Movistar es la empresa de telecomunicaciones con mejor desempeño en materia de protección de la información de sus usuarios. Así lo indica la tercera edición del informe “¿Quién defiende tus datos? Argentina” de la Asociación por los Derechos Civiles, que evalúa la manera en que 7 grandes compañías de este rubro âPersonal, Telecentro, Movistar, Arlink, DirecTV, IPLAN y Claroâ protegen la privacidad y datos personales de sus clientes.
Las obligaciones legales de estas empresas respecto del tratamiento de la información de sus usuarios están determinadas, entre otras normativas, por la Ley Nacional de Datos Personales. Esta regulación data del año 2000 y, con el avance de la big data y las telecomunicaciones en las últimas décadas, ha quedado desactualizada ante nuevos parámetros internacionales. En septiembre de 2022, la Agencia de Acceso a la Información Pública (AAIP) promovió la discusión de un anteproyecto que enfatiza el deber de las compañías en la recolección y tratamiento de estos datos. Hasta su aprobación, continuará existiendo cierta laxitud y opacidad respecto a las obligaciones de las empresas.
De conformidad con el artículo 6 de la ley actual, las 7 compañías estudiadas informan al usuario sobre la finalidad para la que son recolectados sus datos. Sólo 4 empresas, sin embargo, especifican de forma detallada y clara para el titular de la información los fines de su recopilación y se comprometen a no exceder dichos usos: Movistar, DirecTV, IPLAN y Claro. Personal y Telecentro, las dos compañías con mayor participación en la provisión de internet fijo en el primer semestre de 2021, según la Cámara Argentina de Internet (CABASE), proveen esta información de manera más vaga y ambigua. Arlink, que concentra el 1.67% de este servicio, los explica de manera detallada, pero no se compromete de forma explícita a limitarse a dichos fines.
“Como se masificó mucho el uso de datos, eso debería haber venido de la mano de informar la finalidad de la recolección de manera más precisa, informar los cambios en la política de manera más precisa y salir un poco de lo que la ley te obliga a hacer, es decir, tomar la ley como piso mínimo, pero mejorar a partir de ahí”, explicó Victoria Penas, autora del informe y abogada especialista en Derecho Internacional Público y Penal, a elDiarioAR.
El aumento del volumen de datos recolectados y utilizados surge, en parte, de la ampliación de la conectividad en el país. Según cifras del Instituto Nacional de Estadística y Censos (INDEC), durante el cuarto trimestre de 2022, los accesos a internet fijos ascendieron a 7.946.140, mientras que los móviles alcanzaron 36.616.187. Esto representó un incremento interanual de 1.3% y 6.8%, respectivamente. En este contexto, como destaca la especialista, las empresas podrían haber avanzado más allá de los requerimientos mínimos de la ley para ajustarse a las nuevas circunstancias.
Las compañías, sin embargo, continúan aprovechando la laxitud de la norma y suelen atenerse únicamente a los parámetros establecidos a principios de siglo. Esto se da, por ejemplo, en lo referente a la calidad de los datos. Si bien todas las empresas relevadas tienen su base de datos inscripta en la AAIP, Arlink, DirecTV y Claro no presentan otra expresión clara de compromiso con la veracidad y precisión de los datos recolectados. En estos casos, garantizar la calidad de los datos âdeber establecido en el artículo 4 de la Ley Nacional de Protección de Datos Personalesâ es responsabilidad exclusiva de los usuarios. Las empresas podrían solicitar periódicamente una actualización de la información para compartir con su clientela el deber en cuestión y evitar que el titular de los datos tenga que solicitar, por su cuenta, la rectificación correspondiente ante cambios de domicilio, correo electrónico u otro dato personal.
En cuanto a la seguridad de los datos, sucede algo similar. Aunque las 7 empresas estudiadas se comprometen a adoptar las medidas necesarias para cumplir con este deber, contemplado en el artículo 9 de la ley, sólo Movistar aclara qué tipo de sistema utiliza para proteger los datos y evitar su uso desautorizado, lo que brinda mayor transparencia a su clientela. Las compañías restantes no explicitan qué herramientas concretas usan o, en el caso de DirecTV e IPLAN, exhiben un compromiso muy laxo que deja margen para un manejo poco cuidadoso de los datos.
