores podrían haber obtenido un juicio por jurado si simplemente no hubieran pagado las multas y hubieran esperado a ser notificados con una queja, dijo el fallo. “Incluso si la Séptima Enmienda se aplica, no se violó porque los operadores tuvieron la oportunidad de presentar su caso ante un jurado”, escribieron los jueces.
Los operadores argumentaron que en realidad no tenían derecho a un juicio por jurado porque las órdenes de la FCC “son acciones finales de la agencia con efectos en el mundo real; de hecho, la FCC reconoce que puede utilizar sus hallazgos fácticos no probados en decisiones de renovación de licencias y cálculos de sanciones”.
El panel de apelaciones respondió que “este tribunal no ha adoptado la regla que preocupa” a los operadores. Si “el gobierno presentara una acción de ejecución en una jurisdicción con la regla desfavorable, los operadores podrían haber planteado desafíos aplicados en esos procedimientos. Pero no podemos ‘invalidar la legislación sobre la base de… situaciones hipotéticas que no están ante nosotros'”, escribieron los jueces.
Los operadores discutieron sobre la definición de datos sensibles
Los operadores también argumentaron que la información de ubicación del dispositivo, que se “genera pasivamente cuando un dispositivo móvil se conecta a torres celulares para apoyar tanto servicios de voz como de datos”, no califica como Información de Red Propietaria del Cliente (CPNI) según la ley. Los operadores afirmaron que la ley “cubre información relacionada con la ‘ubicación… de uso’ de un servicio de telecomunicaciones”, y sostuvieron que solo la información de ubicación de llamadas encaja en esa descripción.
Los jueces criticaron a T-Mobile y Sprint por basarse en “interpretaciones forzadas” del estatuto. “Comenzamos con el texto. La Ley de Comunicaciones se refiere a la ‘ubicación… de un servicio de telecomunicaciones’, no a la ubicación de una llamada de voz… Recuerde que los teléfonos celulares se conectan periódicamente a torres celulares, y eso es lo que permite a los dispositivos enviar y recibir llamadas en cualquier momento”, dijo el fallo.
En opinión de los jueces, “un cliente ‘utiliza’ un servicio de telecomunicaciones cada vez que su dispositivo se conecta a la red del operador con el propósito de poder enviar y recibir llamadas. Y la interpretación de los operadores, por lo tanto, no limita ‘ubicación… de uso’ a los momentos en que el cliente está activamente en una llamada de voz”.
Los jueces tampoco se mostraron convencidos por el argumento de que las multas eran demasiado altas. “Los operadores señalan que la Comisión anteriormente había impuesto multas tan grandes solo en casos que involucraban fraude o esfuerzos intencionales para engañar a los consumidores, y no son culpables de ninguna de esas formas de mala conducta”, dijo el fallo. “Sin embargo, la Comisión explicó razonablemente que la conducta de los operadores era ‘egregia’: incluso después de que la violación de Securus expuso las salvaguardias de Sprint y T-Mobile como inadecuadas, ambos operadores continuaron vendiendo acceso a la información de ubicación bajo un sistema defectuoso”.
Fuente original: ver aquí
