Los proveedores de servicios de Internet ( ISP) españoles no han logrado ofrecer suficiente transparencia sobre sus prácticas de protección de datos y privacidad de los usuarios, y muchos de ellos no cumplen con los criterios que se basan directamente en la normativa española y europea sobre protección de datos.

Al mismo tiempo que se destaca que las empresas de Internet en España deben mejorar sus prácticas de privacidad de los usuarios, la tercera edición del informe de la Fundación Eticas ¿Quién Defiende Tus Datos? España mostró que Movistar (Telefónica) mantuvo una posición de liderazgo entre las empresas evaluadas, con un total de 18 de 21 puntos. El ISP obtuvo una buena puntuación en todos los criterios evaluados, excepto en la notificación al usuario. Por otro lado, Habitaclia recibió la puntuación más baja, con solamente 5,5 puntos.

Todos los ISP españoles recibieron créditos en la categoría de política de privacidad, que abarca la información crucial que las empresas deben proporcionar a los usuarios sobre sus prácticas de tratamiento de datos. En el último informe de Eticas, los proveedores de servicios de Internet avanzaron mucho en esta categoría. Sin embargo, la edición de este año muestra que las empresas han perdido tracción, mejorando en algunos parámetros pero perdiendo crédito en otros. El balance entre los avances y las carencias de las empresas de Internet en España muestra que todavía hay mucho margen de progreso.

Este año, Eticas ha revisado las políticas públicas y los documentos de 15 empresas de Internet que manejan los datos de los usuarios en su actividad diaria, entre las que se encuentran proveedores de telecomunicaciones, sitios de venta y alquiler de viviendas y aplicaciones de venta de artículos de segunda mano. Eticas ha añadido tres nuevas empresas al informe: el proveedor de telecomunicaciones Digi Spain Telecom, la app de artículos de segunda mano Vinted y la startup Trovit.es, que ofrece ofertas de venta o alquiler de viviendas, coches y otros productos. El proveedor de telecomunicaciones Euskatel ya no figura en el ranking tras su adquisición por parte de MásMóvil.

El estudio de este año también ha introducido nuevos criterios. Para obtener una estrella completa, las políticas de privacidad de las empresas deben indicar por qué y a través de qué canales recogen los datos de los usuarios. Teniendo en cuenta el contexto de la pandemia de COVID-19 y las políticas de lucha contra la propagación del virus que implican la recopilación masiva de datos de los usuarios, Éticas presionó a las empresas para que se comprometieran a compartir únicamente datos anónimos y agregados con fines políticos y no policiales. El nuevo informe introdujo una estrella roja especial para indicar si los ISP hicieron pública alguna medida específica de protección de datos relacionada con la pandemia.

Vodafone fue el único proveedor de servicios que recibió crédito por ambas categorías de recopilación de datos relacionados con la COVID. El ISP publicó una política específica de protección de datos en relación con el intercambio de datos para las acciones de control de COVID-19. La política incluye importantes salvaguardias, como compartir únicamente datos agregados y anónimos y respetar los principios de proporcionalidad y limitación de la finalidad. Sin embargo, la información de la política sobre la seguridad de los datos únicamente menciona que Vodafone ha puesto en marcha "medidas de seguridad apropiadas y adecuadas", sin proporcionar detalles. La empresa debería incluir más detalles sobre el tipo de medidas adoptadas y su eficacia para preservar la privacidad y la seguridad de los datos.

El resumen de los resultados se encuentra a continuación.

QDTD Spain 2022 table

Movistar, Som Conexió, Orange y Vodafone fueron los únicos proveedores de servicios a los que se les acreditaron parámetros más allá de sus políticas de privacidad. Movistar y Vodafone obtuvieron puntuaciones por divulgar información sobre el marco legal que deben seguir las autoridades para solicitar los datos de los usuarios, y qué autoridades competentes pueden solicitar el acceso al contenido de las comunicaciones y los metadatos de los usuarios. Movistar, Orange y Vodafone también recibieron crédito por llevar a cabo iniciativas que promueven la privacidad de los usuarios, como el Diálogo de la Industria de las Telecomunicaciones y la Iniciativa de Red Global. Lamentablemente, Movistar sigue siendo la única empresa que publica informes periódicos de transparencia con información estadística sobre las solicitudes de datos de los gobiernos. Y Orange, que destacó en ediciones anteriores por comprometerse a notificar a los usuarios las solicitudes de datos, perdió este crédito en la nueva edición.

Cuando se trata de las políticas de privacidad de los ISP, hay altibajos. Casi la mitad de las 15 empresas evaluadas no proporcionaron información sobre la elaboración de perfiles y la toma de decisiones automatizada, incumpliendo las normas de divulgación establecidas en la legislación española de protección de datos (que incorpora las obligaciones del GDPR). También han incumplido otros parámetros que se basan en las normas de transparencia del GDPR para el tratamiento de los datos de los usuarios. Por ejemplo, casi un tercio de las empresas destacadas no revelaron cuánto tiempo almacenan los datos de los usuarios. Casi la mitad de ellas no se comprometió a notificar a los usuarios los cambios en sus políticas, a revelar información sobre las transferencias internacionales de datos y a permitir a los usuarios dar su consentimiento o excluirse de dichas transferencias. Por otro lado, todos los proveedores de servicios comparten la información de contacto de sus responsables del cumplimiento de las normas de protección de datos, y la mayoría de ellos informan a los usuarios de que pueden excluirse de ciertos usos de sus datos.

El informe de Éticas también destaca los casos en los que la Autoridad Española de Protección de Datos (AEPD) sancionó a los proveedores de servicios de Internet por el mal manejo de los datos de los usuarios. Como ejemplo más notable, la AEPD impuso una multa acumulada de 8,5 millones de euros a Vodafone por varios incumplimientos de la normativa de protección de datos y otras.

Las empresas deben comprometerse con políticas sólidas de privacidad de datos, y ser responsables en sus prácticas de protección de los datos que sus clientes les han confiado. Este nuevo informe muestra que las empresas españolas de Internet aún deben mejorar sus compromisos públicos con la privacidad de los usuarios.

El estudio de Eticas forma parte de una serie de informes realizados en América Latina y España en los que se responsabiliza a los proveedores de servicios de Internet ante sus usuarios y se presiona a las empresas para que adopten políticas y prácticas que ofrezcan una sólida protección de la privacidad de los datos.

Related Issues

International
¿Quién defiende tus datos?
Privacy

Related Updates

hands with circuit patterns on black background
Deeplinks Blog by Jillian C. York, Katitza Rodriguez | September 25, 2024

Los llamamientos para suprimir la Ley de Ciberdelincuencia de Jordania se hacen eco de los llamamientos para rechazar el Tratado sobre Ciberdelincuencia

En varios países del mundo, las comunidades -y en particular las que ya son vulnerables- se ven amenazadas por una legislación expansiva sobre ciberdelincuencia y vigilancia. Uno de esos países es Jordania, donde una ley de ciberdelincuencia promulgada en 2023 se ha utilizado contra personas LGBTQ+, periodistas, defensores de los...