Los mayores proveedores de conexión de Brasil siguen avanzando hacia una mejor protección de los datos de los clientes y una mayor transparencia sobre sus prácticas de privacidad, según el informe 2021 de InternetLab "¿Quem Defende Seus Dados? " ("¿Quién defiende sus datos?”). El informe, que se publica hoy, es la sexta evaluación anual de la adhesión de los proveedores brasileños a los criterios de mejores prácticas que analizan si están haciendo todo lo posible, de acuerdo con la ley, para proteger a los usuarios cuando las fuerzas del orden solicitan su información personal, defender los derechos de privacidad en los tribunales y en sus posiciones de política pública, y divulgar públicamente información sobre la recopilación de datos de los usuarios, las solicitudes gubernamentales de datos de los usuarios, etc.

InternetLab ha evaluado en esta edición a seis proveedores, todos ellos con al menos el 1% del mercado de la telefonía en Brasil, y ha analizado tanto los servicios de banda ancha como los móviles. Se evaluó por primera vez a Brisanet, uno de los principales proveedores independientes, y se descartó a Sky, así como a Nextel, que se incorporó a Claro tras ser adquirida por América Móvil, la empresa matriz de Claro.

El proveedor de telecomunicaciones TIM, propiedad de Telecom Italia SpA, ha recibido la mayor puntuación este año, al igual que el año pasado. Sus servicios de banda ancha y telefonía móvil recibieron la mayor puntuación por cumplir las normas en cuatro de las seis categorías y el 75% en una quinta categoría. Claro Móvil y NET, ambas parte de América Móvil, quedaron en un cercano segundo lugar, con estrellas completas en cuatro categorías y un cuarto de estrella en una quinta, mientras que Vivo logró estrellas completas en tres categorías, tres cuartos de estrella en una cuarta y media estrella en una quinta. Algar mejoró ligeramente sus resultados del año pasado, con una estrella completa, una estrella ¾ y una media estrella, mientras que Brisanet Móvil y Brisanet Banda Ancha quedaron en último lugar, obteniendo media estrella en una sola categoría.

Como destacó Bárbara Simão, responsable de investigación de InternetLab, el informe muestra que los proveedores de servicios de Internet (PSI) están mejorando la divulgación de información relevante sobre cómo manejan los datos de los usuarios. "Algunas empresas, como TIM, Vivo y Algar, empezaron a publicar protocolos específicos con normas para la entrega de datos a las autoridades públicas", dijo Simão. Sin embargo, todavía hay mucho margen para que los proveedores refuercen las mejores prácticas de protección de la privacidad. Una cuestión clave es la respuesta pública de las empresas sobre las violaciones de seguridad. Según Simão, "el año pasado se denunciaron algunas violaciones de datos importantes relacionadas con los proveedores de servicios de Internet, y las empresas implicadas no respondieron adecuadamente.

Todas las empresas, excepto dos, obtuvieron las mejores puntuaciones por proporcionar información clara y completa sobre las políticas de privacidad, incluyendo qué datos recogen y por qué, durante cuánto tiempo los almacenan y quién tiene acceso a ellos. Las mejoras en esta categoría se atribuyen en parte a la nueva ley brasileña, la normativa inspirada en la Ley General de Protección de Datos (GDPR) de la UE que entró en vigor el año pasado. Oi y Vivo, que recibieron ¾ estrellas el año pasado, mejoraron su puntuación, mientras que Algar pasó de obtener una estrella completa el año pasado a ¾ estrellas este año. Brisanet Móvil y Brisanet Banda Ancha obtuvieron media estrella, la única categoría en la que la empresa obtuvo una puntuación.

Todas las empresas, salvo unas pocas, obtuvieron buenos resultados al adoptar una postura pública de apoyo a la privacidad y al defender la privacidad de los usuarios en los tribunales. El año pasado, InternetLab evaluó las actividades de las empresas en defensa de la privacidad frente a la presión gubernamental sin precedentes para acceder a los datos de telecomunicaciones durante la pandemia de COVID-19. Este año, la organización revisó este parámetro y se fijó en si las empresas adoptaban una postura pública, en consultas y debates o en los medios de comunicación, a favor de las prácticas que promueven la seguridad de los datos de sus usuarios y proporcionan información concreta sobre las estrategias para mitigar los riesgos y prevenir las violaciones de la seguridad.

