Privacidad y protección de datos personales son temas que vienen siendo muy discutidos durante los últimos días. El escándalo que protagonizó Facebook y Cambridge Analytica reabrió un debate que nunca debió haberse ido. Cómo las empresas manejan los datos personales de sus usuarios.
En el Perú, existe una ley y una dirección que ordena todo eso. La ley de protección de datos personales y la dirección nacional de transparencia y protección de datos personales, dependiente del ministerio de justicia y derechos humanos. Entre otras cosas, esta ley obliga a las entidades que procesan datos personales a publicar una política de privacidad para informar a sus usuarios cuáles son sus derechos, cuál es la finalidad o propósito del tratamiento de sus datos o informarles dónde van a estar almacenados.
Como obligación específica, obliga a las empresas de telecomunicaciones a velar por la confidencialidad, seguridad, uso adecuado e integridad de los datos personales que obtengan de sus abonados y usuarios. Además, prescribe que no podrán hacer un uso de esos datos distinto al que el usuario permitió. Sin embargo, esta obligación puede excepcionarse si la empresa recibe una orden judicial o de autoridad competente. Entonces, ¿qué hace una empresa de telecomunicaciones cuando recibe una orden judicial solicitando información confidencial sobre un usuario?
Hiperderecho quiso responder esa pregunta. Por segunda vez, evaluó las políticas de privacidad de las empresas que proveen servicios de telecomunicaciones. En el reporte “¿Quién defiende tus datos?”, midió el compromiso que tienen con sus usuarios, respecto a cómo manejan sus datos personales y a quién y cuándo los comparten. Algunas de las cuestiones que analizó fueron cómo publican sus políticas, qué procesos tienen cuando reciben una orden judicial o administrativa, qué tipo de lenguaje utilizan en sus documentos, cómo y cuándo se comunican con sus usuarios cuando una entidad solicita sus datos, qué tipo de reportes publican en sus plataformas, entre otras.
La metodología fue sencilla. Revisó qué información está publicada en las páginas web de cada empresa que presta servicios de telecomunicaciones en el Perú. No solicitó información específica. Su objetivo era saber qué información proporcionan las empresas a un usuario medio.
Cada empresa obtuvo una calificación. En la medida que el diseño de sus políticas y sus prácticas cumplimentaban con los criterios de evaluación, mejor era el resultado. Ninguna empresa obtuvo una calificación significativa. Principalmente, porque no hay información publicada y destacable que ayude al usuario a entender cómo manejan sus datos personales.
En un contexto donde sigue existiendo una ley que permite a la policía a solicitar datos de geolocalización sin orden judicial, donde cada vez más entidades públicas y empresas utilizan verificación de identidad biométrica, donde los mecanismos de seguridad del Estado fallan, es cuando los usuarios deben estar mejor protegidos. Al menos como política de ventaja competitiva, las empresas deben promover y destacarse por detallar mejor sus procesos.
Este informe se irá actualizando año a año. Por el bien de los usuarios, de sus derechos y garantías, esperamos que el próximo reporte refleje mejores resultados.
El informe puede revisarse en este enlace: hiperderecho.org/qdtd
Director de Proyectos (2016-2018)
Abogado por la Universidad Blas Pascal de Córdoba (Argentina) y la Pontificia Universidad Católica del Perú. Candidato a Máster en Derecho y Tecnología por la Universidad de Tilburg (Holanda).