Los mayores proveedores de conexión a Internet de Brasil han hecho avances moderados en la protección de los datos de los clientes y en la transparencia de sus prácticas de privacidad, pero no cumplen ciertos requisitos para defender los derechos de los usuarios en virtud de la ley de protección de datos de Brasil, según el informe 2022 de InternetLab Quem Defende Seus Dados? (¿Quién defiende sus datos?).
En esta séptima evaluación anual de los proveedores de Brasil, InternetLab evaluó seis empresas, y examinó tanto sus servicios de banda ancha como de telefonía móvil. Los operadores evaluados son Oi (banda ancha fija y móvil), Vivo (Telefónica) (banda ancha fija y móvil), TIM (banda ancha fija y móvil), Claro/NET (América Móvil), Brisanet (banda ancha fija y móvil) y Algar (solo banda ancha). Los operadores fueron evaluados en seis categorías, entre las que se incluyen la información sobre sus políticas de protección de datos, la divulgación de directrices para las fuerzas de seguridad que buscan datos de los usuarios, la defensa de la privacidad de los usuarios en los tribunales, el apoyo a las políticas a favor de la privacidad, la publicación de informes de transparencia y la notificación a los usuarios cuando el gobierno solicita sus datos.
Este año, Oi se situó en cabeza y empató con TIM en la obtención de las puntuaciones más altas: cada empresa obtuvo pleno crédito en cuatro de las seis categorías. Todas las empresas del informe han recibido la máxima puntuación por oponerse a legislación que atenta contra la privacidad y a las peticiones gubernamentales de datos de los usuarios, excepto Algar, que ha recibido media puntuación. Aunque Brisanet mejoró su posición general y obtuvo la máxima puntuación en esta categoría, fue la empresa que recibió menos puntuación entre sus homólogas, al igual que en el informe del año pasado.
Dado que los proveedores brasileños no han dejado de mejorar la transparencia y la protección de los datos de los clientes a lo largo de los años, en esta edición se han introducido cambios metodológicos para subir el listón a la hora de obtener créditos en algunas categorías. En concreto, la evaluación del cumplimiento de la legislación sobre protección de datos por parte de las empresas se ha ampliado para incluir más requisitos de transparencia sobre el intercambio de datos con terceros. También se han añadido nuevos criterios para medir la transparencia en torno a los derechos de los clientes, la entrega de datos a las autoridades y los protocolos de ciberseguridad.
Por último, InternetLab comprobó qué empresas se pronunciaban públicamente en contra de obligar a los usuarios a someterse a una autenticación por reconocimiento facial para activar sus servicios de telefonía móvil.
Los resultados completos del informe están aquí.
Transparencia de la política de protección de datos: Ventajas e inconvenientes
Casi todas las empresas obtuvieron pleno crédito por informar a los usuarios sobre qué datos se recogen sobre ellos, cuánto tiempo se conserva la información y con quién se comparte. InternetLab observó avances en la forma en que las empresas informan a sus clientes sobre sus datos, especialmente la creación de portales que permiten a los usuarios acceder a las políticas de privacidad y transparencia y presentar reclamaciones sobre sus derechos en virtud de la Ley General de Protección de Datos (LGPD).
Sin embargo, la encuesta reveló deficiencias en los tiempos de respuesta de las empresas a las solicitudes de los usuarios a través de los portales. Según la LGPD, los clientes tienen derecho a acceder a su información personal, asegurarse de su exactitud y solicitar su supresión, entre otras cosas. La mayoría de las empresas no respondían a las solicitudes de los usuarios en el plazo máximo de 15 días que exige la ley. Sólo Claro/NET y TIM cumplían la disposición, según la cual las empresas están obligadas a dar una respuesta clara y completa. Los investigadores de InternetLab que comprobaron las prácticas de las empresas no pudieron obtener ninguna información de Oi en respuesta a las solicitudes que buscaban confirmar si las empresas tenían sus datos personales y, en caso afirmativo, la calidad y cantidad de dichos datos. Algar respondió que no trata ningún dato personal de la cuenta indicada, aunque la solicitud procedía de un cliente de la empresa. En cuanto a Vivo, InternetLab ni siquiera pudo presentar la solicitud debido a problemas técnicos en la aplicación de la empresa.
Por último, Brisanet no ofrece ningún canal en línea para que los no clientes confirmen si la empresa procesa sus datos. Los no clientes pueden tener sus datos personales procesados por un operador de telecomunicaciones, por ejemplo, cuando llaman o reciben llamadas de los clientes de ese operador. Tienen el mismo derecho que los clientes a confirmar si la empresa trata sus datos personales y a acceder a ellos. Pero Brisanet exige a los no clientes que envíen una carta física a la sede de la empresa con copias autenticadas de su DNI y su firma. Aunque las medidas de comprobación son pertinentes para verificar si los datos solicitados corresponden a la persona que hace la petición, la empresa debería ofrecer una alternativa en línea y menos burocrática para todos los usuarios, no sólo para sus clientes.
Directrices policiales y defensa pública de la privacidad de los usuarios
El informe mostró mejoras en dos categorías importantes. Todas las empresas recibieron el máximo reconocimiento por revelar información sobre cómo gestionan las solicitudes de datos de los usuarios por parte de las fuerzas de seguridad, excepto Brisanet, que no recibió ningún reconocimiento. Algar y TIM de nuevo destacaron por publicar un documento específico en el que se detallan sus directrices para el acceso de las fuerzas de seguridad a la información de los usuarios. Oi se unió a ellos por primera vez con directrices sustantivas sobre los tipos de datos que pueden solicitarse, la base jurídica necesaria para obtener datos, qué autoridades competentes pueden solicitarlos y el proceso interno de la empresa para analizar la solicitud antes de entregar la información del usuario a las autoridades. Vivo también ha recibido un reconocimiento parcial por una sección específica en su sitio web sobre las solicitudes gubernamentales.
