La organización peruana defensora de los derechos digitales Hiperderecho junto con la Electronic Frontier Foundation, lanzaron hoy “¿Quién Defiende Tus Datos?”, un reporte que evalúa las prácticas de privacidad de las empresas de comunicación digital que los peruanos utilizan cada día. Junto con reportes similares lanzados a mediados de este año en Colombia y México, estas investigaciones forman parte de una amplia serie de evaluaciones a lo largo de América Latina basadas en el reporte anual de EFF “Who Has Your Back?” y adaptado a las necesidades y realidades locales. Este reporte pone en la mira a las compañías de telefonía e internet para determinar cuáles se destacan ante sus usuarios al responder a las solicitudes de información personal por parte del gobierno.
Perú está experimentando una revolución digital: Sus ciudadanos están utilizando cada vez más Internet y los dispositivos electrónicos para ejercer el derecho a la libertad de expresión, organizar movimientos sociales, y obtener información. A medida que más peruanos usan los teléfonos móviles y las computadoras para acceder Internet, cada vez más datos privados son compartidos entre las compañías que proveen estos servicios. Sin embargo, en julio de 2015 el gobierno ha aprovechado este cambio al proponer una ley que obliga a los Proveedores de Servicios de Internet (ISP en inglés) a retener metadatos de las comunicaciones por un periodo de tiempo y permitir el acceso sin orden judicial a datos de geolocalización en casos de emergencia.
Bajo este contexto, Hiperderecho ha lanzado el reporte “¿Quién Defiende Tus Datos?” en el que evalúa si los ISP peruanos y compañías telefónicas protegen a sus usuarios cuando el gobierno golpea sus puertas exigiendo los datos personales de sus usuarios. Desde sus inicios, este proyecto ha tenido dos objetivos principales: proporcionar a los usuarios con una evaluación clara de qué empresas de telecomunicaciones están adoptando las mejores prácticas para proteger la privacidad; y proporcionar a las empresas con una guía y recomendaciones sobre cómo pueden mejorar sus prácticas de privacidad.
En este informe, Hiperderecho analizó si las compañías publican políticas de privacidad adecuadas y fáciles de entender en sus sitios web oficiales y si las prácticas descritas son suficientes para informar a los usuarios acerca de cómo se tratan los pedidos del gobierno. Son cinco criterios de evaluación y el puntaje otorgado es visible mediante una estrella completa, media estrella o un cuarto de estrella.
Criterios de evaluación
- Política de privacidad: Para ganar una estrella, la compañía evaluada debe haber publicado una política de privacidad que sea fácil de entender. Se debe informar al usuario acerca de qué datos suyos son recopilados, cuánto tiempo se almacena, y describir directrices y los procedimientos que la compañía tiene instalados cuando una autoridad solicita los datos personales de sus usuarios. El cumplimiento parcial fue recompensado con media estrella.
- Orden judicial: Las compañías ganan una estrella en esta categoría si se requiere la orden de un juez antes de entregar las comunicaciones (ya sea el contenido o metadatos). El cumplimiento con este requerimiento para el contenido de las comunicaciones, pero no para los metadatos, otorga una media estrella.
- Notificación al usuario: Para ganar una estrella en esta categoría, las compañías deben comprometerse a informar a sus clientes sobre el pedido de datos por parte del gobierno lo antes posible permitido por la ley. Podrían emitir notificaciones paralelas junto con las notificaciones oficiales emitidas por el gobierno después de que una medida de vigilancia haya ocurrido a través de diferentes métodos de comunicación.
- Reportes de Transparencia: Esta categoría busca aquellas compañías que publican reportes de transparencia sobre los pedidos gubernamentales de datos de usuarios. Para ganar una estrella completa, el informe debe proporcionar datos útiles sobre el número de pedidos que se han recibido y cumplido, incluyendo detalles sobre el tipo de pedidos, los organismos gubernamentales que lo solicitaron, y las razones dadas por la autoridad. Cumplimiento parcial es recompensado con una media estrella.
