El segundo informe de la Fundación ETICAS ¿Quien Defiende Tus Datos? (¿Quién defiende tus datos?) sobre las prácticas de privacidad de datos en España muestra cómo los principales proveedores de Internet y de aplicaciones móviles de España están avanzando en la clarificación de cómo se están protegiendo los datos personales de los usuarios. Los proveedores están revelando qué información se está recogiendo, cuánto tiempo se mantiene y con quién se comparte. En comparación con el primer informe de Eticas sobre España en 2018, hubo una mejora significativa en el número de empresas que informan a los usuarios sobre el tiempo que almacenan los datos, así como en la notificación a los usuarios sobre los cambios en la política de privacidad.

El informe que evalúa las políticas de 13 empresas españolas de Internet también indica que un puñado de ellas se están tomando en serio sus obligaciones en virtud del nuevo Reglamento General de Protección de Datos (RGPD), la ley de privacidad de datos de la Unión Europea que establece normas estrictas para la protección de la información privada de los clientes y ofrece a los usuarios más información y control sobre sus datos privados. La ley entró en vigor en diciembre de 2018.

Pero las buenas noticias para la mayoría de las compañías se detienen ahí. Todos, excepto los mayores proveedores de Internet en España, están seriamente rezagados en lo que se refiere a la transparencia en torno a las demandas del gobierno para los datos de los usuarios, según el informe de Eticas publicado hoy.

Mientras Orange se compromete a notificar a los usuarios sobre las solicitudes del gobierno y tanto Vodafone como Telefónica establecen claramente la necesidad de una orden judicial antes de entregar las comunicaciones de los usuarios a las autoridades, otras empresas destacadas tienen mucho que mejorar. No están proporcionando información sobre la forma en que tramitan las solicitudes de los usuarios para que las fuerzas del orden les proporcionen datos, ya sea que requieran una autorización judicial antes de dar información personal a la policía o que notifiquen a los usuarios tan pronto como sea legalmente posible que sus datos fueron entregados a las fuerzas del orden. La falta de divulgación de sus prácticas deja abierta la cuestión con respecto a cómo se cubren las espaldas de los usuarios cuando el gobierno quiere datos personales.

El formato del informe de Eticas se basa en el proyecto de la EFF "Who Has Your Back", que fue lanzado hace nueve años para arrojar luz sobre lo bien que las empresas estadounidenses protegen los datos de los usuarios, especialmente cuando el gobierno lo quiere. Desde entonces el proyecto se ha ampliado internacionalmente, y los principales grupos de derechos digitales de Europa y América han evaluado las prácticas de protección de datos de las empresas de Internet para que los usuarios puedan elegir con conocimiento de causa a quién deben confiar sus datos. La Fundación Eticas evaluó por primera vez a los principales proveedores de España en 2018, como parte de una iniciativa de ámbito regional centrada en las políticas y prácticas de privacidad de Internet en Iberoamérica.

En el informe de hoy, Eticas ha evaluado a 13 empresas, entre ellas seis proveedores de telecomunicaciones (Orange, Ono-Vodafone, Telefónica-Movistar, MásMóvil, Euskatel y Somos Conexión), cinco aplicaciones de venta y alquiler de viviendas (Fotocasa, Idealista, Habitaclia, Pisos.com y YaEncontré) y dos aplicaciones de venta de artículos de segunda mano (Vibbo y Wallapop). Las empresas fueron evaluadas en función de un conjunto de criterios que abarcaban las políticas de recopilación de datos, la entrega de datos a los organismos encargados de hacer cumplir la ley, la notificación a los clientes de las solicitudes de datos del gobierno, la publicación de informes de transparencia y la promoción de la privacidad de los usuarios. Se concedieron estrellas a las empresas en función de sus prácticas y su conducta. A la luz de la adopción de la GDPR, el informe de este año evaluó a las empresas en función de varios criterios nuevos, entre ellos, proporcionar información sobre cómo ponerse en contacto con un funcionario de protección de datos de la empresa, utilizar datos privados para automatizar la adopción de decisiones sin intervención humana y elaborar perfiles de usuarios, y prácticas relativas a las transferencias internacionales de datos. La Eticas también examinó si proporcionan directrices, adaptadas a la legislación local, para las fuerzas del orden que buscan datos de los usuarios.

