Skip to main content

¿Quién defiende tus datos? El informe muestra un progreso de los ISP peruanos en cuanto a la privacidad de los usuarios, pero aún hay que mejorar.

DEEPLINKS BLOG
March 21, 2019

¿Quién defiende tus datos? El informe muestra un progreso de los ISP peruanos en cuanto a la privacidad de los usuarios, pero aún hay que mejorar.

QDTD banner 2019

Hiperderecho, la organización líder de derechos digitales en Perú, en colaboración con la Electronic Frontier Foundation, lanzó hoy su segundo ¿Quien Defiende Tus Datos? (Who Defends Your Data?), una evaluación de las prácticas de privacidad de los Proveedores de Servicios de Internet (ISPs) que millones de peruanos utilizan cada día. Los resultados de este año resultan más alentadores que los del informe de 2015, ya que Movistar (la marca con la que opera Telefónica de España en Perú) ha mejorado significativamente su política de privacidad, las respuestas a las órdenes judiciales y su compromiso con la privacidad. Cinco de los seis proveedores de servicios de Internet publican ahora políticas específicas y detalladas sobre la forma en que recopilan y procesan los datos personales. Sin embargo, el informe también reveló que hay mucho espacio para mejorar, especialmente en lo que se refiere a la notificación a los usuarios y al compromiso público de los ISP peruanos con la privacidad.

El acceso a Internet ha crecido significativamente en Perú en los últimos años, particularmente a través de redes móviles. Movistar y Claro (América Móvil) son los principales actores, representando el 70% del mercado de Internet. Para las conexiones de telefonía fija, estos dos ISPs llegan a más del 90% de los usuarios en Perú; y solamente Movistar tiene el 74,4% de ellos. El informe también evaluó a otros cuatro operadores de telecomunicaciones: Bitel, Entel, Olo e Inkacel.

Cada día, estos usuarios proporcionan a estas empresas información específica sobre sus movimientos, rutinas y relaciones, un tesoro de datos para las autoridades gubernamentales, que pueden utilizar medidas innecesarias y desproporcionadas para acceder a ellos. Esta amenaza constante de las autoridades del Estado exige la concienciación y la supervisión del público.

Es por eso que este nuevo informe de Perú tiene como objetivo presionar a las empresas para que contrarresten las medidas de vigilancia que se llevan a cabo sin las debidas salvaguardas, y para que sean transparentes en cuanto a sus políticas y prácticas.

El informe de este año, disponible en español, evaluó a cada ISP en cinco categorías:

Política de privacidad:

Para ganar una estrella en esta categoría, una empresa debe haber publicado una política de privacidad que sea fácil de entender. Debe informar al lector sobre qué datos se recogen de ellos, cuánto tiempo se almacenan y para qué fines. El cumplimiento parcial obtuvo una estrella parcialmente llena.

Orden Judicial:

Las compañías ganaron una estrella en esta categoría si requieren que el gobierno obtenga una orden de un juez antes de entregar los datos de los usuarios (ya sea contenido o metadatos). El cumplimiento de este requisito para el contenido de las comunicaciones, pero no para los metadatos, le valió a una empresa una media estrella.

Notificación al usuario:

Para ganar una estrella en esta categoría, las compañías deben prometer informar a sus clientes de una solicitud del gobierno lo antes posible dentro de lo permitido por la ley.

Transparencia:

En esta categoría se buscaron empresas que publicaran informes de transparencia sobre las solicitudes gubernamentales de datos de los usuarios. Para obtener una estrella completa, el informe debe proporcionar datos útiles sobre cuántas solicitudes se han recibido y cumplido, e incluir detalles sobre el tipo de solicitudes, las agencias gubernamentales que hicieron las solicitudes, las razones proporcionadas por la autoridad, y describir las pautas y procedimientos que la compañía adopta cuando una autoridad solicita los datos. Exigimos altos estándares, pero el cumplimiento parcial hizo que las empresas se convirtieran en parte de una estrella.

Compromiso con la privacidad:

Esta estrella reconoce a las empresas que han cuestionado el acceso inexacto o desproporcionado a las solicitudes de datos. También recompensa a las empresas que han adoptado públicamente una posición a favor de la privacidad de sus usuarios ante el Congreso y otros organismos reguladores. El cumplimiento parcial se recompensa con una media estrella.