El parámetro revisado refleja la preocupación por las brechas de seguridad y de datos que involucran a TIM, Claro y otros proveedores líderes ocurridos en 2020 y 2021, en los que se expusieron más de 100 millones de números de teléfonos celulares e información personal. Las investigaciones sobre los incidentes fueron abiertas por la Secretaría Nacional del Consumidor (Senacon) y por Procon-SP. Las empresas implicadas sólo ofrecieron explicaciones genéricas y poca información sobre las medidas de seguridad para evitar futuros robos. Los organismos reguladores, en respuesta, pusieron en marcha iniciativas destinadas a combatir las amenazas de ciberseguridad, como la creación del Reglamento de Ciberseguridad Aplicada al Sector de las Telecomunicaciones por parte de Anatel (el regulador de las telecomunicaciones de Brasil) y la nota técnica publicada por la Autoridad Nacional de Protección de Datos (ANPD), con directrices para los proveedores en caso de violación de la seguridad. Así, el informe de este año evaluó el compromiso de las empresas con la seguridad de los datos personales de sus usuarios y el apoyo público a estas iniciativas.

Desgraciadamente, las empresas siguen estando muy lejos de las mejores prácticas para informar a los usuarios sobre las solicitudes de sus datos. Este año, al igual que en 2020, ni una sola empresa recibió una estrella en esta categoría. Ninguna ley brasileña obliga a las empresas a notificar los objetivos de la vigilancia, pero no están impedidas de notificar a los usuarios cuando el secreto no es requerido legal o judicialmente. Las empresas también están rezagadas en cuanto a sus informes de transparencia y evaluaciones de impacto de la protección de datos. TIM, NET y Claro recibieron estrellas parciales en esta categoría, mientras que el resto no recibió ninguna estrella.

Principales resultados

En general, el informe de este año evalúa a los proveedores en seis criterios: políticas de protección de datos, directrices de aplicación de la ley, defensa de los usuarios en el poder judicial, defensa de la privacidad en los debates políticos o en los medios de comunicación, informes de transparencia y evaluación del impacto de la protección de datos, y notificación a los usuarios. El informe completo está disponible en portugués. Estos son los principales resultados:

Brasil QDSD 2021 table

Resultados de la categoría 1: Políticas de protección de datos

Aunque la mayoría de los proveedores informan ahora a los usuarios sobre los datos que recopilan sobre ellos, cuánto tiempo se conserva la información y con quién la comparten, algunos no son totalmente transparentes a la hora de responder a las solicitudes de información de los usuarios sobre sus propios datos personales. Los investigadores de InternetLab pusieron a prueba las prácticas de las empresas solicitando sus datos personales. Oi, TIM, Vivo y Brisanet respondieron, pero sólo revelaron la información de los abonados, a pesar de que la Ley de Protección de Datos brasileña garantiza el derecho de los usuarios a acceder a todos los datos personales que las empresas recogen sobre ellos.

TIM, este año y el anterior, tomó medidas adicionales para certificar la identidad del solicitante antes de revelar los datos, una buena práctica que merece ser destacada. Algar había hecho lo mismo en 2020, pero este año ni siquiera respondió a las solicitudes de acceso a los datos.

InternetLab ha añadido una nueva norma que las empresas deben cumplir para obtener pleno crédito en esta categoría: proporcionar información sobre las circunstancias en las que transferirán los datos personales de los usuarios a otros países. Las fuerzas de seguridad de todo el mundo buscan cada vez más datos a través de las fronteras en las investigaciones criminales, por lo que es importante que las empresas proporcionen información clara y detallada sobre cómo maneja las solicitudes de datos de los usuarios por parte de la policía extranjera.

El informe muestra que, a excepción de TIM y Algar, las empresas no son del todo transparentes, ya que no facilitan información específica sobre dónde se almacenan los datos o qué pasos hay que dar para transferirlos a otros países.

