En los últimos cinco años, los proveedores de servicios de Internet (PSI) de Chile se han vuelto más transparentes respecto a cómo protegen los datos de sus usuarios, gracias en gran parte a que el grupo latinoamericano de derechos digitales ha sacado a la luz sus prácticas a través de los informes anuales ¿Quien Defiende Tus Datos?.
Una mayor transparencia sobre cuándo y cómo los proveedores de servicios de Internet entregan los datos al gobierno es una victoria para los usuarios de móviles e Internet de Chile, pero el aumento de la vigilancia estatal exige un compromiso aún mayor con la privacidad. En el nuevo informe 2022 de Derechos Digitales "¿Quien Defiende Tus Datos?", se evalúa a los seis principales proveedores de telecomunicaciones de Chile en función de criterios nuevos y más estrictos que examinan sus prácticas en medio de la creciente preocupación por la vigilancia estatal relacionada con las protestas sociales de 2019 y la pandemia de COVID 19.
Hay muchas buenas noticias en el informe. Incluso con criterios más estrictos, Claro, WOM y VTR obtuvieron puntuaciones más altas en comparación con el año pasado, con Claro obteniendo crédito completo en todas las categorías y WOM obteniendo crédito completo en tres de las cinco categorías. Otro aspecto destacado: todas las empresas evaluadas recibieron al menos un crédito parcial en todas las categorías, excepto en la de notificación al usuario, lo que muestra una mejora con respecto a los resultados de 2021. No obstante, la notificación al usuario sigue siendo una categoría difícil. Entel, GDT Manquehue, Movistar y VTR no tomaron medidas concretas para hacer viable un sistema de notificación a sus usuarios. Aunque muchas de ellas se reservan la posibilidad o el derecho de notificar a los usuarios en sus políticas, no adoptaron acciones o compromisos más concretos en esa dirección. Por ello, Derechos Digitales no les dio crédito en esa categoría.
Las empresas deben hacer más ante el aumento de la vigilancia estatal
Las empresas de telecomunicaciones de Chile han superado muchos de los retos impuestos por las evaluaciones anuales de ¿Quien Defiende Tus Datos?, que comenzaron en 2017, y han implementado las mejores prácticas en la mayoría de las categorías cubiertas por los informes. Ciertas prácticas de transparencia que antes parecían inusuales en América Latina se han convertido en la norma entre los PSI en Chile. Por ejemplo, tanto los informes de transparencia como las directrices de aplicación de la ley se han convertido en una norma de la industria entre los principales PSI de Chile.
Pero las empresas deben hacer más para proteger los datos de los usuarios. Los nuevos criterios elevan el listón de las mejores prácticas, teniendo en cuenta los nuevos retos en materia de privacidad y el papel increíblemente ampliado que desempeñan las tecnologías digitales en nuestras vidas en comparación con 1999, cuando Chile promulgó su actual ley de protección de datos (Ley nº 19.628 de 1999). La transparencia y la protección de la privacidad de los datos deben ir más allá de lo que se exigía hace 23 años.
Puntos destacados del informe:
Derechos Digitales se propuso elevar el nivel de las evaluaciones realizadas en 2021. En esta quinta edición, el informe pretendía responder a las siguientes preguntas:
- ¿Reflejan las cláusulas contractuales y las disposiciones de la política de privacidad de los PSI el compromiso de la empresa con el respeto y la protección de los derechos de los usuarios?
En esta categoría son nuevos los requisitos para que los proveedores de servicios de Internet revelen los casos en los que terceros procesan los datos de los usuarios y las medidas de protección que adoptan en esos casos. Los nuevos requisitos también comprueban si las empresas detallan cómo utilizan y almacenan los datos de los usuarios, incluyendo si se comparten o procesan en el extranjero. Por último, las empresas deben comprometerse a notificar a los usuarios los cambios en sus políticas y poner a disposición del público las versiones anteriores. Claro recibió el crédito completo en esta categoría, y los otros cinco PSI recibieron el 75% de crédito.
- ¿Disponen las empresas de un informe de transparencia actualizado que ofrezca información de calidad?
Para recibir una estrella completa, los informes de transparencia de los PSI deben incluir más información de la que se exigía anteriormente, desglosando las solicitudes originadas por órdenes judiciales, las que se refieren a un individuo concreto y las masivas que se refieren a un grupo indeterminado de personas (en general, que pieden información sobre todos los teléfonos móviles conectados a una antena determinada durante un periodo de tiempo específico), entre otros nuevos criterios.
Claro y WOM recibieron estrellas completas por sus informes de transparencia (disponibles aquí y aquí, respectivamente). Los informes de Claro destacan por ofrecer un mayor detalle sobre los motivos de las solicitudes rechazadas, desglosadas por solicitudes de interceptación y de información/metadatos de los usuarios. En el primer trimestre de 2022, el rechazo en la mayoría de los casos de interceptación se produjo por errores en las solicitudes. En cuanto a otras demandas de información del usuario, más de la mitad de los rechazos se produjeron porque la solicitud policial no copiaba al fiscal a cargo de la investigación, mientras que en el 19% de los casos, las solicitudes llegaron sin una orden judicial.
