publicó " (“") un informe que responsabiliza a los proveedores de servicios de Internet de sus políticas de privacidad y protección de datos en el Brasil. Desde entonces, las principales empresas de telecomunicaciones brasileñas han proporcionado más transparencia sobre sus políticas de protección de datos y privacidad, un cambio impulsado principalmente por la nueva ley de .
El quinto informe anual de que se presenta hoy, identifica las medidas que las empresas deben tomar para proteger la privacidad de las telecomunicaciones y la protección de datos en Brasil. Esta edición, que presenta ocho proveedores de telecomunicaciones para servicios móviles y de banda ancha, muestra al proveedor de telecomunicaciones de Brasil, TIM, a la cabeza, seguido de Vivo y Oi justo detrás. TIM obtuvo una alta puntuación en la defensa de la privacidad en los debates de políticas públicas y en el poder judicial, publicando informes de transparencia y políticas transparentes de protección de datos. En contraste, Nextel obtuvo el último lugar como lo hizo en 2019, muy lejos del resto de sus competidores. Nextel sí dio un paso adelante en la defensa de la privacidad en el poder judicial, en contraste con 2019, cuando no recibió ninguna estrella en ninguna categoría.
En marcado contraste con el , la mitad de los proveedores cubiertos (Claro, NET, TIM y Algar) han hecho progresos significativos en la categoría de protección de datos. Después de haber recibido una mala calificación en 2019, Algar obtuvo una estrella completa este año en esta categoría, un cambio positivo a medida que Brasil comienza a su nueva ley de protección de datos inspirada en la GDPR.
El informe de este año también evaluó qué empresas se destacaron en la defensa pública de la privacidad contra la presión gubernamental sin precedentes para acceder a los datos de telecomunicaciones durante la pandemia de COVID-19. Por contexto, la Corte Suprema de Brasil suspendió la medida provisional 954/2020 del gobierno que ordenaba a los proveedores de telecomunicaciones a revelar los datos de sus clientes con el Instituto Brasileño de Geografía y Estadística (IBGE) durante la situación de emergencia sanitaria. El tribunal dictaminó que la medida era demasiado amplia y no aclaró el propósito de la solicitud. Oi que firmara un término de responsabilidad antes de revelar los datos.
Lamentablemente, los proveedores de telecomunicaciones también firmaron acuerdos de intercambio de datos no transparentes con los estados y municipios para ayudar a las autoridades públicas a combatir la pandemia de COVID-19. Aquí, Vivo y Tim se comprometieron que sólo se compartirían con el gobierno datos anónimos y agregados, a través de mapas de calor y tablas pivotantes. En São Paulo, por ejemplo, el acuerdo permite a las autoridades públicas acceder a una herramienta de visualización de datos que incluye datos de localización anónimos y agregados para medir la eficacia de los órdenes de distanciamiento social. Después de que un tribunal de São Paulo dictaminara que el acuerdo debía ser público, muchos proveedores de telecomunicaciones han publicado las políticas pertinentes en sus sitios, entre ellos TIM, Vivo Claro, NET y OI. Las políticas de las empresas, sin embargo, no especificaban las prácticas y técnicas de seguridad adoptadas para garantizar el anonimato de los datos compartidos. En el futuro, las empresas deberían publicar sus políticas de forma proactiva e inmediata, y no después de la presión pública.
La mayoría de los proveedores siguen estando muy atrasados en la notificación a los usuarios cuando el gobierno solicita sus datos. Como hemos , ninguna ley brasileña obliga al Estado o a las empresas a notificar a los objetivos de la vigilancia. Los jueces pueden exigir la notificación, y las empresas no están impedidas de notificar a los usuarios cuando el secreto no es requerido legal o judicialmente. La notificación previa al usuario proveedores de servicios. Por lo general, es imposible que el usuario sepa que el gobierno ha solicitado sus datos, a menos que ello dé lugar a cargos penales. Como resultado, es menos probable que los inocentes descubran la violación de sus derechos de privacidad.
El informe también evalúa por primera vez si las empresas publican su propia evaluación del impacto de la protección de datos; lamentablemente, ninguna lo hizo. Ante la controversia sobre la interpretación de las leyes que obligan a las empresas a revelar datos al gobierno, el informe de este año, por primera vez, examina la transparencia de las empresas en cuanto a su comprensión jurídica de dichas leyes.
