¿Quién Defiende Tus Datos?), un informe que compromete a los proveedores de servicios de Internet a rendir cuentas por sus políticas y procesos de privacidad en ocho países de América Latina y España. Desde entonces, hemos visto a las principales empresas de tecnología ofrecer más transparencia sobre cómo y cuándo divulgan los datos de sus usuarios al gobierno. Este cambio ha sido alimentado en gran parte por la atención pública en los medios de comunicación locales. El proyecto se inició en 2015 en Colombia, México y Perú, y se sumaron; Brasil en 2016, Chile y Paraguay en 2017, Argentina y España en 2018 y Panamá este año.
Cuando comenzamos en 2015, ninguno de los ISP de los tres países encuestados había publicado informes de transparencia o datos totalizados sobre el número de solicitudes de datos que recibían de los gobiernos. Para 2019, las mayores transnacionales con presencia regional en los nueve países encuestados ya lo están haciendo. Esta es una gran victoria para la transparencia, la rendición de cuentas y los derechos de los usuarios.
Telefónica (Movistar/Vivo), compañía global con presencia local en España y en 15 países en Latinoamérica, ha estado liderando el camino en la región, seguida de cerca por Millicom (Tigo) con oficinas en siete países de América del Sur y Central. Lejos está Claro (América Móvil), con oficinas en 16 países de la región. Sorprendentemente, en un país, Chile, el pequeño ISP WOM! también se ha destacado por su excelente transparencia informativa.
Telefónica publica informes de transparencia en cada uno de los países que encuestamos, mientras que Millicom (Tigo) publica informes de transparencia con datos totalizados por región específica. En América del Sur, Millicom (Tigo) publica sendas cifras totales para Bolivia, Colombia y Paraguay. En 2018, Millicom (Tigo) también publicó un informe exhaustivo de Transparencia sólo para Colombia. Mientras que Claro (América Móvil) opera en 16 países de la región pero sólo ha publicado un informe de transparencia en uno de los países encuestados. En el caso de Chile. ISPs chilenos como WOM!, VTR, y Entel también han publicado sus propios informes de transparencia. En Brasil, sin embargo, Telefónica (Vivo) es la única empresa brasileña que ha publicado un informe de transparencia.
El conjunto de informes todavía tiene mucho margen de mejora. El nivel de información divulgada varía significativamente de compañía a compañía, e incluso de país a país. Telefónica suele revelar un conjunto de cifras separadas para los distintos tipos de solicitudes gubernamentales -como escuchas telefónicas, metadatos, suspensión de servicios, bloqueo de contenidos y filtrado- en su informe de transparencia. Pero para Argentina, Telefónica sólo proporciona una cifra total que cubre todo tipo de solicitudes. Y en Brasil, por ejemplo, Telefónica Brasil no ha publicado el número de solicitudes gubernamentales que acepta o rechaza, mientras sí ha publicado esa información en otros países.
Las empresas han adoptado, también, otras normas voluntarias en la región, como la publicación de sus directivas de aplicación de la ley para las demandas de datos del gobierno. Por ejemplo, Telefónica ofrece una visión general del procedimiento global de la compañía cuando se trata de solicitudes de datos gubernamentales. Pero otras cuatro empresas, que operan en Chile, publican pautas más precisas adaptadas sólo a los marcos legales de ese país, incluyendo el pequeño ISP WOM! y Entel, la mayor empresa nacional de telecomunicaciones.
Desglose según el país:
Colombia y Paraguay
En 2015, el proyecto ¿Quién Defiende Tus Datos? demostró que mantener la presión y mantener un diálogo abierto con las empresas da sus frutos. En Colombia,Fundación Karisma 2015 investigó a cinco ISPs locales y encontró que ninguno publicó informes de transparencia sobre las solicitudes de bloqueo o demandas de datos del gobierno. Para 2018, cinco de las siete empresas habían publicado informes anuales de transparencia sobre las solicitudes de datos, y cuatro de ellas proporcionaban información sobre las solicitudes de bloqueo del gobierno.
El Informe de Transparencia de Millicom se destacó por aclarar las reglas de acceso de los gobiernos a los datos en Colombia y Paraguay. Ambos países han adoptado leyes draconianas que exigen a los proveedores de servicios de Internet conceder acceso directo a su red móvil a las autoridades. En Colombia, la ley establece fuertes multas si los ISPs monitorean la interceptación que tiene lugar en sus sistemas. Es por ello que las empresas de tecnología afirman que no poseen información sobre la frecuencia y duración de la interceptación de las comunicaciones en sus redes móviles. En este escenario, los informes de transparencia se vuelven irrelevantes. Por el contrario, en Paraguay, los ISPs pueden ver la orden judicial que solicita la interceptación, y la compañía de telecomunicaciones está al tanto de cuándo ocurre la interceptación en su sistema, y podría potencialmente publicar datos agregados sobre el número de solicitudes de datos.
