En la sociedad actual todo está conectado en Internet. La información sobre dónde vivimos o trabajamos, cuáles son nuestros ingresos, nuestros gustos o preferencias, relaciones personales y actividades cotidianas, filiación política, inclinación sexual e identificación religiosa se encuentran en línea, puede ser recogida por terceros y forma parte de la vigilancia que adelantan tanto Gobiernos como otros actores. Mientras las compañías que ofrecen servicios de Internet están sujetos a diversas regulaciones relacionadas con la forma en que manejan nuestros datos personales y confidenciales, sus políticas de privacidad y sus términos de servicio carecen de claridad sobre los protocolos que usan para proteger la información de sus clientes. Por eso vale la pena preguntarse ¿sabe usted dónde están sus datos en este momento?, ¿acaso estas empresas los cuidan?, ¿le cuentan si el Gobierno los pide? Para responder estas preguntas surge el informe “¿Dónde están mis datos?”

La Fundación Karisma, una de las principales ONG latinoamericanas que trabajan en la promoción de los derechos humanos en el mundo digital, y la Electronic Frontier Foundation (EFF), han unido esfuerzos en una iniciativa que busca fomentar mayor transparencia entre los proveedores de servicios de Internet (PSI) en América Latina. Este esfuerzo es coordinado por la EFF en cinco países de la región en alianza con Red en Defensa de los Derechos Digitales, en México; Hiperderecho, en Perú; InternetLab, en Brasil; TEDIC, en Paraguay y Fundación Karisma, en Colombia.

La Fundación Karisma es pionera en esta iniciativa, publicando el primer informe de este tipo en América Latina bajo el nombre “¿Dónde están mis datos?”. El informe analiza cuál de los proveedores de acceso a Internet apoya a sus clientes y adopta la transparencia como una norma frente a las solicitudes de información del Gobierno. El objetivo es  permitir a los y las usuarias tomar decisiones informadas sobre las empresas con las que hacen negocios. El informe busca promover la adopción de buenas prácticas de transparencia por parte de las empresas en relación con el flujo de datos hacia el Gobierno y pretende también fortalecer su compromiso público con la defensa de los derechos de los y las usuarias.

"Los proveedores de servicios de Internet en Colombia deben ser transparentes respecto a la medida en que proporcionan los datos de sus usuarios al Gobierno", dijo Katitza Rodríguez, Directora de Derecho Internacional de la EFF hoy durante el lanzamiento del evento en Bogotá. "El reporte '¿Dónde Están Mis Datos?' de la Fundación Karisma examina las políticas de privacidad de los proveedores de Internet más populares de Colombia, para ofrecer una visión clara de la transparencia de estas compañías hacia sus usuarios acerca de las peticiones gubernamentales de información. El informe es una herramienta importante para los usuarios que buscan tomar decisiones informadas sobre compañías respetuosas con su información."

Para este informe, la Fundación Karisma examina las políticas y términos y condiciones de uso públicamente disponibles de las cuatro compañías intermediarias de acceso a Internet más importantes del país de acuerdo con el número de suscriptores. Un dato que se basa en el Boletín Trimestral de las TIC Banda Ancha publicado en septiembre de 2014 por el Ministerio de las Tecnologías de la Información y las Comunicaciones colombiano que muestra que cerca del 91% de los suscriptores registrados son clientes de una de estas empresas que operan en Colombia: Telmex Colombia S.A. (CLARO), UNE EPM Telecomunicaciones S.A., Colombia Telecomunicaciones S.A. (Telefónica) y Empresa de Telecomunicaciones de Bogotá S.A. (ETB). Además, se incluyó una quinta compañía -DIRECTV- puesto que recientemente empezó a ofrecer el servicio de acceso a Internet y es una empresa multinacional de gran impacto en el país. También es necesario mencionar que, aunque UNE y Tigo se fusionaron en el 2014, las dos empresas mantienen políticas independientes, por lo tanto se decidió mantener la evaluación sobre UNE con el fin de revisar una empresa que tiene gran influencia por fuera de la capital del país.

Fundación Karisma realizó una evaluación de la información pública disponible en las páginas web de las cinco empresas. Fueron evaluadas de acuerdo a qué tanto divulgan a sus clientes sus políticas de privacidad y documentos de términos y condiciones de uso.  La evaluación se hizo teniendo en cuenta cinco criterios:

