Fundación Karisma lanzó la primera edición anual de ¿Dónde Están Mis Datos? evaluando el compromiso de las empresas de telecomunicaciones con la transparencia y la privacidad del usuario. Desde entonces, hemos visto a las principales empresas de telecomunicaciones ofrecer más transparencia sobre cómo y cuándo divulgan los datos de sus usuarios al gobierno. Este proyecto forma parte de una iniciativa regional similar a la de EFF Who Has Your Back? de las ONG en América Latina y España. Hasta el momento, nueve países se han unido a este proyecto iniciado en 2015 con el primer informe de Karisma.
Cuando Karisma comenzó los informes en 2015, ninguno de los ISP publicó algún informe de transparencia o cualquier dato agregado sobre el número de solicitudes de datos que recibieron de los gobiernos. Cinco años después, los principales ISP del país, como Telefónica-Movistar y Claro, divulgan periódicamente los informes de transparencia de los gobiernos. Esta es una gran victoria para la transparencia y los derechos de los usuarios. Las políticas de privacidad de las empresas también han mostrado progresos a lo largo de los años, con más información útil que se proporciona mejor a los usuarios sobre la retención, recopilación y procesamiento de datos.
En la quinta edición de este año se presentaron seis proveedores de servicios de Internet. Telefónica-Movistar muestra la mejor calificación, seguida de Millicom-Tigo y Claro. Telefónica-Movistar y Claro mejoraron sus puntuaciones con respecto a la edición anterior, con notables mejoras en el suministro de información sobre el bloqueo de contenidos. La primera también se destaca en seguridad digital. Mal clasificada en esta categoría en 2018, Telefónica-Movistar es la única empresa que ha obtenido la puntuación completa. Millicom-Tigo, sin embargo, decepciona por no publicar un informe de transparencia actualizado con datos específicos de Colombia. ETB y DirecTV muestran una posición intermedia, con una calificación ligeramente inferior a la de la última edición, mientras que EMCALI se queda atrás.
A lo largo de las ediciones anuales de este informe, la sociedad anónima público-privada ETB ha liderado cambios significativos, mostrando apertura al cambio y a la defensa de los derechos de los usuarios. Sin embargo, la edición de este año muestra que el ISP tiene que duplicar sus compromisos si quiere alcanzar a las dos empresas mejor clasificadas.
Un Esbozo de la Edición 2019 de ¿Dónde Están Mis Datos?
El nuevo informe evalúa las mismas empresas de la anterior con la excepción de Telebucaramanga, un ISP local adquirido por Telefónica-Movistar en 2018. También ha endurecido algunos de los criterios de evaluación. Por ejemplo, en lo que respecta a los informes de transparencia, las empresas no sólo deben publicarlos periódicamente, sino también incluir información más detallada sobre los datos del gobierno y las solicitudes de bloqueo de contenidos. Los nuevos parámetros de la categoría de privacidad también requieren que las políticas de los proveedores de servicios de Internet proporcionen más detalles sobre las obligaciones y prácticas de recopilación, procesamiento y retención de datos personales. Además, los procedimientos internos de los proveedores de servicios de Internet para entregar los datos de los usuarios a las autoridades de investigación deben contener salvaguardias de los derechos humanos, además de estar a disposición del público.
A continuación se exponen las principales conclusiones del informe. El estudio completo con una evaluación detallada de cada empresa está disponible en español
En la categoría de compromiso político, el informe evalúa, entre otras cosas, si los ISPs publican informes de transparencia con información detallada sobre datos del gobierno y demandas de bloqueo de contenidos. En esta categoría, Telefónica-Movistar y Claro cumplen todos los parámetros. ETB está justo detrás, pero todavía no proporciona información clara y detallada sobre el tráfico y los datos de los abonados, la interceptación de las comunicaciones y las demandas de bloqueo de contenidos. Millicom-Tigo, DirecTV, y EMCALI se quedan cortos en esta categoría, recibiendo la puntuación más baja.
