Lanzamiento de investigación ¿Quién defiende tus datos?. Segunda Edición

TEDIC
Blog Privacidad

La investigación sobre practicas de transparencia, datos personales y privacidad de las proveedoras de servicios de Internet en Paraguay

En tiempos de la COVID19 el mantenimiento de las prácticas transparentes y compromisos firmes en favor de la privacidad y datos personales son sumamente importantes. Las empresas de telecomunicaciones y de servicios de Internet tienen que demostrar mas que nunca, que sus usuarios y usuarias pueden confiarles información sensible sobre los hábitos digitales y comunicaciones.

El proyecto “Quién defiende tus datos” está inspirado en “Who has your back” de EFF, aunque la metodología difiere de la aplicada en EEUU, ya que la realidad legal de Paraguay es bien diferente a la estadounidense. La investigación fue realizado por Maricarmen Sequera, Luis Pablo Alonzo y Belén Gimenez con la colaboración de Veridiana Velmonti de EFF.

En su segunda edición se encuentra publicada en el la web qdtd.tedic.org/, el proyecto evaluó a las mismas empresas de telefonía y servicios de Internet que se habían evaluado en 2017: COPACO, VOX, PERSONAL, TIGO y CLARO. Se ha excluido a ChacoNet ya que se tomó el criterio de analizar solamente las empresas que tienen un mercado superior a 15.000 clientes a nivel nacional.

Se ha habilitado una tabla de resultados para poder comparar el rendimiento de las empresas en las categorías y criterios de evaluación, basados en: su compromiso público con el cumplimiento de la ley; sus adopciones de buenas prácticas favorables a las personas usuarias de servicio de Internet; su transparencia sobre las prácticas y políticas; la accesibilidad en sus plataformas webs, entre otros.

Cada empresa fue evaluada con base en las 7 categorías señaladas y justificadas a continuación, cuya elaboración tuvo en cuenta los requisitos de la ley vigente en Paraguay y las buenas prácticas internacionales en materia de protección de la privacidad y tratamiento de datos personales. Para esta evaluación, se analizaron los acuerdos de servicio, informes de sostenibilidad y otros documentos que estuvieron disponibles en los sitios web de las empresas hasta el 30 de enero de 2020. También se evaluaron noticias de prensa y medios especializados en la materia.

Con los resultados preliminares en mano, TEDIC contactó con las empresas y solicitó revisión y comentarios sobre los mismos, con especial énfasis en las metodologías y resultados obtenidos hasta enero 2020. Finalmente estos comentarios y opiniones de las empresas fueron ajustados en la conclusión y en los puntajes correspondientes.

Cuadro comparativo general 2020

Si bien es cierto que los proveedores de servicios de Internet paraguayos han avanzado en sus políticas de privacidad y en la participación en foros comprometidos con la promoción de los derechos humanos, aún queda mucho camino por recorrer para dar a los usuarios lo necesario para construir plenamente esta confianza.

Los proveedores de servicios de Internet en Paraguay deberían hacer mayores esfuerzos para ser transparentes en cuanto a sus prácticas y procedimientos, así como para tener compromisos públicos más firmes con sus usuarios, por ejemplo, tomando medidas para notificar a los usuarios sobre las solicitudes de datos del gobierno.

En general, Tigo sigue siendo la empresa mejor clasificada, seguida de Claro y Personal. Copaco y Vox tienen las peores calificaciones. La segunda edición trae dos nuevas categorías que evalúan si las empresas tienen pautas disponibles públicamente para las solicitudes de aplicación de la ley y si sus políticas de privacidad y términos de servicios se proporcionan siguiendo las normas adecuadas de accesibilidad a la web.

Conclusiones

Existe una importante diferencia entre las proveedoras de Internet nacionales y aquellas que son subsidiarias de casas matrices extranjeras. Los resultados de los criterios son cumplidos mayormente por las ISP de capital extranjera debido a la existencia de estándares y prácticas promovidas por las empresas internacionales de telecomunicaciones y sus accionistas en bolsas de valores internacionales. Sin embargo, muchas de sus prácticas no son difundidas en sus portales Webs a nivel nacional.

Asimismo, hay un significativo avance de las ISP Claro y Tigo en los cumplimientos de las buenas prácticas basados en derechos humanos en la presente edición de “Quien defiende tus datos”, en comparación a la investigación de la edición 2017. De acuerdo a los resultados de la investigación se describen las siguientes conclusiones:

1. Políticas de Privacidad

Se destaca una diferencia en los resultados de la publicación “Quién defiende tus datos” edición 2017. Para la actual investigación, se tuvo en cuenta los mismos criterios. Las ISP Tigo y Claro son las empresas que han mejorado sus políticas o aviso de privacidad disponibles en su página principal.