  1. Si el PSI publica informes de transparencia. El informe evalúa si las empresas entregan datos sobre los requerimientos de datos personales del Gobierno y otra información sensible. Estos informes ofrecen a las personas alguna información sobre el alcance y naturaleza de las solicitudes de información de los y las usuarias que hacen los Gobiernos para sus procesos de investigación y vigilancia. Si bien las empresas no están obligadas legalmente a publicar estos informes de transparencia y sí están limitados por los Gobiernos en relación con el alcance de lo que pueden publicar, entregar estos documentos es una buena práctica y demuestra que las empresas se preocupan por sus clientes. Cada día más empresas de Internet y de medios alrededor del mundo están publicando estos informes, así lo hacen Google, Facebook, Twitter, Microsoft y Vodafone. Los informes de transparencia incluyen información con cantidad de solicitudes que una empresa recibe del Gobierno, número de veces que la empresa ha rechazado estas solicitudes (con los argumentos que han esgrimido), detalles sobre las peticiones en relación con las autoridades que las piden, tipo de solicitudes, propósito y número de cuentas afectadas en cada petición, por ejemplo;
  2. Si el PSI notifica a los y las usuarias sobre las solicitudes de datos del Gobierno. Este es un punto importante porque permite a los y las usuarias enfrentar las peticiones de vigilancia o buscar otros mecanismos de defensa;  
  3. Si las políticas de protección de datos del PSI son públicas y de fácil acceso para los y las usuarias. Aunque existe la obligación legal para publicar la política de privacidad, esto no significa que en la práctica estos documentos sean fáciles de encontrar o sean comprensibles para los y las usuarias;
  4. Si el PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los y las usuarias. Es decir, si tiene manuales que indiquen cómo cumplen con su obligación de entregar datos personales de sus clientes a petición de una autoridad competente, por cuánto tiempo retienen esos datos y cómo los eliminan, si es que lo hacen, y;
  5. Si el PSI es claro con los y las usuarias sobre las formas en que filtra, retira o bloquea contenidos y cancela o suspende servicios. Si bien legalmente los PSI deben bloquear contenidos justificados por pornografía infantil e incluso ellos mismos suelen incluir en sus contratos listados de motivaciones para hacer filtrados, bloqueos y retiros de contenidos, se requiere que tengan más claridad con los y las usuarias respecto del por qué y cómo lo hacen e indiquen qué tipo de acciones pueden realizar cuando consideran que hay abusos.

“¿Dónde están mis datos?” pretende impulsar mejores prácticas empresariales de los PSI para beneficio de los y las usuarias; busca identificar áreas donde es necesaria la transparencia y quiere sensibilizar acerca del uso que los PSI y el Gobierno le están dando a los datos personales de los y las usuarias, para que éstos y éstas puedan tomar decisiones más informadas al elegir un proveedor de servicios de Internet.

Los criterios de análisis se definieron inspirados en la metodología que emplea EFF y otros proyectos similares alrededor del mundo y teniendo en cuenta las particularidades del caso colombiano. Los resultados se pueden visualizar por medio de estrellas o partes de estrellas (dependiendo de si la información consultada se encontraba disponible de manera completa, parcial o nula). Una estrella completa significa que el PSI cumplió con el criterio, media estrella significa que la información encontrada era parcial. En algunos casos se otorgó un cuarto de estrella como reconocimiento al desarrollo de buenas prácticas en sus políticas. No se concedió estrellas cuando no había información.

La Fundación Karisma contactó a las cinco compañías que fueron evaluadas, para explicarles el objetivo del informe, exponerles los resultados preliminares obtenidos por cada una, y darles la oportunidad de retroalimentar el análisis, identificar temas que no se habían contemplado y proporcionar evidencia que pudiera mejorar la evaluación. Las observaciones y comentarios hechos por los PSI fueron considerados en la evaluación final.

Los resultados: Políticas vagas y poco claras, además de ausencia de transparencia acerca del rol que juegan estas empresas en la entrega de información personal al gobierno, dejan mucho espacio para mejorar.

Este año DirecTV fue la única empresa que ganó una estrella completa por publicar su política de protección de datos de forma clara y accesible al público. Desafortunadamente, los resultados del informe ¿Dónde están mis datos? muestran que ésta es la excepción a la regla; lo corriente es que los y las usuarias la tienen difícil para encontrar estos documentos en las páginas oficiales de los PSI, que éstos son vagos y contienen previsiones exageradas como la retención de datos personales incluso después de finalizado el contrato.

Karisma estableció que en la mayoría de los términos y condiciones de uso de los PSI no se establece si estas empresas notifican a sus suscriptores cuando el Gobierno hace solicitudes de información de sus datos, o en caso de hacerlo, no se sabe cómo. Es importante resaltar que esta notificación es esencial para que los usuarios puedan controvertir tales solicitudes o buscar otros recursos legales.

DirecTV es la única empresa que declara públicamente que notifica a sus clientes sobre estas solicitudes, pero tal declaración es discrecional y vaga, no explica la forma en que lo hace. Un resultado alentador es que UNE afirma que analiza la legalidad de tales solicitudes y lleva un registro de la forma en que las atiende, aunque falla al no tomar el siguiente paso y notificar a sus usuarios y usuarias afectados.

Desafortunadamente ninguno de los PSI analizados publica manuales o guías donde se explique la forma en que cumplen con su obligación legal de entregar información personal al Gobierno. De otra parte, tampoco los términos y condiciones de uso de estas empresas describen la forma en que el contenido es filtrado, bloqueado o removido, o lo que sucede si un servicio es cancelado o suspendido.

Los PSI en Colombia aún tienen mucho que mejorar en relación con la protección de los derechos de los y las usuarias y en la transparencia sobre la entrega de datos de sus clientes. Esperamos publicar este informe anualmente para incentivar a las empresas a mejorar sus prácticas de transparencia y protección de la intimidad de sus usuarios. De esta manera todos los colombianos tendrán acceso a información acerca de cómo están siendo usados y controlados sus datos personales por las PSI, y puedan tomar decisiones de consumo inteligentes. Desde Karisma se espera que el próximo año la tabla de resultados brille con muchas más estrellas.

Haga clic aquí para descargar el PDF.