Protección de datos: empresas de telefonía en México no pasan la prueba

Protección de datos: empresas de telefonía en México no pasan la prueba

Katitza Rodríguez, directora internacional de derechos de la EFF, señaló que la industria de las telecomunicaciones en México "aún no ha alcanzado los estándares globales para salvaguardar los datos de los usuarios". AT&T obtuvo la mejor calificación en un estudio realizado por R3D y la EFF.

0
COMPARTIR
Las teleoperadoras reprueban en su evaluación sobre protección de datos. Foto credit: FaceMePLS/Flickr

Hace algunos días se desató el pandemónium con Evernote debido a la mala forma en la que comunicaron cambios en su política de privacidad. Tras polémicas y amenazas de usuarios, la empresa organización decidió suspender la aplicación de esas modificaciones ya que se daba a entender que la empresa no se preocupaba por la privacidad y protección de los datos de sus usuarios. Por otra parte, Uber ha sido objeto de una demanda impuesta por un extrabajador que le acusa de hacer uso indebido de las información de sus usuarios. Ward Spangenberg, ex encargado de la seguridad de la información en Uber, señala en una demanda que los empleados de la empresa pueden revisar a su antojo información sensible de los usuarios, como las rutas de sus viajes, y no tienen límites a la hora de buscar la información de un usuario en cuestión, como famosos o ex parejas. Estos temas han ocasionado resquemor entre usuarios en todo el mundo, pero, ¿saben los mexicanos cómo protegen su privacidad las empresas de telefonía, que suelen manejar una gran base de datos personales en México?

Un estudio realizado por la Red en Defensa de los Derechos Digitales (R3D) en colaboración con la Electronic Frontier Foundation (EFF), y publicado este mes de diciembre, ha analizado el tratamiento de datos, la colaboración con las autoridades y el nivel de información sobre privacidad que ofrecen las principales empresas de telefonía en México y encontró un panorama que deja mucho que desear.

El informe toma en cuenta los estándares de protección de la privacidad establecidos en derecho constitucional mexicano, que incluye así mismo los tratados internacionales firmados en materia de derechos humanos. También incorpora los dictámenes de la Suprema Corte de Justiación de la Nación, la corte Interamericana de Derechos Humanos, y la Resolución 66/167 de la Asamblea General de las Naciones Unidas.

La R3D analizó seis parámetros claves: Política de privacidad, autorización judicial, notificación al usuario, transparencia, compromiso con los derechos humanos y derecho del usuario al acceso de sus datos. En cada una de esas secciones se evaluaron diferentes aspectos intrínsecos a la naturaleza del parámetro, cuyo cumplimiento o no por parte de la teleoperadora le arrojaba cierta calificación.

R3D evaluó ocho empresas de telefonía, AT&T, Axtel, Izzi, Megacable, Movistar, Telcel, Telmex y TotalPlay, y en término generales casi todas las empresas salieron reprobadas. Sólo dos empresas (Megacable y Movistar) superaron el 20% del examen, y una sola (AT&T) logró superar el 60%.  El resto de los jugadores estuvieron por debajo del 15%, algunas incluso obtuvieron un 0% (Total Play e Izzi) de la evaluación.

RD3 Informe
Calificación general de las empresas evaluadas en materia de privacidad. Fuente: R3D

Política de privacidad

Las ocho empresas evaluadas exponen en sus páginas web su Política de Privacidad sin embargo solo AT&T y Movistar expresan de forma clara la información que recopilan sobre el usuario. Por otra parte, ninguna de las operadoras explica durante cuánto tiempo conservan los datos personales -el artículo 190, fracción II de la Ley Federal de Telecomunicaciones y Radiodifusión obliga a las compañías de telecomunicaciones a conservar por un periodo de dos años, datos sobre las comunicaciones de todos los usuarios.

AT&T, Megacable y Movistar también tienen una política sobre el procedimiento que se realiza en caso de que la empresa tenga colaborar con las autoridades en casos de seguridad o de justicias y Axtel informa a las autoridades sobre el contacto que deben realizar en caso de investigaciones. Sin embargo, sólo la empresa estadounidense AT&T explica los requerimientos legales y documentos que las autoridades deben entregar para ellos entregar datos de usuarios.

Ninguna de las anteriores notifica a sus usuarios sobre modificaciones a los avisos de privacidad, por lo que el cliente, si quiere enterarse, debe visitar de forma periódicas las páginas web de las compañías. Tampoco publican versiones anteriores de las políticas de privacidad o los cambios realizados. Esto llama la atención, porque, por ejemplo, el caos comunicacional generado en Evernote se debió al anuncio de los cambios que harían a su política de privacidad. Es decir, las modificaciones no se habían hecho pero los usuarios estaban siendo informados con anticipación, razón por la que pudieron criticar y exigir.

