Red en Defensa de los Derechos Digitales (R3D)—la principal organización mexicana de derechos digitales- lanzó su segundo informe anual ¿Quién defiende tus datos?, que evalúa qué tan protegida está la privacidad de los clientes de las compañías mexicanas de telecomunicaciones

El segundo informe anual de R3D examina las políticas, disponibles públicamente, de ocho de las mayores compañías de telecomunicaciones: AT&T, Axtel, Izzi, Megacable, Movistar, Telcel, Telmex y TotalPlay.

El informe muestra que AT&T, que ingresó al mercado mexicano en 2015 luego de adquirir dos pequeños operadores locales, lidera la adopción de políticas que defienden los derechos de los usuarios. La compañía ha adoptado las mejores prácticas aceptadas por la industria: AT&T publica informes de transparencia, promete, explícitamente, solicitar una autorización al colaborar con las fuerzas del orden y proporciona una política de privacidad clara y detalladas directrices de cumplimiento de la ley en su sitio web.

AT&T es también la única compañía de telecomunicaciones que publica un completo informe de transparencia centrado únicamente en las solicitudes gubernamentales de datos de usuarios en México, aunque sólo en inglés. Los esfuerzos de AT&T para adoptar políticas que protejan la privacidad de los usuarios nos parecen alentadores y esperamos ver cómo mejorarán en 2017. La tendencia inicial de todo el sector muestran que-aunque algunas empresas mexicanas de telecomunicaciones han defendido la privacidad del usuario cuando se enfrentan a las demandas gubernamentales de datos de usuarios - muchas empresas no lo han hecho.

Además, ninguna de las empresas de telecomunicaciones incluidas en este informe se compromete a notificar a sus usuarios cuando sus datos han sido solicitados por las fuerzas del orden, cuando sea legalmente posible. La industria de las telecomunicaciones en México aún no ha alcanzado los estándares globales de la industria para salvaguardar los datos de los usuarios de las demandas injustificadas de acceso y retención de datos. Muchas de las compañías en el informe no llegan a su máximo potencial. Por ejemplo, Telmex y TELCEL, tuvieron todo un año de preparación para su inclusión en el ¿Quién defiende mis datos? , Pero no mejoraron significativamente su apoyo a la privacidad y seguridad de sus usuarios. A TotalPlay e Izzi les hace falta mucho trabajo para demostrar su compromiso con sus clientes, y no ganan ningún crédito en cualquiera de las categorías este año. Esto es decepcionante, pero somos optimistas respecto a que estas empresas considerarán el informe de R3D como una llamada de atención y se pondrán de pie para respaldar a sus usuarios en 2017. Reconocemos que los cambios en las prácticas industriales requieren tiempo. Tomó varios años antes de que el EFF viera cambios extensos en las políticas de los gigantes de la tecnología en respuesta al informe anual del EFF “Who Has Your Back”.

Esperamos que en la edición 2017 del informe ¿Quién defiende mis datos? de R3D se encontrará a más empresas adoptando las mejores prácticas. Mientras tanto, felicitamos a AT&T por liderar la industria mexicana de telecomunicaciones en informes de transparencia y apreciamos las medidas tomadas por Movistar para mejorar sus prácticas y políticas de privacidad y mantenerse al lado de sus usuarios.

Hallazgos claves de R3D

Políticas de privacidad

AT&T, Axtel, IZZI, Megacable, Movistar, Telcel, Telmex, y Total Play todos tienen políticas de privacidad o avisos disponibles en sus páginas de inicio. Sin embargo, sólo AT&T y Movistar indican qué información de comunicaciones recopilan de sus usuarios. Ninguna de las empresas durante cuanto tiempo almacenarán esos datos personales.

Tanto AT&T, Megacable como Movistar tienen políticas relacionadas con los procedimientos involucrados en la colaboración con las autoridades para asuntos de seguridad y justicia. Sin embargo, AT&T es la única empresa que detalla los términos específicos y los requisitos legales que las autoridades necesitan antes de entregar sus datos de "usuarios" a las autoridades.

