El dilema de los datos personales

Dos informes señalan vacíos en cómo empresas de comunicaciones enfrentan pedidos de datos de sus usuarios por parte del Gobierno.

1505-datospersonales.gifEn el mundo que emergió después de Edward Snowden, el extécnico de la CIA que reveló los programas de vigilancia masiva de la Agencia Nacional de Seguridad de EE.UU., en una escala casi global, el pulso entre el acceso a la información y la seguridad, entre la privacidad y las labores de inteligencia en un planeta aterrorizado, es una de las tensiones más importantes y necesarias a la hora de definir cómo será el crecimiento futuro de internet y con éste el de aquellos que hoy usan y usarán la red. 

Ese pulso se juega entre actores privados y públicos, individuos y corporaciones. Y en el lado de las empresas, como en el de las demás partes para ser justos, falta un buen trecho de la tarea. Esto al menos a juzgar por un reporte publicado ayer que se titula “¿Dónde están mis datos?”, en el que se evaluó el desempeño de los cinco mayores proveedores de servicios de internet (PSI) del país a la hora de manejar la información de sus usuarios en relación con las solicitudes que una autoridad pueda hacer de estos datos, por ejemplo. El informe, primero de su tipo en Latinoamérica, fue elaborado por la Fundación Karisma de Colombia, en alianza con la Electronic Frontier Foundation de EE.UU. (EFF), como parte de un proyecto que realiza investigaciones similares, y que será publicado en México, Brasil, Paraguay y Perú. 
 
“El informe busca promover la adopción de buenas prácticas de transparencia por parte de las empresas en relación con el flujo de datos hacia el Gobierno y pretende también fortalecer su compromiso público con la defensa tde los derechos de los usuarios”, se lee en el documento que examinó cinco criterios en los PSI: publicación de informes de transparencia, notificación a usuarios sobre solicitudes de datos por parte del Gobierno, accesabilidad de las políticas de protección de datos, publicación de manuales de cumplimiento de obligaciones legales que puedan afectar la intimidad de los usuarios y claridad sobre las formas en las que las empresas pueden bloquear contenidos o suspender servicios. Las compañías analizadas fueron Claro, Movistar, Une, ETB y Directv. 
 
La investigación comenzó con una primera evaluación de estos puntos que les fue comunicada a los PSI para informarles el objetivo del análisis y exponerles los resultados preliminares para, en últimas, darles la oportunidad a las compañías de que pudieran mejorar la evaluación inicial, cuenta Carolina Botero, abogada de Karisma, coautora del documento (junto con Laura Mora) y columnista de este diario.
 
“Los resultados: políticas vagas y poco claras, además de ausencia de transparencia acerca del rol que cumplen estas empresas en la entrega de información personal al Gobierno, dejan mucho espacio para mejorar”, dice el informe que precisa que “Karisma estableció que en la mayoría de los términos y las condiciones de uso de los PSI no se establece si estas empresas notifican a sus suscriptores cuando el Gobierno hace solicitudes de información de sus datos, o en caso de hacerlo, no se sabe cómo. Es importante resaltar que esta notificación es esencial para que los usuarios puedan controvertir tales solicitudes o buscar otros recursos legales”.
 
El otro lado de la moneda
 
Lo cierto es que, en cuanto a protección de datos de los usuarios, el peso no sólo recae en las empresas, que siempre son susceptibles de mejoras, sino también en el Estado, en las obligaciones que les impone a éstas. La opinión entre varios expertos es que el panorama legal del país en este aspecto es vago y confuso. 
 
Esta es una de las conclusiones de un informe aparte elaborado por EFF (también en asocio con Karisma y la Comisión Colombiana de Juristas), en el que se examina la legislación que regula la interceptación y el monitoreo de las comunicaciones en el país en diferentes escenarios, bajo distintos actores y motivaciones. El documento será presentado públicamente el viernes.
 
Unas de las normas que rige este aspecto es el Decreto 1704 de 2012, que establece que los proveedores de redes y servicios de telecomunicaciones “deberán mantener actualizada la información de sus suscriptores y conservarla por el término de cinco años”.
 
El reporte asegura sobre este punto que “no es claro el alcance de lo que se les ordena retener a los proveedores de redes y servicios de comunicaciones: si se limita únicamente a la información sobre la identificación de los usuarios (como número de identificación o dirección de correspondencia), o si también cobija la información relacionada con el uso que éstos hacen de los servicios contratados (fecha, hora y duración de una comunicación, historial de navegación, personas con quienes se lleva a cabo la comunicación, etc.)”.
 