En general, el informe de este año evalúa a los proveedores en seis criterios: políticas de protección de datos, directrices de aplicación de la ley, defensa de los usuarios en el poder judicial, defensa de la privacidad en los debates sobre políticas o en los medios de comunicación, informes de transparencia y evaluación de los efectos de la protección de datos, y notificación a los usuarios. El informe completo está disponible e . Estos son los principales resultados:
Políticas de protección de datos
Algunos proveedores ahora están informando a los usuarios qué datos recogen sobre ellos, cuánto tiempo se guarda la información y con quién la comparten (aunque a menudo de manera demasiado genérica). En algunos casos, los proveedores notifican a los usuarios los cambios en su política de privacidad. Nathalie Fragoso, jefa de investigación de privacidad y vigilancia de InternetLab, declaró a la EFF.
A diferencia de 2016, se ha producido un avance significativo en el contenido y la forma de las políticas de privacidad y protección de datos. Ahora están completas y son accesibles. Sin embargo, a menudo falta información sobre la eliminación de datos, y los cambios en sus políticas de privacidad rara vez se comunican de manera proactiva. Mientras que Claro y TIM envían mensajes a sus usuarios sobre los cambios en sus políticas de privacidad, Oi sólo les dice a los usuarios que cualquier cambio estará disponible en su sitio web. Muy por detrás se encuentra Vivo, que se reserva el derecho de cambiar su política en cualquier momento y no se compromete a notificar a los usuarios de tales actualizaciones.
El informe también arroja luz sobre la forma en que los proveedores responden a las solicitudes de los usuarios de acceder a sus datos, y evalúa la eficacia de esas respuestas. Nathalie Fragoso dijo a la EFF:
Enviamos solicitudes de nuestros datos personales a todos los proveedores encuestados en este informe, y les dimos un mes para responder. Nuestras solicitudes incluían cualquier información relacionada con nosotros. Todos los proveedores, sin embargo, cumplen al revelar exclusivamente nuestra información de suscriptor, excepto Claro y Oi, que no lo hacen. También nos enteramos de que Algar y Tim tomaron medidas adicionales para certificar la identidad del solicitante antes de revelar los datos, una buena práctica que merece ser destacada.
Defensa de la privacidad de los usuarios en los medios de comunicación o en los debates de política pública
Este año, ? evalúa si los proveedores defendieron la privacidad y la protección de datos de los usuarios en los debates de política pública o en los medios de comunicación. El primer parámetro evalúa las contribuciones públicas de las empresas a los debates del Congreso y las consultas de política pública sobre protección de datos.
Aunque Vivo redactó una comunicación pública para la consulta de la "Estrategia Nacional de Inteligencia Artificial", no hizo ninguna propuesta concreta, normativa o técnica para proteger a sus clientes. Por otra parte, InternetLab comprobó que las declaraciones de política de TIM adoptaron una postura clara y firme en favor de la privacidad en la misma consulta. TIM pide transparencia y una explicación sobre los sistemas de inteligencia artificial. También recomienda que se proporcione suficiente información a los afectados por un sistema de inteligencia artificial para comprender las razones de los resultados y permitir que los perjudicados impugnen esos resultados.
Directrices para la aplicación de la ley
La mayoría de los proveedores están muy atrasados en la publicación de directrices detalladas para las demandas de datos del gobierno. Vivo Broadband y Mobile lideran el camino en esta categoría; sin embargo, ninguno obtuvo una estrella completa. Esta categoría incluye cinco parámetros, que pueden leerse con . A continuación resumimos dos que merecen atención:
Identificación de las autoridades competentes que pueden exigir datos de los abonados sin una orden judicial
generalmente requiere una orden judicial para acceder a los datos de las comunicaciones, incluidos los datos de localización y los registros de conexión. Tiene una excepción para cuando las "autoridades administrativas competentes" exigen datos de los abonados cuando la ley lo autoriza. Existe una controversia acerca de qué funcionarios gubernamentales están incluidos en la expresión "autoridades administrativas competentes". Por lo tanto, el informe se centra en la cuestión de si cada empresa explica públicamente sus interpretaciones de este término jurídico y, en caso afirmativo, cómo lo hace. El informe también se centra en si las empresas explican públicamente qué tipos de datos revelarán sin una orden judicial y cuáles sólo revelarán con una orden judicial.
