Um tribunal federal dos Estados Unidos, a Corte de Apelações do Sexto Circuito, confirmou recentemente as exigências de notificação de vazamento de dados estabelecidas pela Comissão Federal de Comunicações (FCC) em 2023. Essa decisão foi tomada em 13 de agosto de 2025, em um julgamento de 2 a 1 no caso Ohio Telecom Association contra a FCC. A corte interpretou amplamente a autoridade da FCC, entendo que a legislação permite à comissão regular práticas do setor de telecomunicações referentes à notificação de vazamentos de dados pessoais. Essa decisão pode ter grandes repercussões para as empresas de telecomunicação, pois possibilita uma supervisão mais rigorosa da FCC em questões de privacidade de dados e segurança cibernética, além de outras práticas consideradas injustas ou irregulares.
Além disso, a decisão também aborda a interpretação do Ato de Revisão do Congresso (CRA). Em 2017, o Congresso já havia rejeitado exigências de notificação de vazamentos que faziam parte de um conjunto maior de normas de privacidade e segurança de dados emitidas pela FCC em 2016. A corte, em Ohio Telecom, definiu que a rejeição do conjunto de regras de 2016 não impede a FCC de emitir novas exigências, já que a nova ordem era considerada apenas uma parte específica do regulamento anterior.
O caso Ohio Telecom é a primeira decisão appellate a explicar a expressão “substancialmente a mesma” no contexto do CRA. A interpretação restrita do CRA pela corte pode limitar a capacidade do Congresso de controlar as normas criadas pelas agências governamentais. Após o julgamento, agências podem simplesmente responder a rejeições emitindo versões levemente modificadas das normas derrubadas.
O contexto da ordem de 2023 e sua relação com a ordem anterior de 2016 é importante. A ordem de 2016, intitulada “Protegendo a Privacidade dos Clientes de Serviços de Telecomunicações”, visava implementar requisitos de privacidade e segurança de dados, incluindo a notificação de vazamentos, para provedores de telecomunicações. Esta ordem ampliou as regras existentes de notificação, que antes se aplicavam apenas a categorias limitadas de dados. Embora a FCC tenha alegado que tinha autoridade para essas novas regras com base em seções da Lei de Comunicações, o termo “informações pessoalmente identificáveis” (PI) não estava claramente definido em nenhuma das seções relevantes.
Em resposta à ordem de 2023, a Associação de Telecomunicações de Ohio e outros grupos da indústria apresentaram pedidos de revisão em tribunais. Eles argumentavam que a FCC não tinha autoridade para emitir as novas regras de notificação de vazamentos e que estas eram um retorno das regras que o Congresso havia rejeitado.
O tribunal concordou que a FCC não poderia emitir a Ordem de Vazamento de Dados com base na seção 222(a), mas reafirmou que a seção 201(b) permitia à FCC regular práticas que possam ser consideradas injustas ou irregulares. Além disso, decidiu que a Ordem de Vazamento de Dados não estava impedida pelo CRA, já que era diferente da ordem rejeitada em 2016.
As implicações da decisão da Sexta Corte são significativas para as companhias de telecomunicações. Primeiro, há a introdução de mais uma exigência para notificar clientes e autoridades sobre vazamentos e incidentes de segurança. Segundamente, a leitura ampla da seção 201(b) permite à FCC regular práticas de privacidade e segurança de dados, o que pode levar a ações mais rigorosas por parte da agência. Finalmente, a interpretação restrita do CRA pode fortalecer a capacidade das agências de reemitir regras anteriormente derrubadas pelo Congresso.
O futuro da FCC em relação à Ordem de Vazamento de Dados ainda é incerto. O novo presidente da FCC, que se opôs à ordem, poderia optar por ajustá-la ou até mesmo revogá-la. Por sua vez, as próximas etapas no caso Ohio Telecom podem envolver novos pedidos para revisão da decisão ou até uma análise pelo Supremo Tribunal.
