¿Cómo reaccionan las empresas de telecomunicaciones ante las medidas de vigilancia? ¿De qué forma protegen (o no) tus datos ante una solicitud por parte de las autoridades? Las medidas de vigilancia pueden representar un grave riesgo para el derecho a la privacidad de las personas. En este contexto, las empresas deben adoptar políticas adecuadas de respeto y protección de los derechos humanos de sus clientes, y actuar con la debida diligencia para impedir ser cómplices de violaciones a estos derechos.

Para evaluar la forma en que las empresas actúan ante estas circunstancias, elaboramos el reporte ¿Quién defiende tus datos? [PDF], el cual considera seis criterios principales:

Política de privacidad: Este documento es determinante en la obtención de un consentimiento informado sobre el tratamiento de datos personales. En particular, este instrumento ofrece una oportunidad para informar de manera clara a los usuarios sobre sus expectativas. La política de privacidad debe establecer claramente qué información es obtenida y conservada, sea el contenido o metadatos de las comunicaciones; bajo qué circunstancias y por cuánto tiempo se conservan los datos.

Autorización judicial: Las empresas deben exigirles una autorización judicial previa o inmediata a las empresas que solicitan información de sus clientes; de lo contrario, estarían incumpliendo con sus obligaciones de derechos humanos.

Las empresas deben exigirles una autorización judicial previa o inmediata a las empresas que solicitan información de sus clientes; de lo contrario, estarían incumpliendo con sus obligaciones de derechos humanos. Notificación al usuario: El usuario afectado por una medida de vigilancia debe ser notificado. Aunque esto no ocurra de manera inmediata, dicha notificación debería llevarse a cabo una vez que la vigilancia ha cesado y ha transcurrido el tiempo estrictamente necesario para que el propósito legítimo de la vigilancia no sea puesto en riesgo. Por ello, las empresas que prestan servicios de telecomunicaciones deben intentar establecer una política de notificación a los usuarios.

El usuario afectado por una medida de vigilancia debe ser notificado. Aunque esto no ocurra de manera inmediata, dicha notificación debería llevarse a cabo una vez que la vigilancia ha cesado y ha transcurrido el tiempo estrictamente necesario para que el propósito legítimo de la vigilancia no sea puesto en riesgo. Por ello, las empresas que prestan servicios de telecomunicaciones deben intentar establecer una política de notificación a los usuarios. Transparencia: Las empresas tienen la responsabilidad de emitir reportes de transparencia donde proporcionen suficiente información para evaluar el contenido y alcance, de las medidas de vigilancia de comunicaciones por parte de autoridades, así como el número de solicitudes recibidas y cumplidas por tipo de medida, por autoridad y por motivo o fundamento legal.

Las empresas tienen la responsabilidad de emitir reportes de transparencia donde proporcionen suficiente información para evaluar el contenido y alcance, de las medidas de vigilancia de comunicaciones por parte de autoridades, así como el número de solicitudes recibidas y cumplidas por tipo de medida, por autoridad y por motivo o fundamento legal. Compromiso con los Derechos Humanos: Las empresas son, en ocasiones, la única instancia que puede tomar acciones para defender a los usuarios ante medidas de vigilancia. Estas medidas pueden ser acciones de incidencia legislativa o regulatoria en favor de la privacidad de los usuarios, o defender directamente a sus clientes antes los tribunales ante una solicitud abusiva.

Las personas tenemos derecho a conocer los datos sobre nuestras comunicaciones que son conservados por las compañías que nos prestan servicios como el de telefonía e Internet. Las empresas deben garantizar el derecho de toda persona a conocer que datos de comunicaciones son recolectados y conservados por la compañía que le presta servicios de telecomunicaciones.

La evaluación del desempeño de las empresas presentes en el reporte son medidas con base en los criterios de evaluación, y representadas mediante baterías de acuerdo con la tabla siguiente:

Empresas evaluadas

Resultados

Política de privacidad



AT&T, Axtel, IZZI, Megacable, Movistar, Telcel, Telmex y Total Play tienen una política o aviso de privacidad disponible en su página principal de Internet. Sin embargo, únicamente AT&T y Movistar indican de manera clara qué información se recaba sobre el usuario y sus comunicaciones. Ninguna compañía indica por cuánto tiempo se conservan los datos personales.

