Sobre el artículo 125 del PND: la CRC sí debería tener datos

2023-04-17 Leer en voz alta

Por: Carolina Botero

Acceder a la publicación original de esta columna de opinión.

Al grito de ¡chuzadas! se creó un gran revuelo con el artículo 125 del Plan Nacional de Desarrollo (PND) –el aprobado en comisiones económicas– porque ampliaba la facultad de la Comisión de Regulación de Comunicaciones (CRC) para solicitar información a algunas empresas intermediarias de internet. Es grande el apetito por los datos de las comunicaciones, y mientras haya datos hay riesgos, sin embargo, todo debe analizarse en contexto, en este caso la sobresimplificación del tema llegó incluso a desinformar.

No sé cuáles son los expertos que consultó el exfiscal Néstor Humberto Martínez que le dijeron que ese artículo permitiría a la CRC acceder a los mensajes de WhatsApp. Lo que sé es que, si la CRC lo trata de usar así, le responderían “la plataforma no tiene esa información porque WhatsApp está cifrado de extremo a extremo, para acceder a los mensajes tendría que romper el cifrado”, y eso no es lo que dice el artículo. Lo que sé es que “romper el cifrado” fue algo que Martínez sí pidió en 2017 cuando era fiscal y quiso que WhatsApp abriera una puerta trasera. Entonces, empecemos por decir que el artículo 125 no era sobre los mensajes que las empresas no tienen y que romper el cifrado es otra cosa con consecuencias muy diferentes.

Es cierto que entre los datos que tienen estas empresas hay datos personales que revelan mucha información y pueden violar la intimidad de una persona, las autoridades que investigan delitos por ejemplo los usan y tienen facultades para pedirlos.

Siguiendo con WhatsApp como ejemplo, la plataforma no tiene la información de los mensajes, pero sí tiene otros datos: desde qué número se mandó el mensaje, a qué horas o desde dónde y a dónde, por ejemplo. Esos datos se llaman “metadatos” y son personales porque revelan información que agregada y cruzada dice mucho de una persona.

Como ya dije alguna vez, la CRC es una autoridad sin mucho poder –MinTIC mantiene facultades que debieran ser del regulador autónomo–, pero una de las facultades que tiene es la de pedir información para ofrecer datos del sector y supervisar, ojo datos del sector, no de las personas. Para ello pide datos agregados a las empresas listadas en el numeral 19 del artículo 22 de la Ley 1341, entre éstas están las empresas de telefonía, por ejemplo.

Esos datos alimentan un sistema de información interesante que permite también a las personas usuarias monitorear diferentes aspectos del comportamiento de las empresas del sector y del sector mismo. Esta información sirve para determinar si hay caídas en el servicio, si hay problemas con la calidad del mismo, e incluso para comparar los precios de los planes de telefonía en el mercado, es información es clave para discusiones sobre neutralidad de la red, por ejemplo.

Las telefónicas, ya están obligadas a entregar datos a la CRC y también tienen metadatos de nuestras comunicaciones. Entonces, es cierto que el artículo 125 es muy amplio, y al no delimitar su alcance podría cubrir la entrega de los metadatos en poder de las empresas, como lo sugiere el Senador David Luna, sin embargo, hay que mirar mejor el contexto. Si esa fuera la interpretación desde hace más de una década la CRC podría solicitar a las telefónicas metadatos de nuestras comunicaciones, pero nada indica que lo haya hecho. Además si lo hiciera no podría saltarse la Constitución ni evitar los límites de la ley de protección de datos. El actual artículo no se lee aislado, se lee con base en las funciones de la CRC, la Constitución y la ley colombiana y así lo reafirmó la entidad en un comunicado. Actualmente lo que la CRC pide y recibe de las telefónicas son datos agregados para informar al sector y a sus usuarios y usuarias.

Desde hace siete años Karisma, donde trabajo, viene monitoreando cómo protege nuestro derecho a la intimidad las empresas de telecomunicaciones. El análisis incluye mirar cómo atienden las solicitudes de datos personales de sus clientes que les hacen las autoridades. Esto lo documentamos en el informe anual ¿Dónde están mis datos?. Allí hemos visto cómo las empresas de telecomunicaciones en Colombia vienen publicando informes de transparencia para decir cuál es el marco jurídico de estas solicitudes y cómo verifican que quienes los solicitan tengan las facultades legales. Durante estos años las empresas líderes han ido implementando controles y procesos para esto. De hecho el modelo de los informes de transparencia se tomó inicialmente de los que hacen las plataformas, es decir, son ejercicios que en el sector se han estandarizado. Señores y señoras congresistas, no se escandalicen porque las autoridades piden datos en manos de las empresas, lo que les toca es poner límites y garantizar que haya controles.

Mirando el revuelo que se armó con esta propuesta entiendo menos por qué generó tanta preocupación este artículo y no se habla de la ampliación de facultades para el DANE que está en un proyecto de ley en trámite con efectos similares. Se ampliará la facultad del DANE de pedir a los privados “datos alternativos” y habrá sanciones si no los entregan. Así el DANE para sus estadísticas podrá acceder a datos alternativos, entre ellos los metadatos que tienen las empresas intermediarias de Internet (también se mencionan tales datos en el artículo 81 del PND).

Como en el caso de la CRC, el DANE también debe tener acceso a los datos que necesita para cumplir sus funciones legales. Sin embargo, puestos a preocuparnos me asusta más la norma del DANE porque a diferencia del artículo 125, el debate sobre la intimidad en el uso de datos alternativos en estadísticas está en construcción en el mundo, la norma -que no tiene antecedentes acá- es muy amplia y es una facultad para una entidad que tiene un censo asociado a nuestra cédula que puede facilitar la desanonimización de datos agregados. Además, durante la pandemia conocí un requerimiento en el que el DANE pidió datos desagregados de los suscriptores de sus servicios a las telefónicas. Tiene sentido que el DANE use datos alternativos, pero debería explicar y definir mejor esto.

Comparto la preocupación por el posible abuso, eso es lo que debe atajarse y preocúpense, porque el problema es estructural. En Colombia la autoridad de protección de datos del sector público es la Procuraduría y hasta ahora no se ha apropiado de esa función. Es decir, no hay quién sancione si se presenta un abuso.

Si, el artículo 125 podría ser mejor indicando el alcance y haciendo expresa mención al marco jurídico de intimidad y protección de datos, pero en el fondo piensen en el panorama actual en el que se acerca la regulación de las plataformas ¿acaso no es una buena idea que el regulador tenga datos de su operación?, ¿acaso esto no nos ayudaría a conocerlas mejor?, por ejemplo, ¿no sería bueno tener la cifra de cuántos usuarios hay de WhatsApp en Colombia? busque ese dato, le anticipo que no se consigue. Si vamos a regularlas serviría tener información y este no parece un mal camino.

Mientras tanto el miedo no abrió el diálogo, ya retiraron el artículo 125 para la CRC y el proyecto de ley del DANE sigue su trámite. Además de abrir la discusión, valdría la pena preguntarle a la Procuraduría qué opina del acceso de las autoridades a datos en manos de las empresas privadas, imagino que ya tiene un concepto formado pues es algo que hasta la OCDE discute. Ahora, para preocuparnos por chuzadas y vigilancia de las comunicaciones hay otras facultades que valdría la pena revisar, pero será otro día.


Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.

Indícanos el título del contenido en el asunto del correo, por ejemplo: Sobre el artículo 125 del PND: la CRC sí debería tener datos


Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co


Acompáñanos en @Karisma en Twitter, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.