¿Quién defiende tus datos? El informe muestra un progreso de los ISP peruanos en cuanto a la privacidad de los usuarios, pero aún hay que mejorar.

English

Hiperderecho, la organización líder de derechos digitales en Perú, en colaboración con la Electronic Frontier Foundation, lanzó hoy su segundo ¿Quien Defiende Tus Datos? (Who Defends Your Data?), una evaluación de las prácticas de privacidad de los Proveedores de Servicios de Internet (ISPs) que millones de peruanos utilizan cada día. Los resultados de este año resultan más alentadores que los del informe de 2015, ya que Movistar (la marca con la que opera Telefónica de España en Perú) ha mejorado significativamente su política de privacidad, las respuestas a las órdenes judiciales y su compromiso con la privacidad. Cinco de los seis proveedores de servicios de Internet publican ahora políticas específicas y detalladas sobre la forma en que recopilan y procesan los datos personales. Sin embargo, el informe también reveló que hay mucho espacio para mejorar, especialmente en lo que se refiere a la notificación a los usuarios y al compromiso público de los ISP peruanos con la privacidad.

El acceso a Internet ha crecido significativamente en Perú en los últimos años, particularmente a través de redes móviles. Movistar y Claro (América Móvil) son los principales actores, representando el 70% del mercado de Internet. Para las conexiones de telefonía fija, estos dos ISPs llegan a más del 90% de los usuarios en Perú; y solamente Movistar tiene el 74,4% de ellos. El informe también evaluó a otros cuatro operadores de telecomunicaciones: Bitel, Entel, Olo e Inkacel.

Cada día, estos usuarios proporcionan a estas empresas información específica sobre sus movimientos, rutinas y relaciones, un tesoro de datos para las autoridades gubernamentales, que pueden utilizar medidas innecesarias y desproporcionadas para acceder a ellos. Esta amenaza constante de las autoridades del Estado exige la concienciación y la supervisión del público.

Es por eso que este nuevo informe de Perú tiene como objetivo presionar a las empresas para que contrarresten las medidas de vigilancia que se llevan a cabo sin las debidas salvaguardas, y para que sean transparentes en cuanto a sus políticas y prácticas.

El informe de este año, disponible en español, evaluó a cada ISP en cinco categorías:

Política de privacidad:

Para ganar una estrella en esta categoría, una empresa debe haber publicado una política de privacidad que sea fácil de entender. Debe informar al lector sobre qué datos se recogen de ellos, cuánto tiempo se almacenan y para qué fines. El cumplimiento parcial obtuvo una estrella parcialmente llena.

Orden Judicial:

Las compañías ganaron una estrella en esta categoría si requieren que el gobierno obtenga una orden de un juez antes de entregar los datos de los usuarios (ya sea contenido o metadatos). El cumplimiento de este requisito para el contenido de las comunicaciones, pero no para los metadatos, le valió a una empresa una media estrella.

Notificación al usuario:

Para ganar una estrella en esta categoría, las compañías deben prometer informar a sus clientes de una solicitud del gobierno lo antes posible dentro de lo permitido por la ley.

Transparencia:

En esta categoría se buscaron empresas que publicaran informes de transparencia sobre las solicitudes gubernamentales de datos de los usuarios. Para obtener una estrella completa, el informe debe proporcionar datos útiles sobre cuántas solicitudes se han recibido y cumplido, e incluir detalles sobre el tipo de solicitudes, las agencias gubernamentales que hicieron las solicitudes, las razones proporcionadas por la autoridad, y describir las pautas y procedimientos que la compañía adopta cuando una autoridad solicita los datos. Exigimos altos estándares, pero el cumplimiento parcial hizo que las empresas se convirtieran en parte de una estrella.

Compromiso con la privacidad:

Esta estrella reconoce a las empresas que han cuestionado el acceso inexacto o desproporcionado a las solicitudes de datos. También recompensa a las empresas que han adoptado públicamente una posición a favor de la privacidad de sus usuarios ante el Congreso y otros organismos reguladores. El cumplimiento parcial se recompensa con una media estrella.