El estudio completo está disponible en español, y esbozamos los principales hallazgos a continuación.

Una visión general de los compromisos y deficiencias de las empresas

Telefónica-Movistar, la mayor compañía de telefonía móvil de España, fue la más valorada, ganando estrellas en 10 de las 13 categorías. Vodafone estuvo en segundo lugar, con nueve estrellas. Hubo una gran mejora en general en las empresas que proporcionan información sobre el tiempo que mantienen los datos de los usuarios - las 13 empresas informaron de ello este año, en comparación con sólo tres empresas que obtuvieron un crédito parcial en 2018. La implementación de la GDPR ha tenido un efecto positivo en las políticas de privacidad sólo en algunas empresas, según muestra el informe. Mientras que la mayoría de las empresas están proporcionando información de contacto para los funcionarios de protección de datos, sólo cuatro - Movistar, Fotocasa, Habitaclia, y Vibbo -proveen información sobre sus prácticas para el uso de datos basados en la toma de decisiones no humanas y la elaboración de perfiles, y seis- Vodafone, MásMóvil, Pisos.com, Idealista, Yaencontré, y Wallapop-proveen información sólo sobre la elaboración de perfiles.

Sólo Telefónica-Movistar y Vodafone informan a los usuarios sobre sus políticas de entrega de datos personales a los organismos de aplicación de la ley. Telefónica-Movistar es vaga en su política de protección de datos, sólo declara que entregará los datos de los usuarios a la policía de acuerdo con la ley. Sin embargo, el informe de transparencia de la empresa muestra que permite a la policía interceptar las comunicaciones sólo con una orden judicial o en situaciones de emergencia. En cuanto a los metadatos, la información proporcionada es genérica: sólo menciona el marco jurídico y las autoridades habilitadas para solicitarlos (jueces, fiscales y la policía).

La política de privacidad de Vodafone dice que los datos se entregarán "de acuerdo con la ley y de acuerdo con una evaluación exhaustiva de todos los requisitos legales". Si bien su política de protección de datos no proporciona información de manera clara, hay un informe sobre el marco jurídico aplicable que describe tanto el marco como la manera en que la empresa lo interpreta, y afirma que se necesita una orden judicial para proporcionar el contenido y los metadatos a las fuerzas del orden.

Orange España es la única empresa que dice que se compromete a informar a los usuarios cuando sus datos sean entregados a las fuerzas de seguridad, a menos que exista una prohibición legal en contra. Debido a que la compañía no dejó claro que lo hará tan pronto como no haya una barrera legal, recibió un crédito parcial. Euskatel y Somos Conexión, ISPs más pequeños, se han destacado en la promoción de la privacidad de los usuarios a través de campañas o defendiendo a los usuarios en los tribunales. En este último caso, Euskatel ha impugnado una orden judicial que exige a la empresa revelar las direcciones IP en una demanda comercial.Trasentregarlas finalmente una vez que la sentencia fue confirmada por un tribunal superior, Euskatel presentó una denuncia ante la autoridad española de protección de datos por la posible violación de las garantías de limitación de la finalidad teniendo en cuenta la forma en que el reclamante utilizó los datos.

El informe muestra que, en general, las cinco aplicaciones para el hogar (Fotocasa, Idealista, Habitaclia, Pisos.com, y YaEncontré) y dos aplicaciones de venta de artículos de segunda mano (Vibbo y Wallapop) tienen que aumentar considerablemente su juego de información sobre la privacidad. No recibieron ninguna estrella en nueve de las 13 categorías evaluadas. Esto debería dar a los usuarios una pausa y, a su vez, motivar a estas empresas a aumentar la transparencia sobre sus prácticas de privacidad de datos para que la próxima vez que se les pregunte si protegen los datos personales de los clientes, tengan más que mostrar.

A través de los informes ¿Quien Defiende Tus Datos?, las organizaciones locales en colaboración con la EFF han venido comparando los compromisos de las empresas con la transparencia y la privacidad de los usuarios en diferentes países de América Latina y España. A principios de este año, Fundación Karisma en Colombia, ADC en Argentina, y TEDIC en Paraguay publicaron nuevos informes. Las nuevas ediciones en Panamá, Perú, y Brasil también están en camino para descubrir qué compañías están al lado de sus usuarios y cuáles no lo están.