En el informe ¿Dónde están mis datos? 2016, Fundación Karisma analiza, desde una aproximación de derechos humanos, las políticas de cinco empresas proveedoras de internet en Colombia. El análisis tiene el propósito de evaluar qué tanto estas empresas defienden nuestros derechos, especialmente la libertad de expresión y la intimidad; muestran un compromiso con la transparencia; ofrecen textos accesibles y asumen de forma responsable la protección de nuestros datos.
Los resultados de la evaluación de 2016 se pueden detallar de la siguiente manera:
Sobre transparencia
Los ISP en Colombia no producen informes de transparencia que permitan conocer la forma cómo comparten con terceros, incluido el Gobierno Nacional, los datos de las personas ni su rol en el bloqueo de contenidos o cancelaciones de cuentas que pueden afectar la libertad de expresión de quienes usan sus servicios. Establecimos que los ISP en el país relacionan la transparencia fundamentalmente con aspectos económicos y financieros con el fin de evitar actos de corrupción. Es en estos temas que las empresas hacen informes de transparencia.
En el país no se asocia la transparencia corporativa con temas como la protección a la intimidad, al habeas data o a la libertad de expresión de quienes contratan sus servicios. Sin embargo, mientras en 2015 ninguna de las empresas obtuvo reconocimiento, en 2016 la ETB recibió un cuarto de carga en reconocimiento a su compromiso para trabajar en el tema. ETB creó un espacio en su sitio web donde publican información centralizada sobre temas como el proceso legal de bloqueo de contenidos de internet y de interceptación de comunicaciones, aunque no indican lo que ha sucedido con esto durante un período determinado. Por ejemplo, pese a que dicen cómo debe ser legalmente una solicitud de información de datos personales, no informan cuántas solicitudes de información sobre quienes contratan sus servicios han recibido durante el último año. En todo caso, el sitio facilita el acceso a información de la empresa para consulta de cualquier persona. Eso es una buena práctica a resaltar.
Sobre protección de datos
Las políticas de protección de datos de los ISP evaluados están públicas en sus sitios web y, en general, siguen buenas prácticas ya desarrolladas en internet. Por ejemplo, sus documentos de políticas se encuentran en el pie de página o footer del sitio y están claramente identificadas con el nombre de “Políticas de privacidad” o equivalentes, lo que facilita que las personas las localicen (algo que en 2015 era mucho menos frecuente). Sin embargo, de las políticas analizadas todavía los documentos que las contienen son fundamentalmente imágenes que no facilitan la navegación, por tanto, siguen siendo de difícil consulta y uso.
Directv cumple formalmente con los criterios al publicar políticas claras y de fácil acceso, mientras que el resto solo ganan reconocimiento por publicarlas. En general, los documentos de las empresas simplemente repiten la ley o son tan cortos que no desarrollan el tema apropiadamente, no entregan información clara y transparente para que se entiendan los procedimientos que se desarrollan alrededor de los datos personales y cómo pueden afectar los derechos a la intimidad y a la libertad de expresión, entre otros. Si todavía existen estas dificultades, resulta lógico encontrar que ninguno de los ISP evaluados, incluído Directv, ha ido más allá para cumplir con un tema “deseable”: que la información sea accesible a todas las personas, incluidas aquellas con alguna discapacidad que precisan de programas especiales de lectura. Ninguno de los documentos evaluados es accesible.
Sobre la protección a la intimidad
Los ISP aún no comprenden el papel que tienen en cuanto a la protección de la intimidad de las personas. Ninguno de los ISP asume públicamente el compromiso de notificar a las personas cuando hayan solicitudes de información sobre sus datos. Como en 2015, este año solo Directv hace una mención al indicar
”Que en la mayoría de los casos en que la información se provee en respuesta a un requerimiento legal le proveerán notificación previa de dicho requerimiento u orden al suscriptor [sic] de modo que éste [sic] pueda impugnar en un procedimiento en corte”.
Sin embargo, como lo mencionamos el año pasado, esta afirmación, aunque es una buena práctica, necesita precisiones. Con ello nos referimos a que continúa siendo una declaración discrecional y además de vaga que no va acompañada de los procedimientos que el ISP adelanta, por tanto, no puede decirse que haya un verdadero compromiso.