Katitza Rodríguez, directora internacional de derechos de EFF y coautora del reporte, ha dicho que el término de retención de datos en el país es excesivo y pone a la ley colombiana como una de las “más draconianas en el mundo: no tiene comparación en la región y sí va a la par de países como China”. El año pasado, Europa declaró inválida la directiva de retención de datos que había aprobado en 2006, por considerar que los plazos que establecía para capturar información de los ciudadanos (entre 6 y 12 meses) eran demasiado amplios.
 
En el espectro de las actividades de inteligencia y contrainteligencia la cosa no cambia mucho, pues allí, la Ley 1621 de 2013 establece que los operadores están obligados a “suministrar a los organismos de inteligencia y contrainteligencia, previa solicitud y en desarrollo de una operación autorizada y siempre que sea técnicamente viable, el historial de comunicaciones de los abonados telefónicos vinculados, los datos técnicos de identificación de los suscriptores sobre los que recae la operación, así como la localización de las celdas en que se encuentran las terminales y cualquier otra información que contribuya a su localización”. En este punto también se establece un plazo de cinco años para los pedidos de información por parte de organismos de inteligencia y contrainteligencia.
 
El reporte de EFF asegura que “la normativa de inteligencia no contempla la notificación a los usuarios de la realización de actividades de vigilancia de las comunicaciones en su contra (…). En otras palabras, en Colombia una persona no puede consultar si existen o han existido en el pasado acciones de inteligencia en su contra, ni pedir su corrección, ni hay un juez que controle la realización de ciertas actividades de inteligencia que inciden en sus derechos fundamentales”. 
 
Vivian Newman, investigadora de Dejusticia, organización que también ha analizado este tema, asegura que en estas leyes “Hay bastante ambigüedad en un tema en el que de por medio están los derechos fundamentales de todos. Las tecnologías han avanzado muy rápido, son menos costosas de adquirir y funcionan de manera más automática. Hay que tener más control aquí”.
 
Esos controles, entonces, quizá podrían provenir de las buenas prácticas de las empresas, como la publicación de informes de transparencia, un asunto que se ha vuelto bastante común entre compañías de tecnología como Google, Twitter o Facebook, por mencionar algunas. En últimas, ambos reportes apuntan hacia los límites y vacíos de la ley, pero también señalan actividades que, desde las compañías, podrían ayudar a mejorar el manejo de la información de los usuarios.
 
En el mundo de hoy el ser humano es tanto cuerpo, como información, sustancia tangible y datos: bits, bytes, megabytes, gigabytes que hoy conforman una especie de identidad que podría llegar a considerarse inmortal. Metadatos le dirían algunos, tal vez. Somos nuestros datos, invisibles y abstractos a veces, binarios por momentos, pero reales y vitales.
 
***
 
Los operadores responden
 
A través de un comunicado, Andesco (asociación que agrupa a empresas como Claro, Telefónica Movistar, ETB y UNE) aseguró lo siguiente: “Nuestras empresas afiliadas han estado en contacto con usted para el desarrollo de su iniciativa denominada “¿sabe dónde están sus datos en este momento?”. Desde Andesco consideramos que estos procesos son de suma importancia para la promoción de los derechos de los usuarios en entornos digitales y específicamente la privacidad de la información de estos últimos. Sin embargo, es importante manifestarle que nuestras empresas afiliadas están dando cabal cumplimiento a todas las normas existentes relacionadas con el “hábeas data”, tal y como lo estipula la Ley 1581 de 2012 y su correspondiente desarrollo reglamentario”.
 
Directv
 
Directv Colombia está altamente comprometido con la protección de la privacidad de los datos de sus clientes y colaboradores, para ello todos sus procesos de negocio cuentan con altos estándares de seguridad de la información dando cumplimiento a las regulaciones existentes.  Directv es consciente de la importancia de la seguridad de la información en el contexto actual, en donde la protección de la privacidad de las personas forma parte esencial de cualquier servicio. Directv cumple la normativa de protección de datos personales de todos sus usuarios de conformidad con las normas legales vigentes.
 
Movistar
 
Esta empresa quiso pronunciarse por aparte, además del comunicado de Andesco, e indicó a través de Fabián Hernández, director de Regulación, Relaciones Institucionales y Fundación de Movistar Colombia, lo siguiente: “Movistar ve de manera positiva los estudios independientes que se realizan sobre la transparencia de los intermediarios de datos en Colombia. Somos los primeros en afirmar que las inquietudes de los usuarios en la actualidad pasan por la seguridad de sus datos personales. Movistar adoptó desde diciembre de 2007, un año antes de que fuera expedida la Ley Estatutaria 1266 de 2008 sobre protección de datos, el Código Interno de Protección de Datos de Telefónica Colombia. Además, con la promulgación de las distintas normativas que se han dado en el pasado reciente sobre este tema, la empresa ha adoptado políticas internas, disposiciones corporativas y procedimientos escritos para la recolección, almacenamiento, uso, circulación y supresión de la información”.