Siguiendo con la verificación de los compromisos de los proveedores de servicios de Internet con sus usuarios, la organización líder en derechos digitales de Paraguay, TEDIC, lanza hoy su segunda edición de ¿Quién Defiende Tus Datos? (¿Quién defiende tus datos?), un informe en colaboración con la EFF. Las prácticas transparentes y los compromisos firmes de privacidad son particularmente cruciales en este momento. En tiempos de crisis y emergencia, las empresas deben, más que nunca, demostrar que los usuarios pueden confiarles información sensible sobre sus hábitos y comunicaciones. Si bien los proveedores de servicios de Internet paraguayos han avanzado en sus políticas de privacidad y participan en foros alineados con la promoción de los derechos humanos, todavía les queda un largo camino por recorrer para dar a los usuarios lo necesario para construir plenamente esta confianza.

Los proveedores de servicios de Internet del Paraguay deberían hacer mayores esfuerzos por ser transparentes en cuanto a sus prácticas y procedimientos, así como por tener compromisos públicos más firmes con sus usuarios, por ejemplo, tomando medidas para notificar a los usuarios sobre las solicitudes de datos del gobierno.

En general, Tigo sigue siendo la empresa mejor clasificada en el informe, seguida de Claro y Personal. Copaco y Vox recibieron las peores calificaciones. La segunda edición trae dos nuevas categorías: evaluar si las compañías tienen pautas disponibles públicamente para las solicitudes de aplicación de la ley, y si sus políticas de privacidad y términos de servicio se proporcionan siguiendo los estándares adecuados de accesibilidad a la web. El informe de este año se centra en las empresas de telecomunicaciones con más de quince mil usuarios de Internet en todo el país, que en conjunto representan toda la base de clientes de banda ancha móvil (excepto Copaco, que sólo proporciona servicios fijos).

El estudio completo está disponible en español, y esbozamos los principales hallazgos a continuación.

Principales hallazgos

Cada proveedor de servicios de Internet se evaluó en las siete categorías siguientes: políticas de privacidad, orden judicial, notificación al usuario, políticas de promoción de compromisos políticos, transparencia, directrices de aplicación de la ley y normas de accesibilidad.

En cuanto a las políticas de privacidad, en esta edición se examinaron los documentos de las empresas a disposición del público y se comprobó si ofrecían información clara y de fácil acceso sobre la recopilación, el procesamiento y el intercambio de datos personales con terceros, así como sobre el tiempo de retención y las prácticas de seguridad. Si bien ninguna empresa obtuvo una puntuación en el informe anterior, más de la mitad de ellas mostraron mejoras en la edición de este año. Tigo se destaca con una estrella completa, seguida de cerca por las políticas de privacidad de Claro. Claro no obtuvo la estrella completa, ya que no proporcionó suficiente información sobre cómo se recogen y almacenan los datos personales. Personal también recibió una puntuación parcial por publicar políticas que detallan adecuadamente cómo se comparten los datos de los usuarios con terceros.

Cuando se trata de exigir una orden judicial antes de entregar el contenido de las comunicaciones de los usuarios a las autoridades encargadas de hacer cumplir la ley, Tigo es el único proveedor de servicios de Internet que se compromete clara y públicamente a hacerlo. Claro declaró que la empresa cumple con la legislación aplicable, los procedimientos judiciales y las solicitudes del gobierno. El informe de TEDIC destaca que, en respuesta al equipo de investigación, Claro y otras empresas afirmaron que sí solicitan autorización judicial para entregar el contenido de las comunicaciones. Sin embargo, estas afirmaciones aún no se reflejan en las políticas públicas y verificables de estas empresas.

En cuanto al acceso del gobierno a los datos de tráfico, un fallo de la Corte Suprema en 2010 autorizó a los fiscales a solicitar esos datos directamente, pese a la afirmación de la ley de telecomunicaciones del país de que la salvaguardia constitucional de la inviolabilidad de las comunicaciones se refiere no sólo al contenido propiamente dicho, sino también a lo que indica la existencia de una comunicación, que abarcaría los datos de tráfico. El fallo de 2010 se ha aplicado al contexto en línea, contraviniendo también la jurisprudencia de la Corte Interamericana de Derechos Humanos que reconoce que los metadatos de las comunicaciones deben recibir el mismo nivel de protección que se otorga al contenido. El informe de TEDIC recomienda que las empresas se comprometan públicamente a solicitar autorización judicial cuando entreguen los metadatos a las autoridades. Aclarar esta discrepancia a favor de la privacidad de los usuarios sigue siendo un reto y las empresas deberían desempeñar un papel más importante a la hora de asumirla y luchar por sus usuarios en los tribunales o en el Congreso.

Tigo es el único ISP que recibe estrellas parciales en las categorías de transparencia y directrices de aplicación de la ley para los documentos publicados por su empresa matriz Millicom. En cuanto al informe de transparencia, Millicom se queda corto en cuanto a proporcionar información detallada para Paraguay. El informe agrega datos por región, revelando cifras estadísticas de interceptación y metadatos que fusionan las solicitudes recibidas en Paraguay, Colombia y Bolivia. Los informes de transparencia son instrumentos valiosos para comprender la frecuencia con que los gobiernos solicitan datos y la forma en que las empresas responden a ellos, pero no es así si no se divulgan las cifras correspondientes a cada país.

Sin embargo, Millicom sí aporta una visión relevante al afirmar que las autoridades paraguayas ordenan el acceso directo a su red móvil, aunque no especifica el fundamento jurídico que obliga a las empresas a hacerlo.

En cuanto a las directrices de aplicación de la ley, Millicom publica los pasos clave globales que sus subsidiarias deben seguir para cumplir con las solicitudes del gobierno, pero el ISP no pone a disposición del público sus procedimientos detallados a nivel global y local.

Lograr que las empresas se comprometan a notificar a los usuarios sobre las solicitudes de datos del gobierno sigue siendo un duro desafío. Al igual que en la última edición del informe, ninguna empresa recibió crédito en esta categoría. Si bien las normas internacionales de derechos humanos refuerzan lo crucial que es la notificación a los usuarios para garantizar el debido proceso y recursos efectivos, los proveedores de servicios de Internet suelen ser reacios a tomar medidas para establecer un procedimiento de notificación adecuado.

Tres de cada cinco empresas (Claro, Tigo y Personal) obtuvieron un puntaje en la categoría de accesibilidad web, aunque todavía hay espacio para mejorar.

El trabajo de TEDIC es parte de una iniciativa más amplia en toda América Latina y España que comenzó en 2015 y que está inspirada en el proyecto de la EFF Who Has Your Back? . A principios de este año, tanto la Fundación Karisma en Colombia como la ADC en Argentina publicaron nuevos informes. La segunda edición de la Fundación Eticas en España viene a continuación, con nuevas entregas en Panamá, Perú y Brasil ya en preparación.