En el siguiente cuadro se clasifican las seis empresas peruanas de telecomunicaciones:

Este último informe otorga más estrellas que la primera edición, publicada en 2015. En la actualidad, cinco de los seis ISP han publicado sus políticas con información específica sobre la recogida y el tratamiento de datos personales. Sin embargo, Claro y Entel proporcionan esta información utilizando un lenguaje altamente técnico, lo que redujo su puntuación. Para obtener una estrella completa, la información proporcionada debe ser fácilmente comprensible, de lo contrario es sólo una medida formal, con poco o ningún efecto en el empoderamiento de los usuarios para luchar por sus derechos. Aún así, todas las empresas detallan cuánto tiempo y para qué fines se almacenan los datos de los usuarios. Incluso Olo, que no publica una política de privacidad, agregó esta información a su acuerdo regular de prestación de servicios.

También vimos avances en el compromiso de las empresas de exigir una orden judicial antes de entregar los datos a las autoridades gubernamentales. Bitel y Claro obtuvieron media estrella por exigir explícitamente una orden judicial cuando la solicitud se refería al contenido de las comunicaciones. Movistar recibió una estrella completa por adherirse a este compromiso de contenidos y metadatos de los usuarios. En 2015, sólo Movistar recibió algún crédito en esta categoría, con media estrella.

Movistar también destaca en la categoría de transparencia. El informe anual de transparencia de la compañía describe cuántas solicitudes han recibido y cumplido, qué tipo de solicitudes recibieron, así como las pautas y procedimientos que sigue la compañía cuando una autoridad solicita datos. Ser transparente sobre las directrices de aplicación de la ley que siguen las empresas es crucial para arrojar luz sobre la forma en que las empresas tratan internamente las solicitudes de datos de los gobiernos. Esta información permite a los usuarios comprender cómo interpretan y aplican los requisitos legales y si sus procedimientos siguen las salvaguardias nacionales e internacionales. Aunque Bitel y Claro publican las instancias en las que entregan los datos de los usuarios a las autoridades gubernamentales, no profundizaron tanto en los detalles como Movistar.

Todavía queda mucho trabajo por hacer. Ninguna empresa se ha ganado una estrella por su compromiso público de defender la privacidad de sus usuarios, ni en los tribunales ni en los órganos legislativos y reguladores. Del mismo modo, ninguna de las seis empresas se compromete a notificar a sus clientes una solicitud gubernamental lo antes posible permitida por la ley.

El nuevo Código Procesal Penal peruano establece que una vez ejecutada una medida judicial y realizadas las investigaciones inmediatas, el usuario afectado debe ser informado de ello siempre que el objeto de investigación permita la notificación, y siempre que no ponga en peligro la vida o la seguridad física de terceros. A su vez, el controvertido Decreto Legislativo 1182, que regula el acceso directo de las autoridades policiales a los datos de localización, no establece ninguna restricción para la notificación.

Hiperderecho subrayó en el informe: "Incluso si la obligación legal es responsabilidad de la autoridad judicial, hay mucho más que las empresas podrían hacer en este contexto. Pueden llevar un registro de las intervenciones realizadas, promover la notificación a los usuarios tras la expiración de la medida o realizar notificaciones simultáneas con las autoridades (...) de manera que los usuarios puedan hacer valer su derecho a recurrir a los tribunales para solicitar la revisión de la medida o para impugnar las decisiones adoptadas". Estas medidas proactivas son particularmente importantes porque la ley sólo concede a los usuarios tres días hábiles para impugnar estas medidas.

El informe de Hiperderecho muestra que las empresas de telecomunicaciones están avanzando en el cumplimiento de la ley, pero no lo están haciendo tan bien como podrían. Sin embargo, los informes ¿Quién Defiende Tus Datos?, al igual que el proyecto Who Has Your Back? de la EFF, no sólo tratan sobre el cumplimiento de las normas legales establecidas. Su objetivo es empujar a las empresas a ir más allá de los requisitos de la ley. Las empresas peruanas deben hacer más, y nos mantendremos vigilantes para asegurarnos de que eso ocurra.

El informe forma parte de una serie de reportajes sobre América Latina y España adaptados de los informes Who Has Your Back? de la EFF. El año pasado, la Fundación ETICAS de España, la ADC de Argentina, Derechos Digitales de Chile, el Internet Lab de Brasil y la Fundación Karisma de Colombia publicaron sus propios informes.