Ninguna empresa se compromete a notificar a sus usuarios cuando modifiquen sus políticas de privacidad. Todos ellos imponen esa responsabilidad al cliente que debe comprobar periódicamente el sitio web del proveedor. Ninguna de las compañías mantiene versiones antiguas de sus políticas de privacidad accesible al público, ni explican los cambios que se les han hecho a lo largo del tiempo.

Requerimiento de orden judicial

Solamente AT&T y Telmex requieren explícitamente una autorización a las autoridades cuando solicitan acceso a los datos del usuario. Aunque no hubo información disponible públicamente relacionada si las compañías en este informe exigen una orden federal cuando las autoridades solicitan metadatos de comunicaciones, se ha sabido que AT&T, Megacable y Movistar rechazan dichas solicitudes. 

Según el Insttituto Federal de Telecomunicaciones, en el primer semestre de 2016, AT&T rechazó casi la mitad de las 5.503 solicitudes recibidas para acceder a los datos de usuario. Megacable rechazó el 64% de las 115 solicitudes recibidas, y Movistar sólo rechazó el 7,9% de un total de 4.341 solicitudes recibidas. Axtel y Telcel no rechazaron ninguna solicitud de datos. Esto es particularmente decepcionante, ya que Telcel recibió la mayor cantidad de solicitudes de datos de cualquiera de las compañías durante ese período (27.672 solicitudes), y parece bastante improbable que Telcel recibiera nada objetable.

Notificación del Usuario

Ninguna de las compañías evaluadas tiene una política públicamente disponible que prometa notificar a los usuarios en el caso de que sus datos sean entregados a las autoridades. Basado en información pública, R3D encontró que ninguna de las compañías impugnó ningún impedimento legal en la corte para notificar a sus usuarios, O abogó por la creación de mecanismos de notificación en el Congreso o al Instituto Federal de Telecomunicaciones.

Transparencia

Solamente AT&T ha publicado un informe individual de transparencia sobre las solicitudes gubernamentales de datos que el público puede auditar. Aunque elogiamos el informe de transparencia, sólo está disponible en inglés y aún no ofrece suficiente información para determinar el volumen, origen, motivos y alcance de las solicitudes, ni el número o la identidad de las autoridades que hacen las solicitudes. Por otra parte, el Instituto Federal de Telecomunicaciones informó que AT&T, AXTEL, Megacable, Telcel y Movistar cumplieron con su obligación de entregar un informe semestral sobre el número de solicitudes de geolocalización y registro de datos en tiempo real que reciben. 

Compromiso con los derechos humanos

Existe evidencia que AT&T apeló contra las solicitudes ilegales o abusivas de acceso a los datos de los usuarios. Igualmente, AT&T, Movistar, y America Movil’s (Telcel y Telmex) han reconocido públicamente sus responsabilidades comerciales con respecto a los derechos humanos, incluido el derecho a la privacidad. R3D encontró que las empresas que no se involucraron en la defensa legislativa o defender el derecho a la privacidad contra otras entidades reguladoras en 2016. AT & T y Movistar, sin embargo, están involucrados en un sistema que ayuda a cumplir sus responsabilidades de derechos humanos: El diálogo de la Industria de Telecomunicaciones.

Derecho a acceder a sus propios datos

El personal de R3D presentó solicitudes a AT&T, Movistar y Telcel para obtener acceso a sus propios metadatos personales recopilados por estas empresas. Sin embargo, ninguna de las compañías aceptó entregar la información. R3D presentó posteriormente una solicitud de protección de datos al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos de Carácter Personal (INAI), quien determinó que en todos los casos los metadatos recogidos por los proveedores de servicios de telecomunicaciones son datos personales, Movistar y Telcel deben entregar los datos a los usuarios que lo soliciten. Esta categoría se limitaba únicamente a las empresas de telecomunicaciones móviles. Dado que AT&T, Movistar, y Telcel no permitieron acceder a los datos de comunicaciones almacenadas a sus usuarios recibieron una calificación negativa.

Related Issues