El cuarto informe de Derechos Digitales ¿Quien Defiende Tus Datos? sobre las prácticas de privacidad de datos de los ISP chilenos, que se ha presentado hoy, muestra que las empresas deben seguir mejorando sus compromisos con los derechos de los usuarios si quieren mantener sus posiciones de liderazgo. Aunque Claro (América Móvil) sigue a la cabeza como en el informe de 2019, Movistar (Telefónica) y GTD han avanzado en todas las categorías evaluadas. WOM perdió puntos y terminó empatado con Entel en la segunda posición, mientras que VTR se quedó atrás.

En los últimos cuatro años, ciertas prácticas de transparencia que antes parecían inusuales en América Latina se han vuelto cada vez más comunes. En Chile, incluso se han convertido en una norma. Este año, todas las empresas evaluadas, excepto VTR, recibieron crédito por adoptar tres importantes buenas prácticas aceptadas por la industria: la publicación de directrices de aplicación de la ley, que ayudan a dar una idea del proceso y el estándar que las empresas utilizan para analizar las solicitudes gubernamentales de datos de los usuarios; la divulgación de las prácticas de procesamiento de datos personales en los contratos y políticas; y la publicación de informes de transparencia.

En general, la publicación de informes de transparencia también se ha vuelto más común. Estos son fundamentales para entender la práctica de una empresa en la gestión de los datos de los usuarios y su manejo de las solicitudes de datos del gobierno. VTR es la única empresa que no ha actualizado su informe de transparencia recientemente -desde mayo de 2019-. Después de la última edición, GTD publicó su primer informe de transparencia y las directrices de aplicación de la ley. Del mismo modo, por primera vez Movistar ha publicado directrices específicas para las autoridades que solicitan acceso a los datos de los usuarios en Chile, y recibió el crédito por negar las solicitudes gubernamentales legalmente controvertidas de los datos de los usuarios.

La mayoría de las empresas también tienen políticas que declaran su derecho a notificar al usuario cuando no hay obligación de secreto o su plazo ha expirado. Pero, al igual que en la edición anterior, obtener una estrella completa en esta categoría requiere algo más. Las empresas tienen que establecer claramente un procedimiento de notificación o hacer esfuerzos concretos para ponerlos en marcha. Derechos Digitales también instó a los proveedores a participar en los debates legislativos sobre el proyecto de ley de ciberdelincuencia de Chile, en favor de unas garantías más sólidas para la notificación a los usuarios. Claro ha defendido el derecho de notificación dentro de la reforma de la ley de protección de datos del país y ha planteado su preocupación contra los intentos de aumentar el período de retención de datos para los metadatos de las comunicaciones en el proyecto de ley de ciberdelincuencia.

En respuesta a las preocupaciones sobre el uso de los datos de localización por parte del gobierno en el contexto de la pandemia de COVID, el nuevo informe también arroja luz sobre si los proveedores de servicios de Internet se han comprometido públicamente a no revelar esos datos a menos que sean anónimos y agregados, sin una orden judicial previa. Aunque la pandemia ha cambiado la sociedad en muchos aspectos, no ha reducido la necesidad de privacidad cuando se trata de datos personales sensibles. Las políticas de las empresas también deberían hacer retroceder las solicitudes de datos personales sensibles que pretenden dirigirse a grupos y no a individuos. Además, el estudio pretendía detectar qué proveedores hacían públicos sus acuerdos de intercambio de datos de localización anonimizados y agregados con instituciones privadas y públicas. Movistar es la única empresa que ha hecho públicos estos acuerdos.

En conjunto, las seis empresas investigadas representan el 88,3% de los usuarios de Internet fijo y el 99,2% de las conexiones móviles en Chile.

El informe de este año califica a los proveedores en cinco criterios generales: políticas de protección de datos, directrices de aplicación de la ley, defensa de los usuarios en los tribunales o el Congreso, informes de transparencia y notificación a los usuarios. El informe completo está disponible en español, y aquí destacamos las principales conclusiones.

Principales resultados

Quién Defiende Tus Datos Chile - table

Políticas de protección de datos y derechos ARCO

En comparación con la edición de 2019, Movistar y GTD mejoraron sus notas en las políticas de protección de datos. Las empresas no solo deben publicar esas políticas, sino comprometerse a apoyar los principios de protección de datos centrados en el usuario, inspirados en el proyecto de reforma de la ley de protección de datos, que se está debatiendo en el Congreso chileno. GTD ha superado su mala puntuación de 2019 y ha obtenido una estrella completa en esta categoría este año. Movistar recibió una puntuación parcial por no comprometerse con el conjunto completo de principios. En el lado positivo, el ISP ha ideado una página específica para informar a los usuarios sobre sus derechos ARCO (acceso, rectificación, cancelación y oposición). El informe destaca otras observaciones positivas para WOM, Claro y Entel por proporcionar un punto de contacto específico para que los usuarios exijan estos derechos. WOM ha ido más allá y ha facilitado que los usuarios se den de baja de la base de datos de anuncios dirigidos del proveedor.

Informes de transparencia y directrices de aplicación de la ley

Tanto los informes de transparencia como las directrices de aplicación de la ley se han convertido en una norma de la industria entre los principales ISP de Chile. Todas las empresas destacadas los han publicado, aunque VTR no ha divulgado un informe de transparencia actualizado desde el estudio de 2019. En medio de muchos avances desde la última edición, GTD divulgó su primer informe de transparencia referido a las solicitudes de datos del gobierno durante 2019. La empresa obtuvo una puntuación parcial en esta categoría por no publicar nuevos datos estadísticos sobre las solicitudes de 2020.

