¿Quién defiende tus datos en la red?

quien-defiende-tus-datos-en-la-red

R3D y EFF han presentado el informe “¿Quién defiende tus datos?”, que evalúa a ocho empresas de telecomunicaciones bajo seis parámetros.

El martes 16, la Red en Defensa de los Derechos Digitales (R3D) y la Electronic Frontier Foundation (EFF) presentaron el reporte “¿Quién defiende tus datos?”. Se trata de un esfuerzo inédito en México para evaluar las políticas de privacidad de las principales proveedores de servicios de telecomunicaciones. Esta informe es parte de una serie de adaptaciones en América Latina al reporte “Who has your back?” de la EFF, que se elabora en Estados Unidos desde 2011, y que ya fue replicado hace unas semanas en Colombia con el informe “¿Quién tiene tus datos?”.

El panel que presentó el reporte estuvo compuesto por Luis Fernando García y Carlos Brito de R3D, acompañados por Katitza Rodríguez y Kurt Opsahl de la EFF. Durante la presentación, García explicó que se evaluaron ocho empresas de telecomunicaciones (Axtel, Cablemás, Iusacell, IZZI, Megacable, Movistar, Nextel y Telmex/Telcel) bajo seis parámetros: Google Messenger 2.0 podría superar a WhatsApp

Política de privacidad adecuada: Si hay una política de privacidad clara, detallada y accesible. Esto quiere decir que es fácil acceder a ella en el sitio web y está escrita en un lenguaje no técnico, entendible para los usuarios.
Exige autorización judicial: Si ante una solicitud de datos, la empresa requiere una orden judicial a las autoridades. Se evaluó su respuesta ante peticiones de contenidos de llamadas y de metadatos.

Notifica a los usuarios: Se revisó si la compañía notifica a los usuarios cuando una autoridad solicita acceso a sus datos o cuando son sujetos de vigilancia, así sea durante o posteriormente a la investigación.

Publica un informe de transparencia: Si la empresa emite un informe de transparencia en el que detalle cuántas peticiones de datos se hicieron y qué dependencias las realizaron.

Defiende a los usuarios de medidas de vigilancia abusivas: Si el proveedor de servicios toma acciones legales ante medidas abusivas por parte del gobierno.

Rechaza la vigilancia masiva sin controles y promueve el derecho a la privacidad: Si emite declaraciones públicas criticando este tipo de iniciativas de vigilancia y si abiertamente se posiciona a favor de la privacidad.

El informe

De acuerdo con su desempeño, las organizaciones concedían hasta una estrella de calificación, pudiendo obtener solo la mitad o un cuarto de ella. Al final, de seis estrellas posibles, sólo una empresa (Movistar) consiguió dos estrellas; mientras que dos compañías (Iusacell y Telmex/Telcel) acreditaron 1.75 estrellas en el segundo sitio. En el fondo de la clasificación, Megacable, sólo obtuvo media estrella.

En la presentación, García clarificó algunas de las razones por las que ciertas empresas obtuvieron esos resultados. Por ejemplo, destacó que en el parámetro de política de privacidad adecuada, ninguna empresa cumplió con los requisitos de evaluación. Lo mismo ocurrió con el tercer parámetro (notificar a los usuarios), en el que ni una de las compañías tiene como práctica avisar a sus usuarios si son o han sido sujetos de investigación.

Sobre exigir una orden judicial, el director de R3D destacó que todas protegen el derecho constitucional cuando se refiere a solicitar acceso al contenido de las telecomunicaciones (llamadas, mensajes). Sin embargo, ninguna de las empresas tiene claros los protocolos de acción cuando se trata de solicitudes de metadatos –datos como origen de la llamada, duración, ubicación geográfica–.

