En el informe ¿Dónde están mis datos? 2017, Fundación Karisma analiza, desde una aproximación de derechos humanos, las políticas de siete empresas proveedoras de internet en Colombia. El análisis tiene el propósito de evaluar qué tanto estas empresas defienden nuestros derechos, especialmente la libertad de expresión y la intimidad; muestran un compromiso con la transparencia; adoptan políticas de inclusión y asumen de forma responsable la protección de nuestros datos y su seguridad.
Los principales hallazgos que encontramos en el 2017 fueron:
– De las empresas evaluadas, ETB es la única que publicó en 2017 información equivalente a un primer informe de transparencia(1) . En el informe, ETB publica el tipo de peticiones de información privada que solicitaron diferentes entidades gubernamentales, indicado cuáles. Entre estas, se encuentran la Fiscalía General de la Nación, la Policía Nacional, el Ministerio de Defensa Nacional, la Dirección de Impuestos y Aduanas Nacionales y el Instituto Colombiano de Bienestar Familiar. ETB muestra el número de peticiones de información admitidas y rechazadas en relación con el tipo de datos solicitados (datos biográficos o geográficos).
– Es de resaltar el esfuerzo que han hecho las empresas en este tercer año de evaluación por facilitar a las personas interesadas la información sobre sus políticas de protección de datos. La mayoría de empresas tienen hoy mejores documentos.
– Se debe destacar que algunas empresas, como Telefónica-Movistar y ETB, han hecho un esfuerzo importante para comunicarle a las personas, de forma clara y más allá de la formalidad establecida en la ley colombiana, cuáles son sus políticas corporativas relacionadas con la protección de sus datos.
– De acuerdo con la información pública disponible en sus sitios web, varias empresas se comprometen a notificar a las personas cuando terceros solicitan su información; es el caso de Claro, Telefónica-Movistar, ETB y Directv. Este compromiso es interesante puesto que facilita el cumplimiento de estándares internacionales de derechos humanos. Aunque los derechos de defensa y debido proceso son una responsabilidad del Estado, el apoyo de las empresas, sin duda, se convierte en una garantía de respeto a los derechos humanos(2).
– Solamente dos de las empresas evaluadas, Telefónica-Movistar y Directv, informan sobre su obligación de conservar datos de las personas e información sobre el uso que hacen de sus servicios(3). La defensa de los derechos de las personas depende también de que haya información completa sobre la forma en la que la empresa cumple este tipo de obligaciones legales.
– Algunas empresas tienen una política de género que está publicada en su sitio web; es el caso de Telefónica-Movistar y de Directv. Consideramos que esta es una buena práctica y que debe resaltarse en la medida en que promueve la diversidad y facilita la efectiva protección de los derechos de las personas de cara a las políticas y prácticas de las empresas en general.
– Telefónica-Movistar ha hecho un esfuerzo importante por difundir la política pública de accesibilidad del MinTIC. Esta política consiste en impulsar y dar a conocer la oferta que tiene el Estado de un software gratuito que le permite a las personas con discapacidad visual acceder a los contenidos que se encuentran en internet. Con esa práctica, la empresa está favoreciendo el uso de estas herramientas para que cada vez más personas puedan acceder a sus servicios y, a su vez, conocer sus derechos.
– Aunque todas las empresas evaluadas anuncian su compromiso con la defensa de los derechos de los niños, niñas y adolescentes, y se comprometen a tomar medidas contra la distribución de material de explotación sexual infantil, salvo ETB las empresas no explican el procedimiento que implementan para bloquear este tipo de contenidos y la forma como se protege la libertad de expresión de abusos en la aplicación de esta norma.
– Solamente una de las empresas evaluadas, ETB, en varios documentos desarrolla su compromiso con la libertad de expresión de las personas que utilizan sus servicios. Esta empresa ofrece guías sobre comportamientos no permitidos, y políticas sobre usos aceptables que le permiten saber a las personas los parámetros de los servicios y, en consecuencia, entender cuándo pueden ser cancelados o suspendidos.
– ETB, Tigo-UNE y Telebucaramanga aplican el protocolo HTTPS de manera predeterminada en sus sitios web. Esta es la medida mínima de seguridad digital que se debe adoptar en internet para proteger los datos de las personas que interactúan con sitios web. Cabe resaltar que Emcali también tiene disponible el protocolo HTTPS, sin embargo, una persona que no tenga conocimiento sobre este tema entrará automáticamente a la versión insegura del sitio.
– Tigo-UNE y Telebucaramanga consideran las brechas de seguridad como una amenaza digital y muestran su compromiso de mitigarlas si llegaran a suceder. La Ley de protección de datos obliga a las empresas a informar sobre sus brechas de seguridad. Vale aclarar que en este criterio, solo evaluamos el compromiso de las empresas por informar al respecto y con mostrar cómo actuarían para mitigar el impacto de esas brechas de seguridad, no si cumplen con esta obligación legal.
(1) Aunque en Colombia, las empresas proveedoras de internet no están obligadas a presentar informes de transparencia –en los que se comunica al público qué información privada han solicitado y/o han accedido entidades gubernamentales–, es una práctica cada vez más extendida en el mundo por empresas similares.
(2) Principios necesarios y proporcionales, op. cit. (nota 6).
(3) Esto se conoce como “retención y conservación de datos de personas”. Consiste en la obligación legal que tienen las empresas proveedoras de servicios de internet de almacenar diferentes datos personales de sus clientes. Esos datos involucran el uso que le dan a los servicios de telecomunicaciones, así como la ubicación geográfica de sus celulares. Esta información debe ser conservada por cinco años y debe ser entregada a las autoridades correspondientes para fines de investigación criminal y labores de inteligencia. Es importante considerar que estas empresas también guardan datos para propósitos propios de la prestación del servicio y comerciales. Para mayor información, revise las obligaciones del artículo 44 de la Ley 1621 de 2013 y del Decreto 1704 de 2011. Véase, además, Castañeda, J.D. (2015, 28 de febrero). La retención de datos en Colombia, una de las más largas del mundo.
Descarga el informe en: https://karisma.org.co/wp-content/uploads/download-manager-files/1510857647wpdm_DEMD INFORME 2017 FINAL (Nov15).pdf
Descarga el informe ejecutivo en: https://karisma.org.co/wp-content/uploads/download-manager-files/1510856078wpdm_DEMD RESUMEN EJECUTIVO 2017 color (Nov.15).pdf