En el siguiente cuadro se clasifican las seis empresas peruanas de telecomunicaciones:

Este último informe otorga más estrellas que la primera edición, publicada en 2015. En la actualidad, cinco de los seis ISP han publicado sus políticas con información específica sobre la recogida y el tratamiento de datos personales. Sin embargo, Claro y Entel proporcionan esta información utilizando un lenguaje altamente técnico, lo que redujo su puntuación. Para obtener una estrella completa, la información proporcionada debe ser fácilmente comprensible, de lo contrario es sólo una medida formal, con poco o ningún efecto en el empoderamiento de los usuarios para luchar por sus derechos. Aún así, todas las empresas detallan cuánto tiempo y para qué fines se almacenan los datos de los usuarios. Incluso Olo, que no publica una política de privacidad, agregó esta información a su acuerdo regular de prestación de servicios.

También vimos avances en el compromiso de las empresas de exigir una orden judicial antes de entregar los datos a las autoridades gubernamentales. Bitel y Claro obtuvieron media estrella por exigir explícitamente una orden judicial cuando la solicitud se refería al contenido de las comunicaciones. Movistar recibió una estrella completa por adherirse a este compromiso de contenidos y metadatos de los usuarios. En 2015, sólo Movistar recibió algún crédito en esta categoría, con media estrella.

Movistar también destaca en la categoría de transparencia. El informe anual de transparencia de la compañía describe cuántas solicitudes han recibido y cumplido, qué tipo de solicitudes recibieron, así como las pautas y procedimientos que sigue la compañía cuando una autoridad solicita datos. Ser transparente sobre las directrices de aplicación de la ley que siguen las empresas es crucial para arrojar luz sobre la forma en que las empresas tratan internamente las solicitudes de datos de los gobiernos. Esta información permite a los usuarios comprender cómo interpretan y aplican los requisitos legales y si sus procedimientos siguen las salvaguardias nacionales e internacionales. Aunque Bitel y Claro publican las instancias en las que entregan los datos de los usuarios a las autoridades gubernamentales, no profundizaron tanto en los detalles como Movistar.

Todavía queda mucho trabajo por hacer. Ninguna empresa se ha ganado una estrella por su compromiso público de defender la privacidad de sus usuarios, ni en los tribunales ni en los órganos legislativos y reguladores. Del mismo modo, ninguna de las seis empresas se compromete a notificar a sus clientes una solicitud gubernamental lo antes posible permitida por la ley.

El nuevo Código Procesal Penal peruano establece que una vez ejecutada una medida judicial y realizadas las investigaciones inmediatas, el usuario afectado debe ser informado de ello siempre que el objeto de investigación permita la notificación, y siempre que no ponga en peligro la vida o la seguridad física de terceros. A su vez, el controvertido Decreto Legislativo 1182, que regula el acceso directo de las autoridades policiales a los datos de localización, no establece ninguna restricción para la notificación.

Hiperderecho subrayó en el informe: "Incluso si la obligación legal es responsabilidad de la autoridad judicial, hay mucho más que las empresas podrían hacer en este contexto. Pueden llevar un registro de las intervenciones realizadas, promover la notificación a los usuarios tras la expiración de la medida o realizar notificaciones simultáneas con las autoridades (...) de manera que los usuarios puedan hacer valer su derecho a recurrir a los tribunales para solicitar la revisión de la medida o para impugnar las decisiones adoptadas". Estas medidas proactivas son particularmente importantes porque la ley sólo concede a los usuarios tres días hábiles para impugnar estas medidas.

El informe de Hiperderecho muestra que las empresas de telecomunicaciones están avanzando en el cumplimiento de la ley, pero no lo están haciendo tan bien como podrían. Sin embargo, los informes ¿Quién Defiende Tus Datos?, al igual que el proyecto Who Has Your Back? de la EFF, no sólo tratan sobre el cumplimiento de las normas legales establecidas. Su objetivo es empujar a las empresas a ir más allá de los requisitos de la ley. Las empresas peruanas deben hacer más, y nos mantendremos vigilantes para asegurarnos de que eso ocurra.

El informe forma parte de una serie de reportajes sobre América Latina y España adaptados de los informes Who Has Your Back? de la EFF. El año pasado, la Fundación ETICAS de España, la ADC de Argentina, Derechos Digitales de Chile, el Internet Lab de Brasil y la Fundación Karisma de Colombia publicaron sus propios informes.

Back to top

JavaScript license information