Hiperderecho, la principal organización de derechos digitales de Perú, ha lanzado hoy la tercera edición de ¿Quién Defiende Tus Datos? (¿Quién Defiende Tus Datos?) , un informe que busca responsabilizar a las empresas de telecomunicaciones por la privacidad de sus usuarios. La nueva edición peruana muestra mejoras en comparación con la evaluación del 2019.
Movistar y Claro se comprometen a exigir una orden judicial para entregar el contenido de las comunicaciones y los metadatos de los usuarios al gobierno. Las dos empresas también obtuvieron crédito por defender la privacidad de los usuarios en el Congreso o por impugnar las solicitudes del gobierno. Ninguna obtuvo una estrella el año pasado en esta categoría. Claro se destaca por sus detalladas directrices de aplicación de la ley, incluyendo un cuadro explicativo de los procedimientos que la empresa adopta frente a las solicitudes de aplicación de la ley para los datos de comunicaciones. Sin embargo, Claro debería ser más específico sobre el tipo de información de las comunicaciones cubiertos por las directrices. Todas las empresas han recibido estrellas completas por sus políticas de privacidad, mientras que sólo tres lo hicieron en el informe anterior. En general, Movistar y Claro están empatadas en la delantera. Entel y Bitel van a la zaga, con el primero llevando una ligera ventaja.
Quien Defiende Tus Datos es parte de una serie a través de América Latina y España llevada a cabo en colaboración con la EFF e inspirada en nuestro proyecto Who Has Your Back?. La edición de este año evalúa los cuatro mayores proveedores de servicios de Internet (ISP) en Perú: Telefónica-Movistar, Claro, Entel y Bitel.
Hiperderecho evaluó a los proveedores de servicios de Internet peruanos en base a siete criterios relativos a las políticas de privacidad, transparencia, notificación al usuario, autorización judicial, defensa de los derechos humanos, seguridad digital y pautas de aplicación de la ley. A diferencia del año pasado, el informe ha añadido dos nuevas categorías: si los ISP publican directrices de aplicación de la ley y una categoría que comprueba los compromisos de las empresas con la seguridad digital de los usuarios. El informe completo está disponible en español, y aquí resumimos los principales resultados:
En cuanto a los informes de transparencia, Movistar lidera el camino, ganando una estrella completa mientras que Claro recibe una estrella parcial. El informe debía proporcionar datos útiles sobre cuántas solicitudes recibidas y cuántas veces la empresa cumplió. También debía incluir detalles sobre las agencias gubernamentales que hicieron las solicitudes y las justificaciones de la autoridad. Por primera vez, Claro ha proporcionado cifras estadísticas sobre las demandas del gobierno que requieren el "levantamiento del secreto de las comunicaciones (LST)". Sin embargo, Claro no ha aclarado qué tipo de datos (direcciones IP y otros identificadores técnicos) están protegidos por este régimen jurídico. Dado que la Ley de Telecomunicaciones del Perú y su reglamento protegen bajo el secreto de las comunicaciones tanto el contenido como la información personal obtenida a través de la prestación de servicios de telecomunicaciones, suponemos que Claro podría incluir ambos. Sin embargo, como una mejor práctica, el ISP debería ser más explícito sobre el tipo de datos, incluidos los identificadores técnicos, protegidos bajo el secreto de las comunicaciones. Al igual que Movistar, Claro también debería desglosar los datos estadísticos de las solicitudes del gobierno en interceptación de contenidos y metadatos.
Movistar y Claro han publicado sus directrices de aplicación de la ley. Mientras que Movistar sólo publicó una política general global aplicable a sus filiales, Claro se destaca con directrices detalladas para el Perú, que incluyen un cuadro explicativo de los procedimientos de la empresa ante las solicitudes de datos de comunicaciones de las fuerzas del orden. En el lado negativo, el documento se refiere en general a las solicitudes de "levantar el secreto de las comunicaciones" sin definir lo que implican. Debería dar a los usuarios una mayor comprensión del tipo de datos que se incluyen en los procedimientos esbozados y de si se centran principalmente en el acceso de las autoridades al contenido de las comunicaciones o se refieren a solicitudes específicas de metadatos.
Entel, Bitel, Claro y Movistar han publicado políticas de privacidad aplicables a sus servicios que son fáciles de entender. Todos los proveedores de servicios de Internet proveen información sobre los datos recopilados (como el nombre, la dirección y los registros relacionados con la prestación del servicio) y los casos en que la empresa comparte datos personales con terceros. Claro y Movistar reciben crédito completo en la categoría de autorización judicial por tener políticas u otros documentos que indican su compromiso de solicitar una orden judicial antes de entregar los datos de las comunicaciones, a menos que la ley ordene lo contrario. Del mismo modo, Entel afirma que comparte los datos de sus usuarios con el gobierno en cumplimiento de la ley. La legislación peruana otorga a la unidad especializada de investigación policial la facultad de solicitar a los operadores de telecomunicaciones el acceso a los metadatos en determinadas emergencias establecidas por el Decreto Legislativo 1182, con la consiguiente revisión judicial.
Los países de América Latina todavía tienen un largo camino por delante para arrojar suficiente luz sobre las prácticas de vigilancia de los gobiernos. La publicación de informes de transparencia significativos y de directrices de aplicación de la ley son dos medidas críticas a las que las empresas deberían comprometerse. La notificación a los usuarios es la tercera. En el Perú, ninguno de los proveedores de servicios de Internet se ha comprometido a notificar a los usuarios de una solicitud del gobierno lo más pronto que permita la ley. Sin embargo, Movistar y Claro han proporcionado más información sobre sus motivos y su interpretación de la ley para esta negativa.
En la categoría de seguridad digital, todas las empresas han recibido crédito por utilizar HTTPS en sus sitios web y por proporcionar métodos seguros a los usuarios en sus canales en línea, como la autenticación en dos etapas. Todas las empresas, salvo Bitel, han obtenido una puntuación por la promoción de los derechos humanos. Mientras que Entel recibe una puntuación parcial por participar en foros locales de múltiples interesados, Movistar y Claro llenan sus estrellas en esta categoría. Entre otros, Movistar ha enviado comentarios al Congreso a favor de la privacidad de los usuarios, y Claro ha impugnado una solicitud desproporcionada emitida por la agencia de administración tributaria del país (SUNAT) ante la autoridad de protección de datos de Perú.
Nos complace ver que el tercer informe de Perú muestra un progreso significativo, pero es necesario hacer mucho para proteger la privacidad de los usuarios. Entel y Bitel tienen que ponerse al día con los mayores proveedores regionales. Y Movistar y Claro también pueden ir más lejos para completar su tabla de estrellas. Hiperderecho se mantendrá vigilante a través de sus informes ¿Quien Defiende Tus Datos?.