Personal, cuenta con cierta información pero insuficiente para la protección del derecho a la intimidad de los que contratan el servicio de telefonía e Internet. Tampoco se encuentra accesible en su página Web.

COPACO, y Vox no tienen una política o aviso de privacidad disponible en su página principal de Internet, por lo que ninguna ISP con capital del Estado paraguayo cumple con este criterio. La ISP Tigo es la única que cumple con este criterio, sólo ha fallado en informar el tiempo de conservación. Las demás ISP tendrán que hacer el esfuerzo de indicar de manera clara qué in- formación se recaba sobre el usuario y sus comunicaciones, y por cuánto tiempo se conservan los datos personales.

2. Autorización judicial

La Constitución de la República es clara al exigir que las autoridades designadas por las leyes de- ben obtener una autorización judicial antes de obtener acceso al contenido de las comunicaciones. Todas las ISP entrevistadas informaron cumplir este requisito siempre que se refiera a contenidos de las comunicaciones, pero no afirman ese compromiso claramente en sus políticas locales. Eso debe cambiar para que firmen un compromiso público en favor de la privacidad de sus usuarios.

Tigo lo hace de manera pública en el informe global de Millicom sobre solicitudes de datos por autoridades de investigación, pero solamente en inglés y en la página Web de la empresa global. Sin embargo, es importante destacar a lo que se refiere a metadatos, todas las ISP informaron que muchas veces entregan esta información sin orden judicial, sólo con el requerimiento fiscal denominado por el código procesal penal “pedido de información”. Este mecanismo fue aceptado por la Corte Suprema sin tener en cuenta las sentencias internacionales vinculantes a nuestra jurisdicción nacional que indican la autoridad judicial como único mecanismo posible.

3. Notificación

En este criterio se encontró una situación compleja; las ISP entrevistadas no reconocen el rol central que juegan en la defensa de la intimidad de sus usuarios. Como no existen avisos de privacidad, no hay información sobre la forma de entrega de la información personal a las instituciones autorizadas por el Estado, ni existen detalles sobre el procedimiento que se debe emplear cuando esto sucede.

4. Políticas de promoción y defensa de los derechos humanos

Únicamente la empresa Claro – América Móvil, fue detectada con el compromiso público de re- conocimiento de sus responsabilidades empresariales en materia de derechos humanos y han realizado difusiones en temas de seguridad y privacidad enfocados en datos personales.

Asimismo, las ISP Claro y Tigo cuentan con una alta representación en instancias Internacionales sobre políticas de derechos humanos como US Global Compact y su participación en el capítulo Paraguay. Se resalta la participación de Tigo – a través de Millicom en Telecommunications Industry Dialogue. Y se destaca que las ISP Claro, Personal y Tigo forma parte del grupo GSMA

No encontramos evidencia de que cualquier de las ISP investigadas haya defendido la privacidad de sus usuarios en los tribunales, resistiendo a solicitudes ilegales o excesivas. En lo que respecta a la participación en el Foro de Gobernanza de Internet, solo Vox ha cumplido con este criterio.

5. Transparencia

Únicamente Tigo a través del informe anual de Millicom en su capítulo sobre “Law enforcement requests in 2019 – South America” publica un informe de solicitudes de datos y metadatos de los usuarios solicitados por las autoridades judiciales. No obstante, este informe sólo se encuentra disponible en inglés y no ofrece suficiente información que permita saber el volumen, origen, motivos y alcance de solicitudes por país, sino sólo de manera general. Tampoco el número e identidad de las autoridades que solicitan a acceder a dichos datos por lo que no se cumple el segundo punto del mismo criterio para completar la estrella.

Lamentablemente las demás ISP evaluadas no publicaron informe individual de transparencia respecto de solicitudes gubernamentales de intervención de comunicaciones y de acceso a datos de usuario y sus comunicaciones.

6. Guías para requerimiento de información personal

Tigo es la única ISP que informa contar con procedimiento o protocolos orientados a las fuerzas de seguridad y otros organismos gubernamentales que expliquen cómo deben solicitar la información personal de los clientes, cuáles son las condiciones para la entrega de dicha información personal de acuerdo con el marco legal paraguayo. Sin embargo, la empresa los mantiene fuera del conocimiento de sus usuarios y del público en general.

Las ISP tampoco identifican personas específicas como responsables a los cuales se puede contactar. O simplemente registran datos genéricos, en particular emails institucionales.

7. Accesibilidad

De las 5 IPS analizadas, las ISP Claro, Personal y Tigo cuentan con contenidos en sus sitio Web de la ISP compatibles con las herramientas de usuario actuales (diferentes navegadores, tecnologías de apoyo y otros agentes de usuario).

