Los proveedores de telecomunicaciones argentinos han avanzado en su compromiso de proteger la privacidad de los datos de los usuarios, pero los avances son desiguales: informan mejor sobre el tratamiento de los datos y los derechos de los usuarios, pero siguen siendo deficientes a la hora de revelar cómo gestionan las peticiones gubernamentales de datos de los usuarios, según un nuevo informe de la organización de defensa de los derechos digitales ADC.
En esta tercera edición del informe de Argentina, la mayoría de las mejoras se refieren a las políticas de privacidad de los ISP. La ADC ha aumentado los parámetros de evaluación en esta categoría para seguir principios cruciales de protección de datos. Entre otras cosas, el informe comprueba si los ISP se comprometen a recopilar datos únicamente con fines específicos, explícitos y lícitos, y si se ciñen a dichos fines al procesar los datos de los usuarios; si garantizan que los datos que procesan son verdaderos, adecuados, pertinentes y no excesivos en relación con los fines de la recopilación; y si adoptan medidas de seguridad para proteger los datos de los usuarios. Todas las empresas recibieron un reconocimiento por sus políticas de privacidad, mientras que ninguna de ellas obtuvo más de media estrella.
Una vez más, Movistar lidera el ranking, con tres estrellas y media sobre cinco. La empresa casi ha duplicado su puntuación en comparación con el informe de 2019, y está muy por delante de IPLAN, que ocupa el segundo puesto y ha obtenido aproximadamente dos estrellas. IPLAN fue la única empresa que se comprometió con los investigadores de ADC en la última edición. En aquel entonces, IPLAN, la empresa más pequeña en el mercado argentino, estaba dando sus primeros pasos para ajustar adecuadamente sus políticas y prácticas de protección de datos. Las mejoras en la política de IPLAN muestran la disposición de la empresa a recibir críticas y recomendaciones, destaca el informe de la ADC. Arlink, otro pequeño ISP local que aparece por primera vez en esta nueva edición, quedó en último lugar, mientras que Claro, un proveedor mucho más grande, quedó casi igual de mal.
La nueva edición de ¿Quién Defiende Tus Datos? (evaluó a Movistar (Telefónica), Claro (América Móvil/Carso), DirecTV, Personal (Grupo Telecom), Telecentro, IPLAN y Arlink. Mientras que Personal y DirecTV no lograron mejorar sus puntajes con respecto a la última edición, todos los demás presentados en 2019 mejoraron los suyos, al menos un poco.
La ADC evaluó a cada empresa en cinco categorías: el grado de exhaustividad de sus políticas de privacidad y si se comprometen a notificar a los usuarios cualquier cambio; si publican informes de transparencia y qué información abarcan; si se comprometen a notificar a los usuarios las solicitudes gubernamentales de datos; si revelan las directrices que deben seguir las autoridades para solicitar datos de los usuarios (es decir, las directrices de aplicación de la ley) y si los ISP se comprometen a exigir una orden judicial antes de entregar dichos datos; y sus compromisos y prácticas políticas en materia de derechos humanos y defensa de la privacidad de los datos de los usuarios en los tribunales y en los debates políticos.
Aquí puede obtener más información sobre las principales conclusiones.
Políticas de privacidad e información sobre los derechos de los usuarios
Este año, la ADC evaluó las políticas de privacidad de los ISP en relación con principios clave de protección de datos, como la finalidad, la seguridad y la exactitud, y el deber de informar. Como siempre, el informe también comprobó lo fácil que es para los usuarios encontrar las políticas de privacidad y, este año, reconoció los esfuerzos de las empresas por concentrar toda la información relevante sobre privacidad de datos en los sitios web locales de los ISP. Este es un parámetro mínimo, pero aun así vemos problemas en otros informes de ¿Quién Defiende Tus Datos?, en la región, como Panamá y Nicaragua, e incluso en esta edición de Argentina, como se puede leer a continuación.