Los informes de transparencia de Claro, VTR y WOM también incluyeron información sobre solicitudes que buscaban datos sobre un gran número de usuarios indeterminados, como aquellos cuyos teléfonos móviles se conectaran aleatoriamente a una torre celular. VTR informó que no recibió solicitudes de esta naturaleza entre julio de 2021 y junio de 2022. Claro reportó sólo una solicitud durante el primer trimestre de 2022. Por su parte, WOM informó haber recibido 429 solicitudes de datos de torres celulares durante 2021. Aunque los periodos de tiempo difieren, la discrepancia en las cifras es sorprendente. Datos adicionales podrían ayudar a los usuarios a entender la variación, teniendo en cuenta que a menudo las autoridades policiales no eligen a un solo PSI para enviar solicitudes de datos de torres celulares, sino que se dirigen a todas las empresas de telecomunicaciones relevantes con torres en una zona geográfica de interés.
- ¿Notifican los PSI a sus usuarios las solicitudes de acceso a sus datos personales por parte de la autoridad o, al menos, han hecho esfuerzos concretos para hacerlo?
Para obtener créditos este año, las empresas deben establecer un procedimiento de notificación o realizar esfuerzos concretos y verificables para ponerlos en marcha.
WOM fue el único PSI que obtuvo crédito (75 por ciento) en esta categoría además de Claro, que recibió crédito completo. WOM divulgó una declaración sobre sus esfuerzos en 2019 y 2020 para trabajar con las autoridades para establecer un mecanismo de notificación a los usuarios en casos penales (los esfuerzos se incluyeron en el informe de 2020, por lo que no contaron en el nuevo informe). Lo nuevo en el informe de 2021 es el compromiso de WOM de notificar a los usuarios, a partir de enero, sobre las solicitudes de información en casos civiles, laborales y de familia. Claro fue el primer PSI en cumplir con este compromiso, que la EFF destacó en el informe 2019 de Chile.
El informe de Derechos Digitales señala los esfuerzos de Claro en 2019, 2020 y 2022 por abogar por la notificación a los usuarios, incluyendo la realización de acciones tanto en el Congreso como ante el Ministerio Público demostrando su preocupación por encontrar la forma de poner en marcha un procedimiento de notificación que se apegue al derecho de notificación consagrado en el artículo 224 del Código Procesal Penal. Un hecho destacado: en mayo, Claro instó al Ministerio Público a considerar nuevamente la posibilidad de notificar a las personas sujetas a solicitudes de interceptación o de datos personales, destacando que se ha planteado a la Fiscalía la posibilidad de implementar un plan piloto.
- ¿Disponen los PSI de una guía pública sobre las solicitudes de datos de los usuarios por parte de las fuerzas del orden que especifique el procedimiento, los requisitos y las obligaciones legales que deben cumplirse?
Las empresas deben ahora hacer explicita la obligación de notificar a los usuarios afectados por una medida de investigación intrusiva, según el artículo 224 del Código Procesal Penal de Chile. Los PSI también deben declarar que las solicitudes de datos de usuarios que impliquen información sensible, como los datos de localización, deben referirse a personas concretas y contar con una orden judicial previa. Si las solicitudes están relacionadas con el desarrollo de políticas públicas, los PSI deben comprometerse a entregar a la autoridad competente sólo datos anónimos y agregados. Claro y WOM recibieron el crédito completo en esta categoría; los otros cuatro PSI recibieron el 75 por ciento de crédito.
- ¿Han defendido los PSI activamente la privacidad y han protegido los datos de los usuarios, ya sea públicamente, en procedimientos judiciales o administrativos, o en un debate legislativo en el Congreso?
Algunos ejemplos de oportunidades en las que las empresas podrían haberse pronunciado son el avance de los proyectos de ley que promueven la vigilancia pública y amplían las condiciones en las que se pueden adoptar medidas de investigación intrusivas, y los casos de espionaje estatal, como el de las escuchas del teléfono del periodista chileno Mauricio Weibel.
Claro vuelve a destacar en esta categoría. El informe señala que Claro se puso en contacto con el senador chileno Jorge Pizarro, expresando su preocupación por un proyecto de ley para modificar la ley de protección de datos de Chile. En concreto, Claro expresó su preocupación por las solicitudes de información de los organismos públicos y sugirió que las normas y controles de protección de datos personales que se aplican a las empresas se apliquen también a la Administración del Estado. Además, sugirió que se establezcan controles preventivos y se cuente con oficiales de cumplimiento para cada servicio público.
Claro, GTD Manquehue y WOM puntuaron en esta categoría por desafiar las peticiones masivas de información de los usuarios por parte de la Subtel, el organismo regulador de las telecomunicaciones en Chile. Según los ejemplos proporcionados en el informe, la Subtel buscaba la información para llevar a cabo una investigación relacionada con el uso de los servicios de roaming y realizar una encuesta de satisfacción con los usuarios de banda ancha. Sobre esta última, las empresas argumentaron que la muestra de usuarios que la Subtel requería para la encuesta no consideraba el principio de proporcionalidad.