Para cumplir con su deber de proteger la información de sus usuarios, las compañías de telecomunicaciones, además, están obligadas por ley a mantener la confidencialidad. El Estado es el único agente que puede solicitarles datos, metadatos o intervenciones de comunicaciones a las empresas para llevar adelante investigaciones penales.
En virtud del artículo 10 de la ley, las empresas deben entregar esta información a las autoridades gubernamentales cuando haya una orden judicial de por medio y/o cuando medien razones fundadas relativas a la seguridad pública, defensa nacional y salud pública. “Lo que debería ser habilitante de una solicitud de datos, en principio, debería ser una orden judicial. Puede haber un caso concreto de datos no tan identificables que no comprometan tanto al sujeto que puedan ir por la vía administrativa”, detalló Penas a elDiarioAR.
De conformidad con la norma, la política de Telecentro contempla la entrega de datos al Estado ante estas circunstancias, pero no especifica qué implican todas aquellas situaciones en las que no es necesaria una orden judicial. Movistar presenta una política igualmente ambigua: pide resolución judicial, pero no aclara los requisitos para aquellos pedidos que se hacen por vía administrativa ni con qué frecuencia se entrega información sin autorización legal previa. Arlink, DirecTV e IPLAN, a su vez, no mencionan una orden judicial o resolución equiparable como requisito para la cesión de datos al gobierno. América Móvil, empresa dueña de Claro, expone la necesidad de presentar una orden judicial en su página web, pero no figura en el sitio local de la sucursal argentina.
La evaluación de las solicitudes de datos para determinar si son pertinentes, a pesar de constituir un aspecto central para preservar el derecho a la privacidad de los usuarios, es poco común entre las empresas estudiadas: sólo los departamentos legales de IPLAN y Claro examinan el pedido gubernamental. Esta falta de rigurosidad a la hora de responder a los pedidos gubernamentales deja amplio margen de discrecionalidad al accionar del Estado y, tal como establece la especialista, es central que las empresas comiencen a fijar requisitos claros. “Cuanto más alto se le pone la vara al Estado, más transparente se vuelve el ejercicio de sus funciones”, señaló.
Tal como explicó a elDiarioAR la autora del informe, las empresas de telecomunicaciones podrían adoptar medidas que excedan los deberes mínimos estipulados en la Ley Nacional de Protección de Datos Personales vigente actualmente. En relación a las solicitudes gubernamentales de información, las compañías podrían notificar a los titulares antes pedidos de información y publicar estadísticas sobre estos pedidos en informes de transparencia en sus páginas web. Se trata de documentos periódicos en las que debería figurar la cantidad de solicitudes recibidas por parte de fuerzas de seguridad y organismos estatales, cuántas se aceptan o rechazan y quiénes son los agentes solicitantes en cada caso.
Del total de empresas analizadas, sólo 3 empresas comunican a sus usuarios sobre este tipo de pedidos: Movistar lo hace a través del Informe anual de Transparencia de las Telecomunicaciones que publica en su página web, Claro mediante un apartado en los Informes de sustentabilidad de América Móvil, mientras que IPLAN las publica por fuera de estos documentos. “Los informes le permiten a la gente saber, primero, que las empresas reciben solicitudes de datos, que es algo que no toda persona usuaria conoce, y, segundo, el volumen de solicitudes, qué tipos de datos se requieren, si son intervenciones de comunicaciones, datos de tráfico de internet, etc”, detalló Penas a este medio.
Movistar e IPLAN también han avanzado con la adopción de políticas para responder ante violaciones de los derechos de su clientela. Ambas compañías crearon canales de denuncia específicos para casos de vulneración de la privacidad. Estos canales deben ser de rápido acceso para los clientes para que sean eficientes. “Estamos hablando de temas por los que, en general, la gente no reclama y si, además, el canal de denuncia tenés que encontrarlo en el último rincón de la página, probablemente las personas menos lo hagan”, agregó la autora en comunicación con elDiarioAR.
ACM