AT&T, Megacable y Movistar cuentan con una política sobre el procedimiento para la colaboración con autoridades en materia de seguridad y justicia. No obstante lo anterior, únicamente AT&T detalla las categorías de datos, los tipos de requerimientos legales y los requisitos que las autoridades deben cumplir para que la empresa entregue datos de usuarios.

Ninguna de las compañías notifica directamente a los usuarios cuando realiza modificaciones al aviso de privacidad, sino que se impone la carga al usuario para revisar periódicamente el sitio de Internet. Ninguna empresa mantiene accesibles versiones previas de las políticas en cuestión ni explican en qué han consistido los cambios a lo largo del tiempo

Autorización judicial



Únicamente AT&T y Telmex establecen explícitamente el requisito de la autorización judicial para la colaboración con autoridades de seguridad y justicia que implique la intervención del contenido de comunicaciones privadas. Aunque la evaluación no encontró que alguna de las empresas evaluadas hiciera pública su política de exigir la autorización judicial federal cuando le son solicitados metadatos de comunicaciones, se ha detectado que AT&T, Megacable y Movistar han rechazado solicitudes de acceso a datos de usuarios por no cumplir con los requisitos legales.

De acuerdo con el Instituto Federal de Telecomunicaciones, en el primer semestre de 2016, AT&T rechazó 46.6% de las 5503 solicitudes de acceso a datos de usuarios; Megacable, 63.55% de las 115 solicitudes que recibió, y Movistar rechazó 7.9% de 4341 solicitudes totales. En contraste, Axtel y Telcel no rechazaron ninguna solicitud. Lo anterior es particularmente preocupante, en tanto Telcel fue la compañía que recibió más solicitudes con 27672 en el primer semestre de 2016.

Notificación al usuario

No se encontró que alguna empresa evaluada tenga una política pública de notificación a usuarios afectados por medidas de vigilancia. Tampoco se detectó que alguna empresa haya combatido legalmente algún impedimento legal para efectuar la notificación ni que alguna empresa haya promovido el establecimiento de mecanismos de notificación a usuarios ante el Congreso o el Instituto Federal de Telecomunicaciones.

Transparencia

Únicamente AT&T publicó un informe individual de transparencia respecto de solicitudes gubernamentales de intervención de comunicaciones y de acceso a datos de usuarios y sus comunicaciones. Sin embargo, este reporte se encuentra disponible únicamente en inglés y no ofrece suficiente información que permita saber el volumen, origen, motivos y alcance de solicitudes, ni el número e identidad de las autoridades autoridades que solicitan a acceder a datos de comunicaciones de usuarios.

Por su parte, el Instituto Federal de Telecomunicaciones reportó que AT&T, AXTEL, Megacable, Telcel y Movistar sí cumplieron con la obligación de enviar un informe semestral relativo al número de requerimientos de localización geográfica en tiempo real y de registro de datos realizados

Compromiso con los derechos humanos

Se detectó evidencia de que AT&T interpuso recursos judiciales en contra de solicitudes ilegales o abusivas de acceso a datos de usuarios. Así mismo, AT&T, Movistar y las empresas de América Móvil (Telcel y Telmex) cuentan con un compromiso político público de reconocimiento de sus responsabilidades empresariales en materia de derechos humanos, incluyendo el derecho a la privacidad.

En el periodo de evaluación del reporte no se detectó que las compañías hayan llevado a cabo acciones de incidencia legislativa o ante otros entes regulatorios en defensa del derecho a la privacidad y/o la protección de los datos personales de sus usuarios. Solo AT&T y Movistar forman parte de mecanismos para afrontar sus responsabilidades en materia de derechos humanos ya que ambas participan en el Diálogo de la Industria de las Telecomunicaciones (Telecommunications Industry Dialogue).

Derecho de acceso a tus datos

R3D solicitó a AT&T, Movistar y Telcel, el acceso a sus metadatos de comunicaciones conservados por esas empresas, sin embargo, ninguna de ellas accedió a entregar la información.

Después de que R3D interpusiera un procedimiento de protección de derechos ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), se resolvió en todos los casos que los metadatos recabados por las compañías proveedoras de servicios de telecomunicaciones son datos personales, por lo que AT&T, Movistar y Telcel deben entregarlos a los usuarios que se lo soliciten.

Dado que AT&T, Movistar y Telcel no garantizaron el derecho de acceso a datos de usuarios a sus datos de comunicaciones conservados por dichas empresas, obtuvieron una valoración negativa en este parámetro.

Descarga aquí el reporte completo ¿Quién defiende tus datos? [PDF]