Cuando contratamos un nuevo servicio de telefonía celular, nos mudamos de compañía o deseamos cambiar de número entregamos una importante cantidad de información sensible, que pasará a formar parte de una enorme base de datos de los usuarios de ese servicio. ¿Cuánto tiempo guardará esos datos la empresa? ¿Podrán intercambiarse con otros servicios de la misma firma o de otras, o usarse para otros fines? ¿Están seguros? Todos esos detalles suelen estar en la letra chica de los contratos de adhesión o al hacer click en los “términos y condiciones” que aceptamos a menudo con una lectura rápida, en el mejor de los casos. Los recientes casos de espionaje telefónico que saltaron a la luz pública volvieron a poner en debate qué tan seguros son los sistemas de control, tanto de las compañías como del propio Estado, en la gestión de esos datos.
Un reciente informe de la Asociación por los Derechos Civiles (ADC), titulado ¿Quién defiende tus datos?, realizó entre septiembre y octubre de 2022 una evaluación sobre las medidas que toman las empresas para proteger la información entregada por las personas usuarias, especialmente cuando éstos son requeridos por el Gobierno. El relevamiento, hecho en colaboración con la Electronic Frontier Foundation (EFF), compara el desempeño de siete compañías a partir de la información disponible en sus sitios web y es el tercero; ya hubo evaluaciones en 2017 y 2019.
Como conclusión general, detalla que desde 2019 “algunas compañías han trabajado para darle a la privacidad de las personas usuarias una mayor relevancia”, aunque agregó que todavía hay bastante por hacer para “seguir profundizando la transparencia empresarial frente al tratamiento de datos personales”.
El informe consideró a siete empresas: Personal (Telecom Argentina); Telecentro (grupo Telecentro) Movistar (Grupo Telefónica), Claro (Grupo América Móvil); Arlink (Grupo Supercanal); DIRECTV (Grupo Werthein) e IPLAN. Algunos proveen servicio de internet fija y otros incorporan red móvil. Se tuvo en cuenta el marco regulatorio argentino, sobre todos los artículos 19, 43 y 75 de la Constitución nacional, la ley nacional de Telecomunicaciones (19.768), el Código Procesal de la nación y sobre todo la ley Nacional de Protección de Datos Personales (25.326).
Los criterios evaluados
• La Política de Privacidad: si tienen el documento de este tipo disponible públicamente en su sitio web, que sea de fácil lectura
• El Informe de Transparencia: si publican la cantidad de solicitudes que reciben de fuerzas de seguridad y organismos gubernamentales requiriendo información personal de sus clientes
• Notificación a las personas usuarias: si informan a usuarios los pedidos de información que respecto de ellas se realizan y/o si les notifica cuándo proceden a la entrega de sus datos.
• Guías para el requerimiento de información por parte de las autoridades : si fijan lineamientos, guías o protocolos orientados a las fuerzas de seguridad y otros entes gubernamentales que expliquen cómo deben solicitar la información personal de sus clientes (por orden judicial)
• Políticas de promoción de los Derechos Humanos: si las empresas se comprometen públicamente con su respeto y promocionan en sus páginas web los derechos de los y las usuarias, particularmente a la privacidad.
Cada empresa podía recibir un máximo de 5 estrellas como puntaje total (una por cada criterio).
Los resultados
De las empresas, ninguna consiguió el puntaje ideal. La que mejor desempeño tuvo fue Movistar (3 estrellas y media), seguida de IPLAN (2 estrellas). Más atrás quedaron Personal (1 estrella y ¼), Claro, DIRECTV y Telecentro (1 estrella cada una) y cerró el ránking Arlink con ¼ de estrella. (Ver cuadro).
Al respecto, Debates habló con Victoria Penas, abogada y Asistente de Proyecto de la ADC, una de las autoras del informe.
P: ¿Cuáles son los principales hallazgos y conclusiones del informe?.
R: El informe evalúa a siete empresas más importantes partiendo de la normativa vigente, si las empresas cumplen con la ley de Protección de Datos Personales. De hecho lo hacen en términos generales, con matices y demás, pero identificamos algunas cuestiones en la comunicación de las empresas, sobre la protección de esos datos. Qué le cuentan las empresas a las personas usuarias sobre cómo cuidan sus datos. Identificamos que las empresas informan con diferentes grados de precisión, por ejemplo, para qué finalidad son recolectan datos, o por cuánto tiempo se van a retener. Entonces la persona usuaria, por ejemplo, no sabe cuánto tiempo en la mayoría de las empresas van a ser retenida información que quizá en un momento les deja de ser útil, por ejemplo su DNI, el domicilio, ocupación, etc. Esos datos sirven para que las empresas facturen o hagan marketing, pero tienen sentido mientras dura el contrato con la persona. Es muy importante fijar plazos claros de eliminación de esos datos cuando se termina la relación contractual. Otro aspecto importante es que los requerimientos por parte del Estado de datos personales de los clientes a las empresas tienen que ser mediante orden judicial, eso es algo que dice la ley y que algunas empresas comunican en su página web de manera más explícita y otras más general .
P: ¿Cuál fue la diferencia en entre esas empresas? Mencionabas que algunas por ahí vienen de multinacionales, donde les exigen más de sus países de origen.