Unicamente la ISP Claro cuenta con una interfaz de sitio Web que cuenta con información perceptible y con alternativas equivalentes para mostrar contenido, propósito o función. Y la ISP Tigo es la única que califica en el criterio sobre si el sitio Web con información comprensible, que aparece y opera de forma predecible.

Recomendaciones

Políticas de Privacidad

Las ISP deben trabajar en la transparencia de tratamiento de datos de sus clientes. La publicación de sus políticas sobre privacidad y datos personales deben ofrecer claridad a sus usuarios. Estos avisos de privacidad y tratamiento de datos forman parte de los estándares de economía digital que promueven los reportes de la OECD –desde este 2017, Paraguay es miembro oficial de esta organización. La adecuaciones mínimas a estas normas de buenas prácticas visibilizaría a nivel regional y mundial la responsabilidad y compromiso de las empresas locales en la calidad de la conectividad de los habitantes del territorio paraguayo.

Autorización Judicial

Establecer explícitamente este requisito en el aviso de privacidad y tratamiento de datos personales para la colaboración con autoridades de seguridad y justicia que implique la intervención del contenido de comunicaciones privadas o la entrega de metadatos (datos que identifiquen al usuario y detalles de su comunicación, como los registros de conexión).

Asimismo, es deseable que todas las ISP incluyan en sus avisos detalles del tratamiento que realizan sobre los metadatos almacenados. Se ha demostrado —por jurisprudencias internacionales vinculantes a nuestro sistema judicial— que los metadatos pueden revelar aspectos sensibles de la vida privada de las personas.

Notificaciones

Es deseable que las ISP tengan una política pública de notificación a usuarios afectados por medidas de vigilancia. Si bien, pueden existir impedimentos legales para efectuar la notificación de manera previa o simultánea a la medida de vigilancia –por ejemplo por poner en riesgo la efectividad de una investigación o comprometer físicamente la integridad de una persona– no se detectó una política de notificación para cuando la medida se haya agotado o haya transcurrido un periodo de tiempo razonable después de la conclusión.

Políticas de promoción y defensa de los derechos humanos

Es deseable que las ISP formen parte de foros internacional y nacionales sobre los asuntos de Internet (Foro de Gobernanza de Internet) y participen en mecanismos para afrontar sus responsabilidades en materia de derechos humanos como US Global Compact (Pacto global – capítulo nacional o internacional) GSMA y Telecommunications Industry Dialogue. Asimismo, es clave la participación y opinión pública sobre acontecimientos que involucren a Internet para mejorar la transparencia en el cabildeo político, intereses que afectan a las personas usuarias.

Se recomienda que las ISP realicen de manera proactiva actividades, jornadas, publicaciones, campañas sobre la importancia de seguridad digital, derechos a la privacidad y protección de datos personales de sus usuarios y usuarias.

Se sugiere a las ISP a realizar litigios estratégicos en el Poder Judicial para fortalecer y mejorar las interpretaciones legales que se dan en artículos de normativas vigentes ambiguas o confusas que tienen que ver con los derechos humanos en Internet.

Transparencia

El informe de transparencia es un elemento positivo para el resguardo de los derechos humanos. Conocer el número global de solicitudes realizadas por las autoridades de persecución penal, estadísticas respecto a las solicitudes realizas por otras autoridades, identificación de las instituciones solicitantes, tipos de solicitudes y razones que fueron otorgadas para hacer la solicitud, son claves para hacer un seguimiento de la vigilancia estatal de las comunicaciones. Un ejemplo a seguir es TELIA Company de Suecia y Finlandia, que además de clasificar y divulgar los datos de interceptación legal de datos de sus usuarios, también publica informes de sostenibilidad donde expone todos los casos en que ellos defendieron la privacidad y otros derechos humanos de sus usuarios.

Es importante recalcar que empresas intermediarias como Facebook, Google, Twitter divulgan en sus páginas web informes de transparencia donde se especifican las solicitudes de los gobiernos.

Guías para requerimiento de información personal

Será necesario que cada ISP elabore políticas públicamente disponible que establezca protoco- los o guías sobre la actitud respecto a solicitudes de información de organismos gubernamentales o fuerzas de seguridad.

Accesibilidad

Se sugiere utilizar la guía de principios de la iniciativa Accesibilidad de la Web (WAI), parte del W3C (World Wide Web Consortium) para disponibilizar el contenido a través de un diseño e infraestructura que funcione para todos los usuarios, sin importar el hardware, software, idioma, ubicación, habilidad cognitiva o sensorial.

Descargá la investigación aquí