Acerca de los reportes de transparencia, Iusacell y Telmex/Telcel cumplen parcialmente al dar cuenta a través de la Asociación Nacional de Telecomunicaciones (Anatel). No obstante, esto es incompleto, ya que no se detalla la procedencia de las solicitudes de datos. Esto quiere decir que no se sabe si provienen de instancias de procuración de justicia, del fisco (por ejemplo, el Sistema de Administración Tributaria) o de otra dependencia. Una omisión grave, considerando que, en un año, las solicitudes de datos a ISP han aumentado de 60 mil a 100 mil.

En el parámetro de defensa en tribunales, Telcel y Iusacell obtuvieron media estrella por haber promovido amparos en contra de los artículos 189 y 190 de la Ley Federal de Telecomunicaciones, que establecen la obligación de los concesionarios de conservar los datos de sus usuarios, así como de colaborar con las autoridades sin necesidad de una orden judicial. Empero, no hay evidencia de que ninguna de las compañías haya desafiado legalmente solicitudes específicas de cooperación.

Finalmente, sobre el rechazo a la vigilancia masiva, el reporte halló que Movistar no sólo ha expuesto públicamente su preocupación sobre el tema, sino que también forma parte del Pacto Mundial. El resto de las empresas –incluida Movistar y excepto Megacable– expresaron al Senado sus preocupaciones por las violaciones a los derechos humanos en la redacción de la Ley Federal de Telecomunicaciones a través de la Anatel.

¿Por qué importa el informe?

El objetivo de “¿Quién defiende tus datos?” no es solamente hacer pública la acción (o inacción) de las empresas ante el manejo adecuado de los datos de sus usuarios; también debe funcionar como un catalizador que abra la conversación con las compañías de telecomunicaciones. Por ejemplo, García refirió que algunas de las empresas ni siquiera habían considerado aspectos como la notificación de usuarios involucrados en investigaciones judiciales.

Katitza Rodríguez y Kurt Opshal, de la Electronic Frontier Foundation, mostraron una visión mucho más global de la importancia de este tipo de informes. Opshal señaló que cuando la EFF inició con “Who has your back?” en 2011, las empresas de tecnologías evaluadas (Amazon, Apple, AT&T, Comcast, Dropbox, Facebook, Google, Microsoft, MySpace, Skype, Twitter, Verizon y Yahoo) obtuvieron puntajes mayormente bajos. Casos como Apple, Dropbox, Facebook, Microsoft y Yahoo apenas obtuvieron una estrella de cuatro en esa ocasión.

Para el informe de 2015, además de añadirse nuevas empresas, las cosas han cambiado. Con base en cinco criterios de evaluación, Apple, Yahoo y Dropbox cumplen completamente; mientras que Facebook y Twitter obtuvieron 4/5. En otros casos, el avance ha sido menor, como Microsoft y Amazon que puntúan 3/5, y otros siguen quedando a deber, como Verizon (dos estrellas) y AT&T (una). En buena parte, estos cambios han sido detonados por el informe de la EFF.

En su participación, Katitza Rodríguez explicó el caso de “¿Dónde están mis datos?” en Colombia, el primer esfuerzo por adaptar “Who has your back?” en América Latina. También aclaró que, aparte de Colombia y México, otras tres asociaciones presentarán iniciativas similares en Perú, Paraguay y Brasil. Cada uno de estos reportes está adaptado a la realidad de cada nación, adecuando los parámetros de evaluación acorde a cada contexto. Facebook se solidariza con Rusia

“El reporte presiona a las empresas a mejorar. Esperemos que el estándar se eleve en la región”, concluyó Rodríguez. La idea es generar un nuevo estándar de buenas prácticas que adopten las empresas en pos de la transparencia, sin que necesariamente sean obligadas por la ley. ¿Es posible? Después de ver los efectos que ha tenido el reporte de la EFF, hay esperanzas de replicarlo en la región. Por lo menos, el primer paso está dado.

Puedes consultar y descargar el informe completo en el sitio web de “¿Quién defiende tus datos?”