R: Movistar , que mostró estándares más altos que otras empresas, es de una empresa cuya casa matriz está en España y está sujeta a lo los estándares de la Unión Europea, mucho más exigentes que los que tiene Argentina. No es que la empresa tiene que hacerlo sí o sí, pero Telefónica lo hace en la mayoría de los casos. Entonces eso termina siendo valioso, en un país donde no se exige, que tiene falencias en la suspensión de los datos de los usuarios.
Una ley de 20 años
P: ¿Cómo está la ley de Protección de datos en este tema?
R: Es una ley bastante fuerte con criterios de protección de datos robustos para principios de 2000, pero lógicamente pasaron 20 años y el desarrollo de tecnológico desde entonces fue impresionante. Ninguna ley que tenga 20 años hoy por hoy puede abarcar todo lo que pasó desde entonces. Se maximizó mucho la forma en la que se explotan los datos personales. Muchas empresas se volvieron conglomerados, que combinan servicios de telecomunicaciones, telefonía fija, móvil, internet y televisión. Esto implica mucha recolección masiva de datos, entonces planteamos que las empresas, si se agrandan y pasan a ser receptoras de mucho más datos, eso tiene que venir acompañado de una responsabilidad mayor.
P: En este caso no se estaría cumpliendo del todo, aunque hubo avances respecto a otros años.
R: En la mayoría de los casos comparativamente hay avances. Lo que nosotros marcamos es que en algunos encuentros con las empresas, nos dicen sí, esto lo estamos haciendo, pero si eso no se publica en el sitio web nadie tiene forma de saber que la empresa lo está haciendo. Por eso les decimos que tengan la publicidad de la protección de los datos personales como política, porque así las personas se sienten más protegidas .
P: Hace días se dio a conocer el caso del ministro de seguridad porteño al que le hackearon el teléfono y llamó la atención la facilidad con la que consiguieron los datos para duplicar el chip¿no?
R: Totalmente, una de las cosas que planteamos en el informe es las empresas, que tienen bases de datos enormes, afirman que toman medidas de seguridad para proteger esas bases de datos; ahora no sabemos qué tan buenas son esas medidas y tanto las empresas como el Estado deberían detallar cómo funcionan. Todo el tiempo nos enteramos de hackeos a empresas y entidades públicas, no es algo aislado. Pasó con con el Ministerio de Salud, el Registro Nacional de las Personas (Renaper) con información sumamente sensible. Muchas veces se sufren quebrantamientos a los sistemas de seguridad y ahí decimos bueno, a veces simplemente una aclaración de que se toman todas las medidas posibles de seguridad no alcanza, ¿no?. El complemento es decir: si las medidas de seguridad que tenemos en Argentina no son tan fuertes, eso no es culpa de las empresas directamente, pero sí hay que adoptar una política de responsabilidad donde la recolección de datos sea mínima, porque si vamos a tener en juego bases de datos con muchísima información se podría evaluar si es necesario o no que existan.
P: En este caso, el Estado argentino, ¿cómo cómo está frente a esta situación hay una política?.
R: En la protección de de datos falta una actitud un poco más activa por parte del Estado. Hay un camino recorrido sin duda y te repito en la ley actual existe una protección fuerte, plantea bastante que estándares que están muy a la altura y Argentina ha sido pionera en algún momento de lo que es la protección de datos, pero en los últimos año se quedó un poco por detrás, incluso de la vara que Argentina misma puso, ¿eh? En lo que hace las medidas de seguridad la Argentina no tiene hoy políticas tan robustas. Esto no tiene que ver sólo con el Estado sino con las empresas con las que contrata. El Estado debería hacer un mea culpa entre comillas de que si sus medidas de seguridad hoy no son sólidas en algunos organismos públicos, la recolección de datos tiene que reducirse al mínimo necesario.
P: Como usuarios, qué acciones deberíamos estar siguiendo, qué se podría hacer como usuarios de la telefonía, por ejemplo.
R: En principio como como criterio general siempre evaluar toda cesión de datos que exceda lo necesario. Uno se acostumbra mucho, para cualquier servicio pero en este caso a las empresas de telecomunicaciones, no dar datos innecesarios, fijarse si este pedido es obligatorio, porque a veces uno da sus datos sin más. Hay que evaluar esto más a conciencia, es algo sencillo de hacer y bastante factible. Después está todo lo que es el plano de los derechos de acceso. La Agencia de Acceso a la Información Pública que está mencionada en el informe, es la autoridad de aplicación de la ley, tiene registrada la base de datos de cualquier empresa Entonces uno puede ir a la base de datos de la empresa y pedir que se rectifique un dato que está mal, que se elimine un dato que no es necesario. Por ejemplo, vos diste de baja tu servicio de esa empresa hace cinco años y tus datos siguen ahí, ¿para qué? Vos podés verlo y querer que se modifique, es un derecho todos puedes acceder en virtud de la Ley de Datos personales, y hacerlo por un contacto que te da la Agencia de Acceso a la Información Pública
Formá parte de nuestra comunidad de lectores
Más de un siglo comprometidos con nuestra comunidad. Elegí la mejor información, análisis y entretenimiento, desde la Patagonia para todo el país.
Quiero mi suscripción
Comentarios