La Fundación Karismala principal organización de derechos digitales de Colombia, acaba de lanzar su cuarto informe anual ¿Dónde Estan Mis Datos? en colaboración con EFF. Los resultados son aún más alentadores que los de 2017,con una mejora significativa en lo que respecta a la transparencia: cinco empresas publicaron informes de transparencia y cuatro explicaron públicamente sus procedimientos en relación con las solicitudes de bloqueo de los gobiernos. Todas las empresas del informe muestran progresos a partir de 2017, aunque aún queda trabajo por hacer.

Basado en los informes Who Has Your Back? de la estadounidense EFF, el proyecto ¿Dónde Están Mis Datos? es uno de los varios proyectos de los países iberoamericanos que evalúan los compromisos públicos de los ISPs con la privacidad de sus usuarios frente a las solicitudes gubernamentales de datos de los usuarios.

El informe (disponible en español), califica a siete empresas que, totalizadas, representan más del 90% del mercado de proveedores de servicios de Internet móvil y fijo en Colombia, es decir, una cantidad de proveedores de servicios de Internet que, en conjunto, concentran la información privada de casi todas las personas que acceden a Internet en Colombia.

Cada ISP fue evaluado en las siguientes cuatro categorías:

Compromisos políticos:

  • ¿Tiene el ISP normas internas de igualdad de género y políticas de accesibilidad para los usuarios con discapacidades?
  • ¿El ISP publica un informe de transparencia (o su equivalente) para Colombia al menos una vez al año?

Politicas de privacidad:

    • ¿El ISP ha adoptado políticas de protección de datos y  estas son fácilmente accesibles?

    • ¿El ISP revela, públicamente, la obligación legal de conservar los datos de los usuarios, el fundamento jurídico con  el que debe cumplir con las solicitudes de datos y los procedimientos usados para entregar dichos datos?

    • ¿El ISP se compromete a notificar a sus usuarios sobre las solicitudes de datos?

Libertad de Expresión:

  • ¿El ISP hace públicos los procedimientos a los que se adhiere cuando los gobiernos solicitan bloquear o terminar el servicio de Internet?

  • El ISP proporciona directrices públicas para que los usuarios conozcan sus derechos y deberes?

Seguridad Digital:

  • ¿El ISP revela lo que hace en caso de filtración o violación de la privacidad de sus datos?
  • ¿El ISP usa el protocolo de transmisión segura de datos (HTTPS) en todos los sitios web y, en particular, en aquellos en los que existe un intercambio de información (compras, ventas o consultas)?

A continuación les presentamos el cuadro que clasifica a las siete empresas colombianas de telecomunicaciones:

DEMD Colombia 2018 tabla

Este año, nos ha alegrado ver mejoras en las políticas de transparencia de los ISP. Cinco de cada siete empresas recibieron la máxima puntuación por la publicación de informes exhaustivos de transparencia. En 2017 sólo una empresa, ETB, recibió esta puntuación.

Del mismo modo, nos alegró ver a Claro, Telefónica-Movistar y Tigo-UNE seguir los pasos de ETB en 2017 y explicar públicamente sus procedimientos en torno a las solicitudes de bloqueo del gobierno. En el lado negativo, DirecTV se quedó corto, en comparación con otros ISPs, a la hora de publicar sus prácticas de bloqueo de servicios de Internet. Cuando los usuarios entienden cómo y por qué se lleva a cabo el bloqueo, esto puede ayudarles a identificar posibles fuentes de abuso o mala conducta, y a proteger mejor su libertad de expresión.

Desde el lanzamiento de este proyecto en 2015, las políticas de privacidad de los ISPs se han vuelto más detalladas y accesibles. En la versión 2018 del informe colombiano ¿Dónde Están Mis Datos?, todos los ISPs revisados han publicado políticas claras en sus sitios web que son – además – fáciles de navegar y entender. Sin embargo, a pesar de que los ISP se han vuelto más transparentes en cuanto a sus políticas de retención de datos, todavía hay margen para mejorar. En cuanto a los procedimientos de entrega de datos a las autoridades, sólo ETB y Tigo-UNE obtuvieron la máxima puntuación. ETB publicó sus directrices sobre la aplicación de la ley para la interceptación de comunicaciones, y Tigo-UNE reveló sus procedimientos para conceder acceso a los metadatos de los usuarios.

En cuanto a la categoría de notificación a los usuarios, los proveedores de servicios de Internet fueron sujetos a un estándar más estricto que en años anteriores. El informe de 2018 califica a las empresas por su compromiso público de notificar a los usuarios cada vez que un tercero -incluidas las fuerzas del orden y las autoridades estatales- solicita acceso a los datos. Como resultado, ninguna de las empresas recibe un puntaje tan alto en esta categoría; aunque no está expresamente establecido en la ley colombiana, el aviso al usuario permite que el individuo afectado impugne una solicitud ilegítima de vigilancia del gobierno o que busque otros remedios, y debería ser adoptado como una buena práctica por los ISPs.

En general, todos los ISP que figuran en el informe mejoraron sus resultados en 2018. Los casos de retroceso se debieron, principalmente, a la aplicación de estándares más estrictos en los criterios de evaluación, y no a que la empresa retrocediera de alguna manera. El nuevo informe de Karisma muestra que mantener la presión y un diálogo abierto con las empresas da sus frutos. También muestra que podemos reconocer simultáneamente el progreso, al tiempo que presionamos a los ISP para que proporcionen mejores garantías de privacidad a sus usuarios.