Las principales empresas de Internet y telefonía móvil de Colombia siguieron manteniendo un alto nivel de transparencia sobre sus prácticas de privacidad, y continuaron implementando las mejores prácticas para proteger los datos de los clientes, la libre expresión y la seguridad en 2021. Sin embargo, se enfrentaron a los desafíos de los impactos de la COVID-19 y la presión para informar a los usuarios sobre el espionaje del gobierno en las comunicaciones de telefonía móvil, según un nuevo informe publicado hoy por la Fundación Karisma, la principal organización de derechos digitales de Colombia.
¿Dónde están mis datos?" evaluó a siete de las principales empresas de Internet y telefonía móvil: Claro (América Móvil), Movistar (Telefónica), Tigo (Millicom), ETB, DirecTv, Emcali y Avantel. Karisma también incluyó a las empresas de Internet por satélite Hughesnet y Skynet por su papel en la conexión de las zonas rurales.
El informe de hoy es el séptimo informe anual de Karisma ¿Dónde están mis datos? producido para Colombia, una evaluación del compromiso de las empresas de telecomunicaciones con la transparencia y la privacidad de los usuarios. Como en años anteriores, Karisma analizó si los informes de transparencia de las empresas proporcionan información detallada sobre los requerimientos gubernamentales de datos de los usuarios y de bloqueo de contenidos, el grado de solidez de sus políticas de protección de datos y si revelan adecuadamente las prácticas de bloqueo de contenidos y las violaciones de datos.
En estas categorías, las empresas colombianas de Internet y telefonía móvil se mantuvieron firmes, en su mayoría alcanzando, o superando, los niveles logrados en los últimos años. Movistar fue la empresa que más puntos obtuvo, con 15 de los 16 posibles, seguida de Tigo, con 13 puntos, y Claro y Avantel, con 10 puntos cada una. ETB obtuvo 8 puntos, DirectTV 7 puntos, Hughesnet y Emcali 5 puntos cada uno, y Skynet 3 puntos.
En las nuevas categorías de evaluación añadidas para valorar las políticas de las empresas en relación con la neutralidad de la red y la interceptación gubernamental de las comunicaciones, los resultados fueron dispares.
La pandemia de COVID-19 ejerció una importante presión sobre los proveedores de Internet y telecomunicaciones, ya que sus infraestructuras de red se vieron puestas a prueba por el mayor tráfico de trabajo a distancia. Además, las demandas gubernamentales de datos para rastrear y contener el virus pusieron a prueba su compromiso con la privacidad de los usuarios. Es más, el gobierno colombiano y la Comisión de Regulación de Comunicaciones del país decidieron, mediante una normativa de emergencia, preparar el terreno por si era necesario suspender la neutralidad de la red, un principio clave para una Internet abierta.
En virtud de la neutralidad de la red, los proveedores de servicios de Internet tratan todos los datos que viajan por sus redes de forma equitativa, sin discriminación indebida a favor de determinadas aplicaciones, sitios o servicios. Aunque la suspensión de la neutralidad de la red no se produjo, Karisma añadió por primera vez nuevas categorías en ¿Dónde están mis datos?, para evaluar la divulgación por parte de las empresas de sus prácticas de neutralidad de la red.
Movistar, Tigo, Avantel y Hughesnet fueron los más destacados en estas categorías, cada uno de los cuales obtuvo puntos por publicar sus prácticas de gestión del tráfico y comprometerse públicamente a proteger la neutralidad de la red.
Karisma también añadió nuevas categorías para documentar una práctica de vigilancia muy controvertida y constitucionalmente cuestionable que ha salido a la luz. Tras analizar los últimos informes de ¿Dónde están mis datos?, Karisma ha llegado a la conclusión de que las autoridades colombianas están interceptando las comunicaciones de los usuarios de telefonía móvil, accediendo directamente a las comunicaciones sin hacer peticiones formales ni implicar a las empresas de telecomunicaciones que alojan las redes.
Poco se sabe sobre cómo se produce esta práctica de vigilancia tan problemática. Para proporcionar información a los usuarios y arrojar luz sobre esta preocupante práctica, ¿Dónde están mis datos?, evaluará, a partir del informe de hoy, si las empresas revelan claramente que se produce el acceso directo.
Principales Resultados
Cada empresa se evalúa en las siguientes categorías:
Compromisos políticos: Esta categoría examina si las empresas tienen normas internas de igualdad de género y políticas de accesibilidad para los usuarios con discapacidad, y si publican informes anuales de transparencia (o el equivalente) para Colombia. Los nuevos criterios añadidos este año incluyen si las empresas revelan las solicitudes de bloqueo de contenidos justificadas por una emergencia sanitaria nacional, y si se han comprometido públicamente con la neutralidad de la red.
Movistar sigue siendo líder en la categoría; informa completamente sobre todos los criterios previstos y de forma desglosada, incluyendo los eventos de bloqueo relacionados con los estados de emergencia u otras excepciones.
Claro informa sobre la ocurrencia de cada evento, el marco legal en el que se justifica cada orden y las autoridades que las plantean ante la empresa. Pero cuando se trata de proporcionar estadísticas desagregadas, solamente lo hace en relación con las órdenes de bloqueo de contenidos y los cuatro subtipos en los que se puede justificar (no datos sobre las solicitudes gubernamentales de datos de los usuarios).
Intimidad: Esta categoría incluye si las empresas publican políticas de protección de datos con información relevante para los usuarios, divulgan públicamente la base legal para cumplir con las solicitudes gubernamentales de entrega de datos y notifican a los usuarios sobre las solicitudes de datos. Los nuevos criterios incluyen si las empresas revelan la posibilidad de que las autoridades tengan acceso directo a sus redes de comunicaciones, qué base legal existe para ello y su papel en el acceso directo.
Movistar destaca por la claridad de la información que proporciona sobre el acceso directo, mientras que tanto Claro como Tigo divulgan información sobre los diferentes marcos legales que supuestamente sustentan dicha vigilancia de las comunicaciones. También hay que reconocer a Tigo la transparencia sobre el acceso directo, que se ve reforzada por el informe global de su empresa matriz Millicom. Movistar, Claro y Tigo recibieron 2 puntos cada una en estas áreas; las otras cuatro empresas no recibieron ningún punto.
Libertad de expresión: Esta categoría evalúa a las empresas en función de si publican los procedimientos que tienen en marcha para responder a las peticiones gubernamentales de bloquear contenidos o interrumpir el servicio de Internet, y si las empresas publican directrices, para que los usuarios sepan qué tipo de prácticas pueden enfrentarse al bloqueo.
Claro, Movistar, Tigo, ETB y Avantel informan de la ejecución de órdenes de bloqueo de sitios web o URL. Emcali y Hughesnet informan del bloqueo de sitios web o URLs sólo en el caso de circulación de contenidos de abuso sexual infantil. Skynet no proporciona información sobre ninguno de estos criterios.
Seguridad digital: En esta categoría se califica a las empresas en función de sus prácticas de divulgación de las violaciones de datos y de las medidas de mitigación, y de si utilizan el protocolo de transmisión segura de datos (HTTPS) en sus sitios web.
Movistar, Tigo y Avantel son las únicas empresas que tienen un protocolo y documentación para las acciones de mitigación de violaciones de datos. Skynet advierte en general qué medidas de seguridad despliega, pero no qué medidas de contingencia aplicaría ante posibles brechas de seguridad.
El informe completo de Karisma está disponible en español, y forma parte de una iniciativa a nivel regional que desde 2015 exige a los ISP que rindan cuentas sobre sus compromisos en materia de transparencia y privacidad de los usuarios en países clave de América Latina.