Los principales proveedores de servicios de banda ancha de Paraguay se comprometieron el año pasado con los usuarios en cuanto a la transparencia de sus políticas de privacidad y a adoptar prácticas de accesibilidad, pero la mayoría se quedó corta a la hora de revelar información sobre las solicitudes gubernamentales de los datos de sus usuarios, según la nueva edición del informe de TEDIC ¿Quién Defiende Tus Datos?.

El informe revela una tendencia preocupante entre los proveedores paraguayos de Internet y telecomunicaciones: la mayoría no publica informes con datos estadísticos sobre estas solicitudes ni divulga los procedimientos que siguen para entregar los datos de los usuarios a las autoridades. Es más, las empresas aún se resisten a comprometerse públicamente a notificar a los usuarios sobre las demandas de datos del gobierno. Aunque suele ser un compromiso difícil de conseguir por parte de las empresas evaluadas en la región, vemos algunos avances en Chile, Colombia y Argentina. En el informe de Paraguay, sin embargo, todos los proveedores de servicios fallaron en esta categoría.

Esto socava la capacidad de los usuarios de tomar decisiones informadas sobre a qué empresas deben confiar sus datos. Nuestra dependencia de los proveedores de conexión a Internet para navegar, acceder a la información en línea y comunicarnos con otros pone en manos de los proveedores de servicios grandes cantidades de datos altamente sensibles. El informe de TEDIC muestra que éstos deben subsanar esta deficiencia ofreciendo a los usuarios más información sobre cómo se gestionan estas solicitudes y revelando hasta qué punto cubren las espaldas de los usuarios cuando el gobierno exige sus datos.

El nuevo informe examinó los documentos y políticas disponibles públicamente de cinco empresas: Tigo (Millicom), Claro (América Móvil), Personal, Copaco y Vox. Todas han sido evaluadas por TEDIC desde la primera edición del informe en 2017. Desde entonces, Claro mostró notables avances en las categorías de política de privacidad e informe de transparencia. Tigo también ha mejorado las notas de sus políticas de privacidad y protección de datos a lo largo de los años. En esta edición 2022, Tigo mantuvo su posición de liderazgo, mientras que Claro se mantuvo firme en el segundo lugar. Copaco, que no recibió ningún puntaje en la última edición, compartió el tercer lugar con Personal este año. Por último, Vox se quedó muy atrás, obteniendo sólo un puntaje mínimo en una de las categorías evaluadas.

En cuanto a las políticas de privacidad y protección de datos, el estudio de TEDIC examinó si las empresas proporcionaban información clara y de fácil acceso sobre la recolección, el tratamiento y el intercambio de datos personales con terceros, así como sobre los plazos de conservación y las prácticas de seguridad. Todas las empresas, excepto Vox, obtuvieron una puntuación por publicar sus políticas de privacidad y protección de datos y obtuvieron al menos estrellas parciales por las características de accesibilidad de sus sitios web. Tanto Claro como Tigo recibieron una estrella completa. Personal y Copaco obtuvieron sólo un cuarto de estrella, ya que sus políticas son genéricas y no contienen detalles relevantes sobre qué información personal se recoge y almacena, durante cuánto tiempo, y cómo terceros y autoridades pueden tener acceso y utilizar los datos de los clientes.

A diferencia de otros países de América Latina, Paraguay aún no cuenta con una ley integral de protección de datos en vigor. TEDIC y sus aliados han estado trabajando para impulsar una legislación que pueda colmar esta laguna y garantizar unos principios sólidos de protección de datos y salvaguardias para todos los paraguayos. Sin embargo, las empresas no tienen que esperar a que se apruebe el proyecto de ley para aumentar la transparencia sobre cómo procesan la información personal de sus usuarios. De hecho, los proveedores de banda ancha del informe ya tendrían que haberlo asumido.

El informe de Paraguay también analizó si las empresas publican informes de transparencia con información sobre las solicitudes gubernamentales de datos de los usuarios, y si dichos informes proporcionan detalles adicionales sobre los tipos de datos solicitados, las autoridades solicitantes y la justificación de la solicitud. Sólo Tigo y Claro obtuvieron una puntuación en esta categoría, obteniendo media estrella por los informes publicados por sus empresas matrices, Millicom y América Móvil, respectivamente. Ambas empresas no proporcionaron todos los detalles requeridos. No desglosan las cifras de las solicitudes gubernamentales recibidas en Paraguay. En cambio, sus informes agregan todas las demandas de datos gubernamentales recibidas en los países sudamericanos en los que operan. Las sucursales paraguayas de ambas empresas deberían seguir el ejemplo de otras unidades sudamericanas que publican informes de transparencia locales, como Tigo en Colombia, y Claro en Chile. Además, los informes de Millicom y América Móvil no están disponibles en los sitios web de sus proveedores locales, lo que debería solucionarse.

En cuanto a la publicación de las guías para requerimiento de información personal que las empresas siguen al responder a las solicitudes de datos de los usuarios, de nuevo sólo Claro y Tigo recibieron puntos por los documentos revelados por sus empresas matrices. América Móvil publicó por primera vez un informe global específico con información sobre sus procedimientos antes de responder a las demandas gubernamentales de datos y los marcos legales aplicables en cada país. Por su parte, el informe de Millicom presenta sus directrices globales para ayudar a las fuerzas del orden, sin desglosar la información por países. Por ello, la empresa sólo recibió media estrella en la categoría, como en la edición del año anterior.

La autorización judicial y la notificación a los usuarios siguen siendo las categorías con menor puntuación. Las empresas siguen sin comprometerse públicamente a notificar a sus usuarios sobre las solicitudes de datos del gobierno, mientras que sólo Tigo declara explícitamente que se necesita una orden judicial antes de entregar el contenido de las comunicaciones de los usuarios a las autoridades. El informe de América Móvil no aclara esto en su sección sobre Paraguay, mientras que secciones sobre otros países en el informe dicen que se necesita una orden judicial. Ninguna empresa se compromete públicamente a solicitar una orden judicial para entregar los metadatos de los usuarios a las autoridades. Esto se debe principalmente a una problemática sentencia de la Corte Suprema de Justicia que no consideró que el acceso de las fuerzas de seguridad a los metadatos telefónicos sin una orden judicial fuera una violación de las garantías constitucionales de privacidad de Paraguay. Como explica TEDIC en el informe, esta interpretación va en contra de las protecciones constitucionales y legales, así como de los estándares interamericanos de privacidad que se aplican tanto a los metadatos como al contenido de las comunicaciones.

Por último, en cuanto a las políticas de derechos humanos, todas las empresas recibieron al menos un cuarto de estrella por realizar campañas públicas de información o capacitación en temas como la seguridad digital o la privacidad, o por sumarse a iniciativas sectoriales o multisectoriales alineadas con la promoción y defensa de los derechos humanos.

La serie de informes de TEDIC en Paraguay ¿Quién Defiende Tus Datos? forma parte de un proyecto a nivel regional, inspirado en EFF's Who Has Your Back, cuyo objetivo es impulsar a las empresas a ser más transparentes y proteger mejor la privacidad de los usuarios para obtener una ventaja competitiva en América Latina y España. La Fundación Karisma ha lanzado recientemente su nueva edición para Colombia.