La existencia de procedimientos y controles para el suministro de información sobre las comunicaciones de las personas, garantiza su derecho a la intimidad y por eso nos interesa que los ISP tengan manuales y protocolos claros que implementen la ley, esto es un elemento deseable y aún no se da en ninguna de las empresas evaluadas.
El otro criterio que se evalúa para analizar la protección que los ISP hacen de la intimidad de quienes contratan sus servicios es si son claros en informar sobre sus obligaciones y prácticas de retención de datos, particularmente, al momento de entregar información de quienes contratan sus servicios solo cuando hay órdenes de fiscales. Al evaluar este criterio, nuevamente, vemos que es Telefónica-Movistar el único ISP que menciona la retención de datos. Además, en 2016, a raíz de una política global de esta empresa con detalles que dan mejor marco a las normas nacionales, han publicado una política global que busca proteger la privacidad. Su foco, sin embargo, está en los ataques informáticos, sin que desarrolle preceptos para evitar abusos en las facultades de los gobiernos para vigilar a la población. De otra parte, en cuanto al reconocimiento de que la información de comunicaciones que retienen es confidencial y solo se entregan con orden de un fiscal, este año reconocemos el micrositio creado por ETB en donde dan información sobre el marco legal que se aplica en Colombia cuando hay solicitudes de información de datos por las autoridades competentes. Esto también constituye una buena práctica.
Por otro lado, mientras en la Fundación Karisma investigábamos el sistema de registro de IMEI de celulares en Colombia, establecimos que cuando se discuten algunas políticas los ISP que operan en el país exponen importantes argumentos de privacidad en defensa de quienes contratan sus servicios. Durante el mencionado proceso de discusión ante la Comisión Reguladora de Comunicaciones (CRC), encontramos que Tigo-UNE hizo observaciones sobre la afectación que el sistema que exige a los operadores extraer metadatos de las comunicaciones tendría para los derechos de las personas. Entre otros argumentos, Tigo-UNE resaltó:
La información que pide la CRC puede afectar la intimidad de las personas, porque a partir del cruce de datos que se pide por parte de la regulación, se puede establecer “patrones de comportamiento y localización”.
La información que pide la CRC puede violar las garantías que trae la ley de protección de datos, especialmente los principios de libertad, finalidad y necesidad.
Es importante resaltar que es posible que existan otros documentos similares de otros ISP, pero que, debido al gran número de archivos relacionados con este sistema de registro, hayamos pasado por alto documentación semejante.
Sobre la protección a la libertad de expresión
Cuando nos referimos a filtrado, retiro o bloqueo de contenidos y cancelación de cuentas encontramos que la fusión de Tigo-UNE provocó que en este criterio, como en el relacionado con la protección a la intimidad, el ISP perdiera la calificación ganada en 2015. Este año, sin embargo, reconocemos como buena práctica que Telefónica-Movistar advierta en su política global que existen disposiciones contractuales que obligan a quien se suscribe al servicio a adoptar determinadas conductas.
La ETB logra una carga completa porque sus políticas son las más detalladas, ofreciendo información sobre los motivos que pueden llevar a la compañía a filtrar, bloquear e incluso cancelar cuentas. Además, entre los documentos publicados en su sitio web, se encuentra un manual de usos aceptables, cuyo fin es orientar a las personas sobre los comportamientos adecuados en el uso de los servicios que ofrece. También incluye un documento en el que informan que el bloqueo en Colombia se da únicamente por “pornografía infantil”.
Desde Fundación Karisma asumimos también como un reto de la sociedad civil trabajar para que este tipo de esfuerzos no solo se visibilicen, sino que sean parte de la cultura empresarial. Proteger los derechos humanos de quienes contratan sus servicios debe ser un elemento central de las actividades de los ISP y debe reflejarse en las políticas que los guían.
Descarga el informe completo: https://karisma.org.co/wp-content/uploads/download-manager-files/informe ¿Dónde están mis datos? 2016.pdf
Descarga el Resumen ejecutivo:
https://karisma.org.co/wp-content/uploads/download-manager-files/donde-estan-mis-datos-2016-resumen ejecutivo.pdf
Descarga evaluación a Claro, Directv, ETB, Telefónica y Tigo.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Hallazgos ¿Dónde están mis datos? 2016
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co