Vivo Broadband y Mobile están muy por delante de las otras compañías. De acuerdo con sus políticas, Vivo divulga los datos de los abonados sólo a petición de los representantes del Ministerio Público, las autoridades policiales (comisarios de policía) y los jueces. Sus políticas dicen que hace que los registros de conexión y los datos de localización estén disponibles sólo por orden judicial.
Claro y TIM tienen resultados mixtos. Claro informa a los usuarios que revela los datos de los abonados a las autoridades competentes, pero no los identifica. Asimismo, TIM no señala a las autoridades competentes que cree que pueden solicitar datos de los suscriptores sin una orden judicial. Sin embargo, el TIM promete cumplir la legislación al poner "datos y comunicaciones" a disposición de las "autoridades competentes".
InternetLab recomienda que TIM identifique expresamente a esas autoridades. Oi dice a los usuarios que comparte datos con las autoridades competentes y los nombra. Sin embargo, el informe muestra que la empresa no aclara cuáles de las autoridades competentes citadas no requieren una orden judicial y cuáles sí. Algar y Nextel obtuvieron una puntuación de cero estrellas en sus directrices de aplicación de la ley. Todavía hay mucho más que todas las empresas pueden hacer en esta categoría.
Identificar los delitos que justifican la divulgación de los datos de los abonados sin una orden judicial
Como explicamos en nuestras preguntas frecuentes sobre cuestiones jurídicas en , autorizar a los fiscales y a los agentes de policía (por lo general el Jefe de la Policía Civil) a acceder a los datos de los abonados sin una orden judicial para investigar el blanqueo de dinero y las organizaciones delictivas. El Código de Procedimiento Penal permite el acceso en condiciones de igualdad a los delitos de trata de personas, secuestro, tráfico de órganos y explotación sexual. Lamentablemente, las autoridades policiales han reivindicado la facultad de acceder a los datos de los abonados sin una orden judicial durante la investigación de otros delitos. Como , afirman indebidamente una autorización general que regula la investigación penal por parte del Jefe de la Policía Civil.
Nos complace que InternetLab cuestione las interpretaciones jurídicas erróneas sobre el poder de la policía evaluando las respuestas de las empresas a esas solicitudes. También en este caso, ante la controversia sobre la interpretación de la ley, InternetLab pide transparencia a las empresas sobre las interpretaciones de la ley.
Los resultados de InternetLab muestran que NET, OI Mobile, TIM Broadband, Tim Mobile, Nextel, Algar y Sky no identificaron los delitos por los que las autoridades competentes pueden obtener registros de suscriptores sin una orden judicial.
Conclusión
Habida cuenta de los resultados de este año, InternetLab alienta a las empresas a que mejoren sus canales de solicitud de acceso a los datos a fin de facilitar el pleno acceso a los mismos. Recomienda a las empresas que adopten prácticas proactivas de notificación al usuario cuando cambien sus políticas de privacidad. También las alienta a publicar directrices de aplicación de la ley que revelen todas las posibilidades a la hora de revelar los datos de los abonados, los registros de localización y los registros de conexión, y para qué delitos. Las empresas deberían garantizar la transparencia en lo que respecta a su interpretación jurídica de las leyes que las obligan a revelar datos al gobierno. Las empresas deberían ser claras y precisas al tratar las órdenes judiciales frente a las solicitudes administrativas de demandas de datos. Ante circunstancias excepcionales, como la pandemia de COVID-19, InternetLab pide a las empresas que adopten un enfoque de transparencia activa en relación con posibles acuerdos de colaboración e intercambio de datos con el Estado, y que se aseguren de que esa medida excepcional se lleve a cabo en aras del interés público, de forma limitada en el tiempo y proporcional.
Por último, InternetLab alienta a las empresas a publicar informes completos de transparencia y a notificar a los usuarios cuando revelen los datos de sus clientes por exigencias de la ley. A través de los informes ?, un proyecto coordinado por la EFF, las organizaciones locales han estado comparando los compromisos de las empresas con la transparencia y la privacidad de los usuarios en diferentes países de América Latina y España. El informe de InternetLab de hoy sobre Brasil se une a informes similares de principios de este año de , , , , y
