La Fundación Karisma - la principal organización colombiana de derechos digitales - ha publicado durante 2016 el informe ¿Dónde están mis datos?, Que evalúa hasta que grado las compañías de telecomunicaciones colombianas protegen la privacidad de sus clientes.
Este segundo informe anual de Karisma examina las políticas públicas de transparencia, protección de datos, privacidad y libre expresión de cinco de las principales empresas de telecomunicaciones de Colombia: Claro, Tigo-UNE, Telefónica-Movistar, ETB (Empresa de Telecomunicaciones de Bogotá) y DirecTV.
El informe muestra que las empresas colombianas de telecomunicaciones aún llegan a cumplir con las mejores prácticas de la industria de la tecnología relacionadas con la información sobre privacidad y transparencia. No obstante, dos miembros clave de la industria de telecomunicaciones de Colombia - ETB y Telefónica-Movistar - han mejorado sus prácticas, con ETB a la cabeza.
ETB no sólo obtuvo el mejor resultado de las empresas evaluadas, también implementó las mejoras más significativas en sus prácticas en relación al 2015. Aplaudimos los compromisos de ETB e instamos a la empresa a adoptar todas las normas recomendadas el próximo año. Sin embargo, todas las empresas todavía tienen un largo camino por recorrer, y las otras empresas corren el riesgo de rezagarse.
Telefónica-Movistar también ha hecho cambios positivos, y ahora está empatada con DirecTV por el segundo lugar en el informe de este año. Otras dos grandes empresas de telecomunicaciones; - Claro y UNE – arrojaron resultados especialmente pobres, rezagándose respecto a sus competidores en cuanto a protección de sus consumidores.
El Contexto
Las naciones que han atravesado largos conflictos tienen una oportunidad importante para examinar sus compromisos con los derechos humanos. A medida que Colombia transita su camino hacia el fin un proceso de guerra civil e insurgencia que abarcó décadas, se enfrenta a muchas interrogantes sobre su futuro y los peajes institucionales y sociales que los conflictos han producido. Al mismo tiempo, las revelaciones de Edward Snowden han ilustrado las maneras en que las empresas de tecnología pueden estar a la vanguardia cuando se trata de defender los datos y la privacidad de los usuarios: a veces protegen estos derechos, a veces no lo hacen.
Es por eso que, en respuesta a una vaga legislación de privacidad electrónica de Colombia y a la ausencia de medidas de rendición de cuentas, la Fundación Karisma y la EFF se han dirigido a las empresas de telecomunicaciones colombianas para animarlas a adoptar, voluntariamente, las políticas más fuertes posibles para proteger los derechos de sus usuarios.
El informe de Karisma clasificó las políticas y prácticas de las compañías en función de un conjunto de criterios y entregó baterías a las empresas por cada categoría que cumplieran con éxito. Una batería completa es una señal de que la compañía de telecomunicaciones cumplió con el criterio, mientras que una batería a medias indica que lo cumplió parcialmente. En algunos casos, se dio una cuarta parte de la batería a las empresas que están trabajando para mejorar las políticas, pero todavía no lo logran. Las baterías vacías indican que no había información disponible para determinar si la empresa había cumplido el criterio, o que la información disponible no era suficiente.
1. En Transparencia
Karisma pidió a las compañías que emitan reportes de transparencia regularmente, que incluyan o al menos información detallada sobre el número especifico de peticiones aprobadas y rechazadas, un resumen de las solicitudes por parte del proveedor de servicios, por la autoridad que investiga, el tipo y el propósito de la investigación y el número específico de personas afectadas por cada una de estas solicitudes.
Ninguna de las empresas cumplió plenamente con este estándar. La mayor parte de la industria, señaló Karisma, asocian la transparencia principalmente a la información económica y financiera con fines anticorrupción. "Sólo en este contexto las compañías publicaron informes de transparencia", dijo Karisma.
Como resultado, el público en general tiene poca idea de la frecuencia con que el gobierno presiona a las empresas de telecomunicaciones para acceder a los datos de los usuarios. Esta es una preocupación seria: una manera de permitir que la vigilancia sin el debido proceso vaya a peor es permitir que suceda en completo secreto. Dar publicidad a los informes de las solicitudes de acceso por parte de la autoridad puede ayudar a iluminar los patrones de excesivo celo en el control, resaltar los esfuerzos de las empresas para resistirse a peticiones excesivas y, quizás, hacer una pausa a los funcionarios encargados de hacer cumplir la ley que, de otra manera, podrían buscar más información de los usuarios de lo que necesitan para una investigación. Esperamos que el próximo año ¿Dónde están mis datos? Mostrará una tendencia en la industria de telecomunicaciones colombiana hacia la publicación de informes de transparencia de vigilancia.
A pesar de eso, ETB obtuvo un cuarto de batería por publicar información centralizada sobre el proceso de escuchas telefónicas,el bloqueo de contenido y las directrices de aplicación de la ley para las solicitudes de datos. Este es un primer paso positivo. Esperamos que el próximo año ETB también revelará cuántas solicitudes recibió de las autoridades.