Colaboración con la justicia: órdenes judiciales

Desde el punto de vista constitucional, explican en el informe, la vigilancia e intromisión en la privacidad por parte de las autoridades está justificada en algunos casos. Las empresas, cuando las autoridades se lo exijan, deben colaborar con la justicia ya que incluso se pueden enfrentar a sanciones económicas. Pero para que las operadoras colaboren con las autoridades debe existir una orden judicial. Solo AT&T y Telmex establecen en su política que debe existir dicho requisito ante los casos de intervención de comunicaciones privadas.

Los metadatos de las comunicaciones también están protegidos según un fallo de la Segunda Sala de la Suprema Corte de Justicia de la Nación, por lo tanto las autoridades también deberían mostrar una orden judicial en caso de obtener estos metadatos por parte de las operadoras, pero ninguna de las evaluadas lo estipula.

Las empresas, aunque no especifican en su política esto, sí han rechazado peticiones de las autoridades por falta de requisitos legales, esto según los informes entregados por algunas de las operadoras al Instituto Federal de Telecomunicaciones. Durante el primer trimestre de 2016

AT&T rechazó el 46.6% de las 5,503 solicitudes de acceso a datos de usuarios, Megacable el 63.55% de las 115 solicitudes y Movistar rechazó el 7.9% de 4,341 solicitudes totales. R3D alerta en su informe que Telcel, la operadora que más solicitudes recibió (27,672) no rechazó ninguna en el primer trimestre de 2016. Axtel tampoco rechazó aunque el informe no especifica cuántas recibió. De IZZI, Telmex y Total Play no existen registros, y según R3D, no respondieron sobre el tema de cara al informe. 

Katitza Rodríguez, directora internacional de derechos de la EFF, señaló en un comunicado que la industria de las telecomunicaciones en México “aún no ha alcanzado los estándares globales para salvaguardar los datos de los usuarios de las demandas injustificadas de acceso y retención de datos”. Y se mostró preocupada ante la falta de esfuerzo de empresas tan grandes como Telmex y Telcel, que “no llegan a su máximo potencial”. “Tuvieron todo un año de preparación para su inclusión en el ¿Quién defiende mis datos? Pero no mejoraron significativamente su apoyo a la privacidad y seguridad de sus usuarios”, escribió Rodríguez.

Notificación y Transparencia

Ninguna de la empresas tiene mecanismos para informar a un cliente que sus datos han sido entregados a las autoridades. Se entiende que en la mayoría de los casos esta información no se puede compartir en tiempo real porque podría obstaculizar la investigación policial o poner en peligro la integridad de otras personas. Pero lo que echan en falta desde la R3D es que no existen ningún tipo de aviso o información por parte de las operadoras al finalizar la investigación. Todas reprueban en este apartado.

En cuanto a transparencia, México es un país con muchos actores (empresas, entidades) herméticos, sin embargo hay muchas organizaciones e institutos que apelan por exponer al público informes periódicos sobre el estado de diversos sectores de negocio. El Instituto Federal de Telecomunicaciones, por ejemplo, tiene registros de que AT&T, AXTEL, Megacable, Telcel y Movistar enviaron sus informes semestrales sobre el registro de datos y localización geográfica en tiempo real, según lo estipulado en el Lineamiento Décimo Octavo de los Lineamientos de Colaboración en Materia de Seguridad y Justicia.

Transparencia
Así fueron calificadas en la categoría de transparencia. Fuente: R3D

Derechos humanos y acceso a datos

R3D valora de forma positiva que AT&T, Movistar, Telcel y Telmex tengan un compromiso público por reconocer sus responsabilidades empresariales en cuanto a derechos humanos, entre ellos el de la privacidad. Sin embargo, solo AT&T y Movistar forman parte de una asociación que impulsa los derechos de privacidad en el sector de las telecomunicaciones (Telecommunications Industry Dialogue).

En cuanto al acceso de datos -un usuario tiene derecho al acceso de sus datos personales almacenados por empresas- el informe solo se enfoca en los metadatos de las comunicaciones (origen, destino, duración, fecha, hora y ubicación de las comunicaciones. AT&T, Movistar y Telcel se negaron a entregar este contenido a R3D, incluso existiendo una resolución judicial que establece que los metadatos son recabados por las compañías de telecomunicaciones son datos personales, y que por lo tanto deberían entregarlos al usuario que los solicite.

Rodríguez, de la EFF, señala que a TotalPlay e Izzi “les hace falta mucho trabajo para demostrar su compromiso con sus clientes”, algo que queda en evidencia en este informe, ya que han sido incapaces de obtener alguna valoración positiva.

Esto es decepcionante, pero somos optimistas respecto a que estas empresas considerarán el informe de R3D como una llamada de atención y se pondrán de pie para respaldar a sus usuarios en 2017″, dijo Rodríguez quien también reconoce que los cambios en este tipo de prácticas suelen requerir tiempo.

Notificación
Todas las empresas consultadas reprobaron en la notificación a los usuarios. Fuente: R3D