AT&T, la empresa matriz de DirecTV, publica un informe global de transparencia, pero no proporciona información específica sobre las solicitudes recibidas por la sucursal colombiana. En cuanto a Millicom-Tigo, el último informe de transparencia que el ISP publicó detallando los datos del gobierno colombiano y las solicitudes de bloqueo de contenido se refiere al año 2017. 2018 y 2019 la información se puede encontrar en informes más recientes, pero no están disponibles en el sitio web colombiano y las cifras se muestran sólo por región. En cuanto a América del Sur, los informes agregan las solicitudes de datos de Colombia, el Paraguay y Bolivia. Sin embargo, such reports destacan que las autoridades del país exigen el acceso directo a las redes móviles de las empresas, impidiéndoles conocer el número de medidas de interceptación realizadas en sus líneas móviles. Al establecer como requisito el número de solicitudes de interceptación, el informe de este año busca verificar si las empresas se sinceran sobre esta práctica de vigilancia. En esencia, Millicom-Tigo, Telefónica-Movistar, y Claro mencionan explícitamente que esto está ocurriendo en Colombia.
En cuanto a los compromisos de privacidad, los ISPs deberían publicar políticas de protección de datos en su sitio web colombiano detallando qué datos recoge la compañía, cómo se utilizan, con quién se comparten y por qué razones. También deberían revelar públicamente la obligación legal de retener los datos de los usuarios y qué datos se retienen y por cuánto tiempo, así como las guías de aplicación de la ley que se siguen cuando se entregan los datos de los usuarios a las autoridades gubernamentales. Por último, deberían comprometerse a notificar a sus usuarios sobre las solicitudes de datos del gobierno.
Bajo los requisitos más estrictos de este año para esta categoría, ninguna empresa recibió la puntuación completa. Telefónica-Movistar se clasifica como la mejor, seguida por Claro, DirecTV, y Millicom-Tigo. DirecTV es la única que menciona la notificación a los usuarios sobre las solicitudes de datos del gobierno, aunque la política de la empresa lo describe más como una "posibilidad" que como un compromiso. A su vez, Movistar y Claro son las que mejor describen el procedimiento seguido para entregar los datos de los usuarios a las autoridades.
Para libertad de expresión, las empresas deben aclarar los casos en los que tienen el deber legal de bloquear el contenido, y publicar los procedimientos a los que se adhieren cuando bloquean el contenido por razones legales o contractuales. Deberían informar a los usuarios sobre el motivo del bloqueo y proporcionar un mecanismo de apelación. Por último, deben proporcionar directrices públicas para que los usuarios conozcan sus derechos y las normas que se espera que cumplan.
Los criterios de este año impulsan a los proveedores de servicios de Internet a arrojar luz sobre la forma en que se aplican las obligaciones de bloqueo de contenidos. Las solicitudes de bloqueo de contenidos pueden provenir de una orden judicial, o de la aplicación de restricciones legales de contenido en línea relativas a la explotación infantil y los juegos de suerte y azar. Las empresas han mejorado considerablemente el suministro de esa información en comparación con la edición anterior, especialmente en lo que respecta a la explotación infantil. Tanto Telefónica-Movistar como Millicom-Tigo obtuvieron la puntuación completa por detallar la información legal, publicar los procedimientos a los que se adhieren cuando bloquean contenidos, ofrecer mecanismos de debido proceso y proporcionar directrices públicas para los usuarios. Claro y ETB están un poco atrasados, pero aún con buenas notas. A diferencia de la edición anterior, Claro obtuvo una puntuación este año por proporcionar directrices públicas para sus usuarios.
Por último, en seguridad digital, el informe evalúa si los ISPs se comprometen a notificar a las autoridades competentes y a los usuarios en caso de una violación de datos, y si revelan qué medidas puede tomar la empresa para mitigar los daños. Además, el informe verifica si los proveedores de servicios de Internet utilizan protocolos de transmisión de datos seguros (HTTPS) en sus sitios web.
Telefónica-Movistar es la que mejor proporciona información sobre cómo aborda los incidentes de seguridad, y se compromete explícitamente a notificar a la autoridad de protección de datos del país