DirecTV, filial de la empresa estadounidense AT&T, debe seguir el ejemplo de su casa matriz, que publicó tanto las directrices de cumplimiento de la ley como los informes de transparencia en su país de origen.
2. Sobre protección de datos
Karisma premió con una batería a las empresas por publicar sus políticas de privacidad en una forma clara y accesible.
Como en 2015, DirecTV fue la única compañía que recibió una batería completa por su política de privacidad. Desafortunadamente, ¿Dónde están mis datos? Mostró que la práctica de DirecTV es la excepción a la regla, la mayoría de las políticas de privacidad de los ISPs son difíciles de encontrar y vagas en especificidades. En particular, el informe de Karisma mostró que la política de privacidad de Claro no sólo es difícil de encontrar sino difícil de buscar; Carece de las características de accesibilidad que permitan a sus clientes encontrar o buscar la información específica, rápidamente.
3. Sobre la notificación a los usuarios
Karisma pidió a las compañías que adoptaran la mejor práctica de la industria tecnológica; notificar a sus clientes sobre cualquier solicitud gubernamental de información (cuando lo permita la ley). Sin embargo, Karisma encontró que las empresas de telecomunicaciones colombianas no han alcanzado al resto de la industria. Todos los ISP deben reconocer el papel central que desempeñan en la defensa de la privacidad de aquellos que contratan por sus servicios, y priorizar la protección de los usuarios.
Mientras DirecTV no discute específicamente su obligación legal de proporcionar datos personales en respuesta a una solicitud de datos del gobierno, ni detalla el procedimiento utilizado cuando esto ocurre, su política de privacidad dejá claro que notificará a aquellos que contratan sus servicios, en caso que DirecTV entregue los datos de sus clientes. En el otro extremo del espectro, la política de UNE es totalmente silenciosa sobre esta norma.
4. Privacidad - Sobre las prácticas gubernamentales de retención de datos
Karisma evaluó dos importantes revelaciones a los usuarios: si la empresa reveló que la empresa está obligada por ley a retener los datos de sus clientes y que está obligada a cumplir con las legítimas peticiones del fiscal para acceder al contenido, suscriptores y metadatos en el contexto de un investigación Criminal.
Telefónica-Movistar es la única empresa que divulga sus políticas de retención de datos a sus clientes. Sin embargo, su política de privacidad en sí protege especialmente la privacidad. Fundación Karisma señaló que las bases de datos de Telefónica-Movistar Colombia tienen una "validez indefinida", una admisión de malas prácticas de recopilación de datos. Karisma entonces contrastó esas políticas con las de la matriz de Telefónica, encontrando que la sede de Telefónica tiene mejores políticas de privacidad que su filial colombiana. La empresa matriz especificó que retenía los datos sólo por el tiempo requerido establecido por la ley o para lograr un objetivo comercial legítimo y que está dispuesta a responder a solicitudes de protección de datos que se opongan al tratamiento de datos personales que no sea necesario para el propósito del servicio.
ETB es la única empresa que declara su obligación de cumplir con las solicitudes legítimas de un fiscal. ETB reveló esto en su nueva página central deTransparencia y Acceso a la Información, que discute los procedimientos para la interceptación legal y las solicitudes de datos gubernamentales en Colombia. Por el contrario, Telefónica-Movistar y Tigo-UNE no mencionan en absoluto quién puede solicitar información y qué información puede solicitarse de acuerdo con la ley. Por su parte, Claro y DirecTV indican de manera vaga que pueden compartir información con autoridades públicas o administrativas en el ejercicio de sus funciones legales o por orden judicial. Esto es preocupante, ya que las normas legales en Colombia son mucho más específicas sobre quién puede pedir información y qué información puede ser solicitada.
5. Libertad de expresión - Sobre la transparencia en relación con el bloqueo o eliminación de contenido de los ISP
En esta categoría, Karisma evaluó la transparencia de la industria con respecto a sus procesos de filtrado, eliminación o bloqueo de contenido, cancelación y suspensión del servicio de Internet.
Karisma vio mejoras en Telefónica-Movistar y ETB en comparación con sus prácticas en el 2015. Estas compañías ahora tienen códigos de conducta que proporcionan ciertas pautas sobre los comportamientos permitidos por los ISPs, para que los usuarios puedan entender cómo evitar sanciones. La evaluación de Karisma sólo evalúa si estas prácticas están codificadas públicamente de manera adecuada; Aquí, no examina si esas prácticas son buenas o malas.
We recognize that shifts in industry can take time. It took several years before EFF saw widespread changes in tech giants’ policies in response to EFF’s annual Who Has Your Back report. We hope that next year’s Karisma’s ¿Dónde están mis datos? report will find more of these companies adopting these best practices and standing by their users.
Reconocemos que los cambios en la industria pueden tomar tiempo. Tomó varios años antes de que el EFF viera cambios extensos en las políticas de los gigantes de la tecnología en respuesta al informe anual del EFF: ¿Quién cuida tu espalda. Esperamos que el informe de Karisma ¿Dónde están mis datos? del próximo año muestre que más de estas empresas estén adoptando estas mejores prácticas y tomen partido por sus usuarios.