La Red en Defensa de los Derechos Digitales (R3D), una organización de derechos digitales líder en México y la Electronic Frontier Foundation (EFF) publicaron hoy “¿Quién Defiende Tus Datos?”, una evaluación de las prácticas de privacidad de las compañías proveedoras de Internet que millones de mexicanos utilizan a diario. Esta investigación es parte de una serie de estudios hechos en diferentes países de América Latina basados en el reporte anual de EFF denominado “Who Has Your Back?” y adaptado conforme a la realidad legal y de mercado. El informe compara qué compañías telefónicas y proveedores de servicio de internet defienden a sus usuarios cuando responden a las solicitudes del gobierno para obtener información personal.

Con más de 100 mil pedidos de vigilancia por parte del Estado mexicano en el año 2014, los usuarios de Internet son cada vez más el blanco de investigaciones del gobierno. Cada una de estas solicitudes de datos personales puede revelar una gran cantidad de información acerca de un usuario, incluyendo sus interacciones en línea, discusiones, incluso sus movimientos en tiempo real, minuto-a-minuto. Todos estos datos pueden ser entregados sin que la persona involucrada pueda impugnar o limitar el alcance de la información entregada, como lo pueden hacer si su casa o propiedad termina siendo allanada y/o incautada.

En cambio, los usuarios de Internet dependen de las políticas de privacidad de terceras compañías para proteger sus derechos en línea. El informe de R3D revela cuáles son los Proveedores de Servicios de Internet (PSI) y las empresas de telefonía en México que mejor defienden a sus clientes. ¿Cuáles son transparentes acerca de sus políticas con respecto a las solicitudes de entrega de datos? ¿Cuáles son las que requieren una orden judicial antes de entregar información personal? ¿Alguna de las empresas confronta las leyes de vigilancia o las demandas individuales de los datos de sus usuarios? ¿Alguna de las empresas notifica a sus usuarios a la hora de cumplir con una orden judicial?

R3D examinó información publicada en Internet, incluyendo las políticas de privacidad y códigos de prácticas de ocho de los proveedores de acceso de telecomunicaciones más grandes de México: Axtel, Cablemás, IZZI Telecom, Iusacell, Megacable, Nextel, Telmex / Telcel y Telefónica / Movistar. Entre ellos, estas compañías cubren más del 98% de la infraestructura en telefonía fija, móvil y banda ancha del mercado mexicano.

A cada compañía se le ha dado la oportunidad de responder un cuestionario, a participar en una entrevista privada y de enviar cualquier información adicional que considerasen necesaria, elementos que fueron incorporados en el informe final. Este enfoque se basa en los antecedentes de trabajo que la EFF realizó para sus informes anuales “Who Has Your Back?” en los Estados Unidos, aunque las preguntas específicas del estudio de R3D fueron adaptadas para coincidir con la realidad y el entorno legal de México.

Investigaciones personalizadas utilizando metodologías similares vienen siendo trabajadas por grupos de derechos digitales en varios países de América Latina. En Mayo, la Fundación Karisma de Colombia publicó su informe, ¿Dónde Están Mis Datos?. También lo viene haciendo Hiperderecho en el Perú, InternetLab en Brasil y TEDIC en Paraguay.

La clasificación realizada por R3D a las Proveedoras de Internet y empresas de telefonía mexicanas se encuentran descritas abajo. El informe completo sobre los resultados de la investigación está disponible en la página del proyecto: qdtd.mx.

Criterios de evaluación de ¿Quién Defiende tus Datos?

1. Política de privacidad adecuada: Para obtener una estrella, una compañía proveedora de Internet debe haber publicado una política de privacidad que sea fácil de entender. Debe informar al lector acerca de qué datos son almacenados por ellos, y describir las pautas y procedimientos que la compañía tiene en marcha cuando una autoridad solicita los datos. El cumplimiento parcial de este punto lo recompensamos con media estrella.

2. Exige autorización judicial: Las compañías obtienen una estrella en esta categoría si piden al gobierno que presente una orden de un juez federal antes de entregar la información de sus usuarios, ya sea contenido o metadatos. La compañías obtiene media estrella si cumple con este requisito con respecto al contenido de las comunicaciones, pero no para los metadatos.

3. Notifica a los usuarios: Para otorgar una estrella en esta categoría, las compañías deben comprometerse a informar a sus clientes sobre una solicitud gubernamental de sus datos con el mayor tiempo posible permitido por ley. También deben objetar el marco legal que prohíbe la notificación a los usuarios o abogar por un mecanismo de notificación, ante el Congreso u otros organismos reguladores.

4. Publica informe de Transparencia: Otorgamos a las compañías una estrella si publican reportes de transparencia sobre los pedidos de datos de los usuarios por parte del gobierno. Para otorgar una estrella completa, este reporte debe proveer información fiable sobre cuántas solicitudes son recibidas y contestadas, con detalles sobre el tipo de solicitudes, las instituciones gubernamentales que lo han hecho y las razones dadas por las autoridades. El cumplimiento parcial es premiado con media estrella.

5. Defiende usuarios en Tribunales: Para obtener esta estrella, las compañías han tenido que desafiar alguna legislación que legitima la vigilancia masiva o la vigilancia sin garantías judiciales aprobada por el gobierno, así como a aquellas empresas que han confirmado públicamente su resistencia frente a peticiones excesivamente amplias del gobierno.