Por ejemplo, la política de privacidad de Claro dice que la empresa contrata servicios de almacenamiento en la nube, que "pueden tener lugar fuera del territorio nacional". Sin embargo, no hay más detalles sobre qué entidades internacionales reciben esos datos. La política de Oi tiene un lenguaje genérico que dice que puede transferir los datos personales de los usuarios al extranjero para el almacenamiento en la nube o, si es necesario, para prestar un servicio. La política de Vivo tiene información limitada, diciendo que "como parte del Grupo Telefónica, (puede), en determinadas circunstancias y cuando sea necesario, compartir datos personales con otras empresas del Grupo. Además, sus datos pueden ser compartidos con socios y proveedores con sede en otros países, siempre en cumplimiento de la legislación aplicable y de acuerdo con las cláusulas contractuales."

TIM recibió la puntuación completa por los criterios, al revelar que los principales servidores de terceros que almacenan datos personales bajo el control de TIM están en Brasil, el EEE (Espacio Económico Europeo) y California (Estados Unidos). Algar también recibió una puntuación completa por explicar los criterios legales aplicados a las transferencias internacionales de datos. Las políticas de Brisanet no cumplen las directrices de InternetLab.

Resultados de la categoría 2: Directrices para la aplicación de la ley

Para obtener estrellas en esta categoría, las empresas deben tener una orientación clara para las fuerzas del orden sobre el acceso a los datos de los usuarios y seguir las interpretaciones más protectoras de la privacidad de la ley cuando los datos personales son solicitados por los agentes del orden.

Claro/NET, TIM y Vivo recibieron estrellas completas después de haber recibido sólo estrellas parciales el año pasado. Vivo y TIM recibieron por primera vez el crédito por publicar un documento específico sobre cómo responden a las solicitudes de datos del gobierno. Aunque ambos documentos podrían proporcionar más información sobre los procedimientos adoptados y desglosar los detalles por diferentes tipos de datos de comunicaciones, sin duda representan un buen comienzo.

Claro es más transparente que el año pasado, ya que informa a los usuarios de que divulga los datos de los abonados a las autoridades, a las que identifica, así como de qué delitos justifican la divulgación de los datos de los abonados sin una orden judicial. También informa sobre las circunstancias en las que proporciona datos de geolocalización y promete facilitar a las autoridades los registros de conexión sólo por orden judicial. Sin embargo, no publica un documento específico con información sobre los procedimientos y normas que se siguen para entregar los datos de los usuarios a las autoridades, otro criterio de la categoría 2.

Algar ha experimentado la mejora más espectacular en esta categoría. La empresa pasó de no recibir ninguna estrella el año pasado a recibir una estrella completa este año. Las primeras directrices de aplicación de la ley publicadas por Algar son las únicas que proporcionan información más detallada desglosada por el tipo de datos solicitados, afirmando claramente los detalles y compromisos que el informe de InternetLab pretende obtener en la categoría 2.

Resultados de la categoría 3: Defensa de los usuarios en los tribunales

Para ganar estrellas en esta categoría, las empresas deben desafiar la legislación abusiva de la privacidad y las solicitudes administrativas o judiciales abusivas de datos de los usuarios.

Claro, NET y TIM obtuvieron estrellas completas por cumplir ambos parámetros, después de haber recibido medias estrellas el año pasado. Oi recibió una estrella completa este año y el anterior. Algar y Brisanet no recibieron ninguna puntuación en esta categoría.

Claro, Oi, TIM y Vivo presentaron una demanda para impugnar una ley estatal que obliga a las empresas a identificar el número de la persona que llama en cada llamada telefónica (evitando los números bloqueados, por ejemplo). Vivo, junto con otras empresas de telecomunicaciones, impugnó las modificaciones del Reglamento General sobre los Derechos de los Consumidores de Servicios de Telecomunicaciones que obligarían a las empresas a facilitar, a cualquier receptor de llamadas telefónicas, los datos personales de la persona que realizó la llamada.

Mientras tanto, Oi ha impugnado una orden judicial por la que se autoriza a la policía a solicitar contraseñas que den acceso a todos los datos almacenados relacionados con la telefonía durante 6 meses, incluida la información de los abonados, los registros de llamadas y SMS y los datos de localización. La empresa impugnó el carácter general de la orden y pidió a la policía que especificara a qué usuarios y dispositivos se dirigía. También ha solicitado información sobre la investigación penal con la que estaba relacionada la orden.