Brasil y Chile
El Informe de InternetLab muestra avances en el compromiso de las compañías de cuestionar judicialmente las solicitudes abusivas de datos de las fuerzas de seguridad o de luchar contra la legislación que daña la privacidad de los usuarios. En 2016, cuatro de las seis empresas tomaron este tipo de medidas. Por ejemplo, las empresas de telefonía móvil que participaron en la investigación forman parte de una asociación que impugnó ante la Corte Suprema de Brasil una ley que permite a los agentes del orden acceder a los datos de los usuarios sin necesidad de una orden judicial en caso de trata de personas (Ley 13.344/2016). El caso sigue abierto. Claro también ha impugnado judicialmente una solicitud directa de la política de acceso a los datos de los abonados. Este número seguía siendo elevado en 2018, cuando cinco de cada ocho proveedores de servicios de Internet lucharon contra las leyes inconstitucionales, dos de los cuales también impugnaron medidas desproporcionadas.
Por el contrario, los proveedores de servicios de Internet en Chile se han mostrado reticentes a enfrentar las peticiones ilegales y excesivas. El informe de Derechos Digitales de 2019 indica que muchos, proveedores de servicios de Internet todavía no se presentan en los tribunales en representación de sus usuarios disputando tales solicitudes. La única excepción a lo previo fue Entel que obtuvo las mejores notas al ser el único ISP que se negó a aceptar las solicitudes gubernamentales de datos de un individuo, de entre los varios ISPs contactados para obtener la misma información.
Los ISP chilenos WOM!, VTR, Claro y Entel también dejan en claro en sus directrices de aplicación de la ley que es necesario contar con un orden judicial previo antes de entregar el contenido y los metadatos a las autoridades. En el informe de Derechos Digitales de 2019, estas empresas publicaron pautas para la aplicación de la ley de entre las seis que aparecen en la investigación. Ninguna de estas empresas dio estos pasos en 2017, el primer año de operación del proyecto en Chile.
Un logro aún más significativo puede verse en la notificación al usuario. Los proveedores de servicios de Internet de la región siempre se han mostrado reacios a establecer un procedimiento adecuado para alertar a los usuarios de las solicitudes de datos gubernamentales, lo que se reflejaba en el informe de Chile de 2017. En la última edición, sin embargo, WOM!, VTR y Claro en Chile se comprometen explícitamente a notificar a los usuarios en sus políticas.
Perú
En Perú, tres de cinco empresas no publicaron políticas de privacidad en 2015. En 2019, sólo uno de ellos no proporcionó detalles sobre recopilación, uso y procesamiento de los datos personales de sus usuarios. El informe 2019 de Hiperderecho
Proyectándose hacia adelante
A pesar de los avances en Brasil, Colombia, Chile y Perú, aún queda mucho por hacer en esos países. También debemos esperar a las próximas evaluaciones de Argentina, Panamá, Paraguay y España, incluidas muy recientemente en el proyecto. Pero como hecho general son demasiadas las compañías de telecomunicaciones -ya sean grandes o pequeñas, globales o locales- que todavía no publican lineamientos de aplicación de la ley o no han establecido procedimientos adecuados y obligaciones legales. Estos lineamientos deben basarse en el marco jurídico nacional y en los compromisos internacionales de los países en materia de derechos humanos para que el gobierno obtenga información de los usuarios.
Las empresas de la región tampoco están comprometidas con solicitar una orden judicial antes de entregar los metadatos a las autoridades. Por último, los proveedores de servicios de Internet de la región siguen siendo cautelosos a la hora de notificar a los usuarios cuando los gobiernos solicitan información a los usuarios. Esto es crucial para garantizar la capacidad de los usuarios para impugnar la solicitud y buscar soluciones cuando sea ilegal o desproporcionada. El mismo temor impide que muchos ISPs defiendan públicamente a sus usuarios en los tribunales y en el Congreso.
Referencias
Para más información, ver https://www.eff.org/qdtd y la cobertura mediática relevante sobre los informes de nuestros socios en Colombia, Paraguay, Brasil, Perú,Argentina, España, Chile, México