Related Issues

Privacy

Vigilancia de Estado & Derechos Humanos

International

Join EFF Lists

Related Updates

Deeplinks Blog by Mario Trujillo, Beryl Lipton | January 6, 2025

EFF Goes to Court to Uncover Police Surveillance Tech in California

The private company Pen-Link sued the San Joaquin Sheriff’s Office to block the agency from disclosing to EFF the unredacted contracts between them, claiming the information is a trade secret. We are going to court to make sure the public gets access to these records.

Deeplinks Blog by Lena Cohen | January 6, 2025

Online Behavioral Ads Fuel the Surveillance Industry—Here’s How

Each time you see a targeted ad, your personal information is exposed to thousands of advertisers and data brokers through a process called “real-time bidding” (RTB). This process does more than deliver ads—it fuels government surveillance, poses national security risks, and gives data brokers easy access to your online activity...

Deeplinks Blog by Hayley Tsukayama, Rindala Alajaji | December 30, 2024

State Legislatures Are The Frontline for Tech Policy: 2024 in Review

State lawmakers are increasingly shaping the conversation on technology and innovation policy in the United States. As Congress continues to deliberate key issues such as data privacy, police use of data, and artificial intelligence, lawmakers are rapidly advancing their own ideas into state law. That’s why EFF fights for internet...

Deeplinks Blog by Thorin Klosowski | December 28, 2024

Cars (and Drivers): 2024 in Review

If you’ve purchased a car made in the last decade or so, it’s likely jam-packed with enough technology to make your brand new phone jealous. Modern cars have sensors, cameras, GPS for location tracking, and more, all collecting data—and it turns out in many cases, sharing it.Cars Sure Are Sharing...

Deeplinks Blog by Paige Collings | December 27, 2024

Global Age Verification Measures: 2024 in Review

EFF has spent this year urging governments around the world, from Canada to Australia, to abandon their reckless plans to introduce age verification for a variety of online content under the guise of protecting children online. Mandatory age verification tools are surveillance systems that threaten everyone’s rights to...

Deeplinks Blog by Daly Barnett | December 27, 2024

The Growing Intersection of Reproductive Rights and Digital Rights: 2024 in Review

Dear reader of our blog, surely by now you know the format: as we approach the end of the year, we look back on our work, count our wins, learn from our misses, and lay the groundwork strategies for a better future. It's been an intense year in the fight...

Deeplinks Blog by Josh Richman | December 23, 2024

EFF in the Press: 2024 in Review

EFF’s attorneys, activists, and technologists were media rockstars in 2024, informing the public about important issues that affect privacy, free speech, and innovation for people around the world. Perhaps the single most exciting media hit for EFF in 2024 was “Secrets in Your Data,” the NOVA PBS documentary episode...

Deeplinks Blog by Thorin Klosowski, Lena Cohen, Cooper Quintin, Paige Collings, Christian Romero, Jason Kelley, Mario Trujillo, Joe Mullin, Bill Budington, Guest Author | December 19, 2024

The Breachies 2024: The Worst, Weirdest, Most Impactful Data Breaches of the Year

Privacy isn’t dead. While some information about you is almost certainly out there, that’s no reason for despair. In fact, it’s a good reason to take action.

Deeplinks Blog by Paige Collings | December 18, 2024

Australia Banning Kids from Social Media Does More Harm Than Good

Age verification systems are surveillance systems that threaten everyone’s privacy and anonymity. But Australia’s government recently decided to ignore these dangers, passing a vague, sweeping piece of age verification legislation after giving only a day for comments. The Online Safety Amendment (Social Media Minimum Age) Act 2024,...

Deeplinks Blog by Jillian C. York | December 16, 2024

Saving the Internet in Europe: How EFF Works in Europe

This post is part one in a series of posts about EFF’s work in Europe. Learn more about how we defend freedom of expression in Europe here.EFF’s mission is to ensure that technology supports freedom, justice, and innovation for all people of the world. While our work has taken...

Related Issues

Privacy

Vigilancia de Estado & Derechos Humanos

International

Security Education

Search form