- Compromiso con la privacidad: Esta estrella reconoce a aquellas compañías que han desafiado la legislación que permite la vigilancia masiva o la vigilancia que autoriza el acceso del gobierno a los datos sin garantías judiciales, así como aquellos que han tomado públicamente una posición a favor de la privacidad de sus usuarios ante el Congreso u otros organismos regulatorios.
Los resultados
La mayoría de las compañías deberían obtener una buena evaluación incluso en esta primera edición del informe, aunque algunas ni siquiera obtuvieron media estrella. Como resultado, las compañías de telecomunicaciones en el Perú tienen un largo camino que recorrer para proteger la privacidad de los datos de comunicaciones de sus usuarios. En categorías como "Informes de Transparencia" y "Notificación al usuario," no existen compañías que se ganaran una estrella. En varios casos, las empresas se limitaron a publicar las políticas de privacidad en las que no incluyeron el tipo de datos que recopilaban o por cuánto tiempo se almacenan los datos.
La reciente aprobación en el Perú de una nueva ley de protección de datos ha obligado a las compañías a divulgar sus prácticas de recolección de datos cada vez que se sumen nuevos usuarios, pero la ley no los obliga a proporcionar una evaluación más completa de los datos que recogen como un subproducto de la utilización del servicio. Por lo tanto, hay poco conocimiento sobre la forma en que tratan la información que recopilan de los usuarios tales como direcciones IP, registros de tráfico y de geolocalización, entre otros.
En este informe se urge a las compañías a estar del lado de sus clientes mediante la implementación de más y mejores prácticas en la medida permitida por la ley. Sin embargo, una de los principales hallazgos es que ciertas restricciones legales en la legislación nacional peruana pueden evitar que los operadores de telecomunicaciones adopten las mejores prácticas internacionalmente reconocidas para la notificación a usuarios, diseñadas para facultar a los usuarios la posibilidad de defender su propia privacidad.
De acuerdo con el Código de Procedimiento Penal o las reglas del sistema nacional de inteligencia, las compañías de telefonía móvil e internet están obligadas a mantener confidencialidad sobre los pedidos de acceso del gobierno. En consecuencia, las compañías pueden estar impedidas de notificar a sus usuarios por adelantado. Sin embargo, todavía hay mucho más que estas compañías podrían hacer dentro de sus obligaciones legales. Bajo la ley peruana, los tribunales deben notificar a los ciudadanos después de que una medida de vigilancia haya expirado y, cuando esto sucede, las compañías podrían contactar en paralelo a los usuarios mediante correo electrónico o teléfono para informarles sobre la notificación. Esto permitiría que los ciudadanos ejerzan su derecho a oponerse y apelar cualquier medida de vigilancia expedida previamente por los tribunales.
El informe revela que algunas compañías de alcance regional tienen mejores prácticas en países distintos a Perú. Por ejemplo, la mayoría de las empresas mexicanas, incluyendo Telmex (subsidiaria de América Móvil), tienen una política de privacidad publicada en su sitio web. Sin embargo, el sitio web de Claro en Perú no publica esta información.
Las compañías peruanas aún tienen un largo camino por recorrer en pos de proteger los datos personales de los clientes y ser transparentes acerca de quién tiene acceso a ella. Hiperderecho aguarda publicar este informe anualmente para incentivar a las empresas a mejorar la transparencia y la protección de los datos de usuarios. Al hacer políticas de privacidad accesibles y comprensibles, los peruanos sabrán cómo se utiliza su información personal y cómo es controlada por las compañías de telefonía e internet para que puedan tomar decisiones de consumo más inteligentes.
Descargar reporte
La versión completa del reporte ¿Quién defiende tus datos?: Reporte de evaluación de empresas de telecomunicaciones ante las medidas de vigilancia estatal puede ser descargada en PDF desde aquí.