Claro denegó una solicitud para entregar los datos de los abonados directamente a la Oficina del Contralor General (Controladoria Geral da União), sin autorización judicial previa, afirmando que hacerlo sería una violación de las garantías constitucionales y legales. Vivo también ha denegado las solicitudes de la policía y la fiscalía para obtener los registros de llamadas y los datos de localización de los usuarios sin órdenes judiciales previas.

Resultados de la categoría 4: Posición pública a favor de la privacidad

Claro, NET y TIM recibieron estrellas completas por adoptar una postura pública de apoyo a la privacidad, mientras que Oi, Vivo y Algar recibieron 1/2 estrellas. Destaca un nuevo documento de "Política de Seguridad de la Información y Ciberseguridad" que, entre otras cosas, proporciona un canal de comunicación específico para los casos de seguridad. El informe de InternetLab felicita a la empresa por poner a disposición un documento específico que proporciona información detallada sobre las prácticas de seguridad y los medios para ejercer los derechos.

Pero las noticias no fueron todas buenas. Aunque Claro, Oi y TIM recibieron estrellas por sus declaraciones públicas en relación con la seguridad y la mitigación de los riesgos cibernéticos, InternetLab señala que todos ellos no dieron respuestas sólidas a las acusaciones de violaciones de datos (Claro en 2020, y Oi y TIM en 2021).

Los ISP sólo dieron "respuestas genéricas", informa InternetLab. "No se dieron explicaciones sólidas sobre el caso, ni se defendieron concretamente normas o técnicas que pudieran abordar las acusaciones [de violación de datos]", dijo la organización. Vivo también se enfrentó a acusaciones de violación de datos en 2020, recibiendo una notificación de las autoridades de consumo y telecomunicaciones. Según InternetLab, la empresa envió respuestas públicas a las autoridades, afirmando haber evaluado sus sistemas internos y no haber encontrado ningún incidente de seguridad. Las respuestas no mencionaban ninguna mejora en las medidas de seguridad de Vivo.

Resultados de la categoría 5: Informes de transparencia y evaluaciones de impacto de la protección de datos

Los proveedores de Internet y telecomunicaciones de Brasil no están donde deberían estar cuando se trata de publicar informes de transparencia, una buena práctica que ha crecido en la industria tecnológica. Algar, Oi y Brisanet no recibieron ninguna estrella, mientras que Claro y Net recibieron un cuarto de estrella: divulgan datos agregados sobre las solicitudes de los usuarios de sus propios datos, pero no datos estadísticos sobre las solicitudes de datos del gobierno.

TIM recibió ¾ estrellas; la empresa no publica un informe de transparencia, pero sí un Informe de Sostenibilidad con información general sobre las solicitudes de datos del gobierno y las cifras totales de las solicitudes de interceptación telefónica, información de los abonados y "extractos telefónicos" del año pasado. Vivo ha mejorado su marca desde el año pasado. Telefónica Brasil, de la que forma parte Vivo, publicó por primera vez su informe de transparencia global en portugués.

Al igual que en el informe del año pasado, ninguna de las empresas destacadas publicó una evaluación del impacto de la protección de datos (DPIA). La ley brasileña de protección de datos tiene normas sobre DPIA, pero la Autoridad de Protección de Datos aún debe regular cuándo es obligatoria esta evaluación.

Resultados de la categoría 6: Notificación al usuario

Ninguna empresa informa a los usuarios cuando las autoridades gubernamentales buscan sus datos, por lo que no se concedieron estrellas. Esto no ha cambiado con respecto al año pasado.

Conclusión:

Desde su primera edición en 2016, los informes de Brasil han mostrado un sólido progreso, fomentando la competencia de los ISP hacia estándares más fuertes en favor de la transparencia y privacidad de los usuarios. El informe de este año destaca los avances en la divulgación de las directrices de aplicación de la ley y el compromiso continuo de los proveedores brasileños en la defensa de sus usuarios en los tribunales. También muestra que hay margen de mejora en la notificación a los usuarios, en las evaluaciones de impacto de la protección de datos e incluso en los informes de transparencia, una buena práctica ya consolidada en otros países y para otros actores, como las empresas tecnológicas. El trabajo de InternetLab forma parte de una serie de informes en América Latina y España adaptados del informe ¿Quién te cubre las espaldas? de la EFF, que desde hace casi una década evalúa las prácticas de las principales empresas tecnológicas mundiales.