6. Rechaza vigilancia masiva y sin controles: En esta categoría, las compañías son recompensadas por adoptar una postura pública en contra de la vigilancia masiva, sin control y por defender esta determinación ante el Congreso y otros organismos reguladores. Además, esta categoría acredita a las compañías por la participación en mecanismos de respeto a los derechos humanos.

Los Resultados:

1. Política de privacidad adecuada

Ninguna compañía obtuvo una estrella en esta categoría. Todas ellas, excepto Iusacell, tienen una política de privacidad sobre los servicios de telecomunicaciones que prestan, publicados en los sitios web de las compañías. Sin embargo, el lenguaje utilizado en las políticas de privacidad es demasiado ambiguo y poco claro como para ganar una estrella. Las políticas de privacidad de las compañías no indican claramente qué información se recopila sobre las comunicaciones de sus clientes, por cuánto tiempo o qué procedimientos se han adoptado cuando las autoridades solicitan esos datos.

2. Exige autorización judicial

De acuerdo a la Constitución mexicana, las autoridades deben obtener una orden de un juez federal antes de acceder al contenido de las comunicaciones. Si bien no hay pruebas de una compañía que no cumpla con esta regla, ninguna de las compañías estudiadas para este reporte se ha comprometido a exigir una orden de un juez federal cuando las autoridades solicitan metadatos de los usuarios, una garantía que ha sido reconocida tanto por la Corte Suprema de México y la Corte Interamericana de Derechos Humanos. Por lo tanto, todas las empresas se adjudicaron media estrella.

3. Notifica a los usuarios

No existe evidencia de compañía alguna que adopte una política de notificación a los usuarios en forma inmediata de acuerdo a la ley cuando las autoridades tratan de acceder a los datos de sus comunicaciones. Mientras que en algunos casos puede existir un impedimento legal de notificar a los usuarios, no hemos hallado una compañía que confronte la legislación o que ha propuesto el establecimiento de un mecanismo de notificación a los usuarios ante el Congreso de la Unión u otros organismos reguladores. Por lo tanto, ninguna compañía ganó una estrella.

4. Publica informe de Transparencia

Iusacell, Movistar, Nextel y Telcel han ganado cada una media estrella por la publicación de informes de transparencia a través de ANATEL (Asociación Nacional de Telecomunicaciones), entidad de la que forman parte. Este es un paso inicial importante.

Sin embargo, este informe de transparencia sólo exhibe un número genérico de las solicitudes realizadas por las autoridades para la persecución de delitos, sin proporcionar información detallada sobre el tipo de solicitudes de datos que las compañías han recibido, qué instituciones de gobierno hicieron las solicitudes o qué razones fueron dadas por las autoridades para formular la solicitud.

La falta de información específica no permite a los usuarios saber del ámbito y el alcance de las solicitudes del gobierno. Por lo tanto, los proveedores de telefonía móvil y de Internet miembros de ANATEL sólo recibieron una media estrella. Las otras compañías no recibieron estrellas.

5. Defiende usuarios en Tribunales

En el último año, el Congreso mexicano aprobó leyes que legitiman medidas de vigilancia masiva y sin control, tales como la Ley Federal de Telecomunicaciones y de Radiodifusión. Iusacell y Telcel lucharon por sus usuarios al cuestionar la constitucionalidad de estas disposiciones de vigilancia.

Por otra parte, ninguna compañía proporcionó información detallada sobre litigio en los tribunales respecto a solicitudes abusivas de las autoridades, por lo tanto, Iusacell y Telcel recibieron media estrella cada una. El resto de las compañías no ganó estrella alguna.

6. Rechaza vigilancia masiva y sin controles

Telefónica Movistar obtuvo una estrella completa al publicar un compromiso de política pública contra la vigilancia sin control y un claro reconocimiento sobre sus responsabilidades de derechos humanos, incluido el derecho a la privacidad.

Todas las empresas, excepto Megacable, han abogado por la privacidad de sus usuarios ante el Congreso de la Unión y otros organismos reguladores como el Instituto Federal de Telecomunicaciones (IFT).

Telefónica Movistar también es la única compañía que forma parte de cualquier tipo de mecanismo que aborda sus obligaciones de derechos humanos, como el Telecommunications Industry Dialogue y la Global Network Initiative. Como resultado de ello, Telefónica Movistar fue la única empresa que obtuvo una estrella completa en este informe.

Conclusiones

Las compañías en México tienen un largo camino por recorrer en la protección de los datos personales de sus clientes y la transparencia frente a las solicitudes gubernamentales. R3D se compromete a publicar este informe anualmente para incentivar a las empresas a mejorar la transparencia y la protección de los datos de sus usuarios. De esta manera, todos los mexicanos tendrán acceso a la información sobre cómo se utilizan sus datos personales y cómo es controlado por sus proveedoras de servicio de Internet, lo cual les permitirá tomar decisiones más inteligentes como consumidor. Esperamos que el informe brille con más estrellas el próximo año.

Actualización: una versión anterior del informe mostró a Iusacell con una puntuación sin estrellas en la categoría de los defensores de la privacidad en la tabla condensada. Sin embargo, el gráfico de la categoría y los totales son correctos. Hemos actualizado la tabla condensada.