Un parámetro clave es si los proveedores informan a los usuarios sobre cómo pueden ejercer sus derechos sobre los datos, en particular su derecho a acceder a su información personal en las bases de datos de las empresas. Todas las empresas evaluadas informan a los usuarios sobre sus derechos de datos, pero no sin altibajos. Arlink exige una carta física notariada para dar acceso a los usuarios a sus datos personales, un obstáculo burocrático e innecesario. La preocupación y responsabilidad de las empresas por comprobar la identidad de la persona solicitante no debe suponer costes para los usuarios. Claro proporciona un formulario, que no está disponible directamente en el sitio web local de la empresa y, según ADC, requiere una cantidad excesiva de datos del usuario en comparación con lo estipulado en la ley de protección de datos de Argentina. En el lado positivo, IPLAN ofrece una explicación detallada sobre cómo los usuarios pueden ejercer sus derechos y proporciona un formulario estándar que los usuarios pueden enviar por correo electrónico o físico para acceder a sus datos personales. El formulario permite a los usuarios elegir si también quieren acceder a las grabaciones de vigilancia que IPLAN pueda tener sobre ellos.
Transparencia y garantías de privacidad ante las demandas de datos del Gobierno
La ADC señala los malos resultados de las empresas a la hora de revelar información significativa sobre las demandas gubernamentales de datos que reciben y cómo gestionan dichas solicitudes. Telefónica-Movistar es la única que va más allá de las declaraciones genéricas y pone a disposición en el sitio web local un informe de transparencia global detallado por país, que incluye datos agregados sobre las peticiones gubernamentales de datos de los usuarios. América Móvil, matriz de Claro, también publica un informe de transparencia global que cubre Argentina. Pero no contiene información estadística de solicitudes gubernamentales por país. Además, el propio informe de transparencia no está disponible directamente ni en el sitio web de Claro Argentina ni en el de América Móvil. La ADC solo pudo encontrar un enlace al informe en la Memoria de Sostenibilidad de América Móvil, de 132 páginas (te damos una mano, está en la página 51).
Los ISP tampoco demuestran un compromiso sólido para defender la privacidad de los usuarios ante solicitudes gubernamentales de datos desproporcionadas que incumplen las normas constitucionales y de derechos humanos. "[S]on varias las compañías que se refieren a este aspecto explicando que cumplir sin más con las solicitudes gubernamentales es parte de sus obligaciones, dando a entender que no están facultadas para establecer requisitos que prevengan excesos [de las peticiones gubernamentales]", señala la ADC.
Esto no está bien. En cuanto a la responsabilidad de las empresas de garantizar que sus prácticas respetan los derechos humanos y las libertades fundamentales, incluido el derecho a la intimidad, el primer informe del Alto Comisionado de las Naciones Unidas para los Derechos Humanos (ACNUDH) sobre el derecho a la intimidad en la era digital subraya que se espera que las empresas traten de respetar los principios de los derechos humanos en la mayor medida posible. Deben mantener este compromiso cuando se enfrenten a exigencias gubernamentales contrarias a las normas internacionales de derechos humanos, y ser capaces de demostrar sus continuos esfuerzos en este sentido, dice el informe.
Compromisos y prácticas de la política de derechos humanos
Teniendo en cuenta las normas establecidas en los Principios Rectores sobre las Empresas y los Derechos Humanos de la ONU, la nueva edición comprobó qué proveedores de servicios de Internet tienen compromisos claros de política pública de respeto de los derechos humanos. De las seis empresas evaluadas, sólo IPLAN y Telefónica-Movistar recibieron crédito por tener alguna declaración pública en ese sentido. Las políticas de Movistar son mucho más completas que las de IPLAN. Telefónica-Movistar también ha ideado y publicado un Modelo de Gobernanza de Protección de Datos Personales basado principalmente en el cumplimiento del GDPR de la UE, y es el único ISP destacado que informó sobre cómo la empresa realiza periódicamente evaluaciones de impacto como parte de su diligencia debida en materia de derechos humanos.