En cuanto a la defensa de la privacidad de los usuarios ante los tribunales, cinco de las seis empresas, incluida Brisanet, obtuvieron pleno reconocimiento. Algar recibió medio crédito. Todas las empresas, representadas por asociaciones comerciales del sector de las telecomunicaciones como ACEL y TELCOMP, impugnaron ante los tribunales las leyes estatales que facultan a las fuerzas de seguridad para solicitar datos de localización sin una orden judicial previa. Además, Oi, Claro/NET, TIM, Vivo y Brisanet impugnaron directamente las solicitudes gubernamentales de datos de usuarios porque carecían de orden judicial, mostraban una base jurídica insuficiente o iban más allá de las obligaciones legales de las empresas de almacenar datos. Además, las empresas mejoraron sus puntuaciones por adoptar públicamente una postura de apoyo a la privacidad de los usuarios: Oi y TIM recibieron la totalidad del crédito, y Claro/NET, Vivo y Algar, la mitad. Entre otras acciones, todas ellas colaboraron en el lanzamiento de un código de buenas prácticas sobre protección de datos para el sector de las telecomunicaciones, que el grupo comercial Conexis presentó a la Autoridad Nacional de Protección de Datos de Brasil. Como en 2021, Brisanet no recibió ningún crédito en esta categoría.
Las empresas carecen de compromisos para notificar a los usuarios las solicitudes gubernamentales de datos, pero han mejorado en la notificación de cifras
Esta edición reitera la total falta de compromiso público de las empresas para notificar a los usuarios cuando su información se entrega al gobierno. Desde la primera edición, todas las empresas han suspendido en esta categoría. El informe también revela que algunas empresas deben mejorar sus informes de transparencia. Este año, Brisanet y Algar no han revelado datos estadísticos generales sobre las solicitudes gubernamentales de datos de los usuarios. Oi y Claro/NET revelaron estos datos por primera vez. Excepto Vivo, ninguna otra empresa revela el número de clientes afectados por solicitudes gubernamentales. Sin embargo, Vivo no reveló el número de solicitudes rechazadas. Sólo Oi mencionó las solicitudes impugnadas en su informe, afirmando que presentó 18 demandas para impugnar solicitudes que consideraba ilegales en 2021.
Por último, ninguna empresa evaluada publicó una evaluación de impacto sobre la protección de datos.
Evaluación del uso del reconocimiento facial
El uso del reconocimiento facial va en aumento en los proveedores de conexión a Internet, especialmente en las líneas de prepago. Como hemos dicho, el reconocimiento facial representa una inherente amenaza para la privacidad, la justicia social, la libertad de expresión y la seguridad de la información. Desafortunadamente, el informe de InternetLab mostró que había poco compromiso por parte de las empresas para aumentar la protección de la privacidad al implementar el reconocimiento facial como método de verificación, que InternetLab consideró especialmente invasivo para la privacidad. Esto es preocupante porque algunas empresas han estado promoviendo activamente las tecnologías de reconocimiento facial, que pueden tener consecuencias significativas para la privacidad digital en Brasil.
Aunque Oi presta servicios de conectividad para iniciativas que implican el reconocimiento facial en el contexto del fraude bancario y la seguridad pública, la empresa no utiliza la tecnología al registrar usuarios para servicios móviles de prepago, según el informe de InternetLab. TIM, por su parte, afirma que sólo utiliza el reconocimiento facial con el consentimiento de los titulares de las cuentas, y que su uso no es obligatorio como medida de seguridad. Un consentimiento previo, real y significativo es lo mínimo que deben garantizar las empresas cuando vinculan el reconocimiento facial a la prestación de servicios de telecomunicaciones. Este no es el caso cuando ingresar tu rostro es obligatorio para activar tu cuenta de móvil. Las propuestas del Gobierno que obligan a los usuarios a facilitar datos biométricos para utilizar los servicios de telefonía móvil suscitaron gran resistencia de la sociedad civil en México y Paraguay, que logró suspender su aplicación y aprobación definitiva, respectivamente.
Conclusión
En los últimos siete años, los proveedores de internet de Brasil han hecho progresos constantes en transparencia y compromisos para proteger la privacidad de los usuarios. El informe de este año muestra que esta tendencia continuó en 2022. La aprobación de la LGPD ha dado lugar a lo largo de los años a herramientas más sofisticadas y fáciles de usar para que los clientes obtengan información sobre cómo los proveedores están manejando sus datos personales. Pero el informe también muestra que las empresas aún tienen trabajo por hacer para cumplir plenamente con los requisitos de la LGPD y aplicar las mejores prácticas para notificar a los usuarios las transferencias de datos, publicar evaluaciones de impacto de protección de datos e informes de transparencia, y adoptar una postura más firme a favor de la privacidad del usuario cuando se trata de reconocimiento facial. El trabajo de InternetLab forma parte de una serie de informes en América Latina y España adaptados del informe ¿Quién te cubre las espaldas? de la EFF, que durante casi una década ha evaluado las prácticas de las principales empresas tecnológicas mundiales.