En cuanto a las directrices para la aplicación de la ley, no todas las empresas establecen claramente la necesidad de una orden judicial para entregar diferentes tipos de metadatos de comunicación a las autoridades. Claro, Entel y GTD tienen compromisos más explícitos en este sentido. VTR solicita una orden judicial antes de llevar a cabo medidas de interceptación o entregar los registros de llamadas a las autoridades. Sin embargo, el ISP no menciona este requisito para otros metadatos, como las direcciones IP. Las directrices de Movistar son detalladas en cuanto a los tipos de datos de los usuarios que la administración puede solicitar, pero sólo se refiere a la autorización judicial cuando se trata de la interceptación de las comunicaciones.

Por último, las directrices de WOM para 2021 exigen explícitamente una orden judicial antes de entregar datos de tráfico, así como datos de geolocalización. Como señala el informe, a principios de 2020, WOM fue noticia por ser el único proveedor de servicios de Internet que accedió a una solicitud directa y masiva de datos de localización realizada por los fiscales, que la empresa negó. Hemos escrito sobre este caso como un ejemplo de búsquedas inversas preocupantes, dirigidas a todos los usuarios de una zona concreta en lugar de a individuos específicos. Directamente relacionado con esta preocupación, el informe de este año subraya el compromiso de Claro y Entel de cumplir sólo con las solicitudes de datos personales individualizados.

Notificación a los usuarios de las solicitudes de datos

Claro sigue a la cabeza en lo que respecta a la notificación a los usuarios. Más allá de establecer en la política de la empresa que tiene derecho a notificar a los usuarios cuando esto no está prohibido por la ley (como hacen las demás empresas, excepto Movistar), las políticas de Claro también describen el procedimiento de notificación al usuario para las solicitudes de datos en casos judiciales civiles, laborales y de familia. Derechos Digitales señala que el ISP también ha explorado con el Ministerio Público la forma de implementar dicha notificación con respecto a los casos penales, una vez que la obligación de secreto ha expirado. El informe de transparencia de WOM menciona esfuerzos similares, instando a las autoridades a colaborar en el suministro de información a los ISP sobre el estado de las investigaciones y los casos judiciales, para que sean conscientes cuando la obligación de secreto ya no está en vigor. Como dice la empresa:

"El alcanzar progresos en esta materia permitiría que los distintos actores continuemos dando cumplimiento a los deberes legales y al mismo tiempo avanzar en materia de transparencia y velar por los derechos de los usuarios."

Contar con las espaldas de los usuarios ante las solicitudes de datos desproporcionadas y las propuestas legislativas

Las empresas también pueden apoyar a sus usuarios desafiando las solicitudes de datos desproporcionadas o defendiendo la privacidad de los usuarios en el Congreso. WOM y Claro tienen secciones específicas en sus sitios web que enumeran parte de su trabajo en este frente (ver, respectivamente, las pestañas "protocolo de entrega de información a la autoridad" y "relación con la autoridad"). Estos informes incluyen las reuniones de Claro con los senadores chilenos que participan en la comisión que discute el proyecto de ley de ciberdelincuencia. El ISP informa de que ha hecho hincapié en la preocupación por la ampliación del periodo obligatorio de retención de metadatos, además de sugerir que la reforma de la ley de protección de datos del país debería autorizar explícitamente a los operadores de telecomunicaciones a notificar a los usuarios sobre las medidas de vigilancia.

Entel y Movistar han recibido puntuaciones igualmente altas en esta categoría. Entel, en particular, ha mantenido su lucha contra una solicitud desproporcionada del regulador de telecomunicaciones de Chile (Subtel) de datos de los abonados. En 2018, el regulador solicitó información personal correspondiente a la totalidad de la base de clientes de Entel para compartirla con empresas privadas de investigación para realizar encuestas de satisfacción. Otros ISP chilenos recibieron la misma solicitud, pero sólo Entel impugnó los fundamentos legales de la autoridad de la Subtel para tal demanda. El caso, del que se informó por primera vez para esta categoría en la edición pasada, tuvo un nuevo avance a fines de 2019, cuando la Corte Suprema confirmó las sanciones contra Entel por no entregar los datos, pero redujo la multa de la empresa. Las organizaciones de la sociedad civil Derechos Digitales, Fundación Datos Protegidos y Fundación Abriendo Datos publicaron recientemente un comunicado en el que destacan cómo la solicitud de la Subtel entra en conflicto con los principios de protección de datos, en particular la limitación de la finalidad, la proporcionalidad y la seguridad de los datos.

El crédito de Movistar en esta categoría también se relaciona con una solicitud de la Subtel de datos de abonados, esta vez en 2019. El ISP negó la demanda, señalando una tensión legal entre la autoridad de supervisión de la agencia para solicitar los datos personales de los clientes sin el consentimiento del usuario y las salvaguardias de privacidad previstas en la Constitución de Chile y la ley de protección de datos que establece límites a la compartición de datos personales.

***

Desde su primera edición en 2017, los informes de Chile han mostrado un progreso sólido y continuo, fomentando la competencia de los ISP hacia estándares y compromisos más fuertes a favor de la privacidad y la transparencia de los usuarios. El trabajo de Derechos Digitales forma parte de una serie de informes en América Latina y España adaptados del informe Who Has Your Back? de la EFF, que durante casi una década ha evaluado las prácticas de las principales empresas tecnológicas mundiales.