Esta semana se habló mucho sobre cómo se almacena nuestra información dentro de las empresas de telecomunicaciones. A propósito del caso del registro de llamadas que Telefónica tendría de Keiko Fujimori, vale la pena entender qué tipo de información se encuentra bajo el poder de estas empresas y bajo qué reglas se trata.
A través de una nota periodística, supimos que hace unos meses Telefónica se negó a cumplir con dos órdenes judiciales que la obligaban a entregar la información del tráfico de llamadas de ciertas líneas de la ex candidata. La negativa de la empresa se sustentaba en que la información solicitada comprendía registros de un plazo mayor al que legalmente se debía conservar (tres años) y, por ende, no contaba con la misma. Sin embargo, una trabajadora de la empresa del área encargada de responder a las autoridades descubrió en su momento que esta información sí existía en el sistema y ahora denuncia que la empresa negó el acceso de forma deliberada. Posteriormente, en algo que Telefónica ha repetido esta semana, se supo que la empresa siempre tuvo la información solicitada.
Ante ello, caben hasta tres lecturas de los hechos. La primera, propuesta por la nota periodística, es que Telefónica tendría algún motivo político particular para negar el acceso a esta información. Esto significa que simplemente usó como excusa el plazo legal con un fin ulterior: encubrir a Keiko Fujimori. Aunque es posible, creo que esta teoría es la menos interesante para aprender más sobre nuestros derechos como usuarios. Sin descartarla, vamos a dejar esta lectura a un lado para explorar otras dos posibles explicaciones de los mismos hechos.
Una segunda versión es que Telefónica quiso admitir ante las autoridades que contaba con esta información porque era ilegal tenerla. La información de a quién llamamos, a qué hora, desde dónde y con qué frecuencia es información privada que, según la ley peruana, debe de tratarse y protegerse como un dato personal. Por regla general, para almacenar información de este tipo las empresas necesitan contar con el consentimiento del usuario o estar amparados bajo una excepción al consentimiento según la Ley de Protección de Datos. Esta excepción podría hallarse en el mandato legal de conservación de datos del Decreto Legislativo 1182 o la Ley 27336 pero, como se ha mencionado, el mismo solo autoriza a conservar los datos derivados de las comunicaciones por hasta tres (3) años. De hecho, la propia Política de Privacidad Global de Telefónica señala que los datos solo se conservan por el periodo que manda la Ley o “si es necesario para un fin legítimo”. Algo similar dicen otros operadores como Claro, aunque esta semana también se supo que entregan información más antigua.
En ausencia de un consentimiento expreso, Telefónica y las demás operadoras han fallado en explicar por qué periodo se han tomado la libertad de conservar nuestros datos y con qué finalidad. Tampoco pueden ampararse en la excepción según la cual los datos serían necesarios en tanto sea necesario para la prestación del servicio porque es difícil imaginar de qué manera nuestro registro de llamadas o desplazamientos de hace cuatro años sirve para darnos un mejor servicio hoy. Gracias a este caso, hoy sabemos que las empresas operadoras conservan nuestra información más allá del plazo legal requerido pero seguimos sin saber hasta cuándo o qué hacen con dicha información.
La tercera lectura de los hechos es de la empresa operadora como una férrea defensora de la privacidad de sus usuarios. Es difícil verlo por lo polarizante de la situación particular: una investigación por corrupción contra Keiko Fujimori. Pero pensemos en términos generales. Por ejemplo, nada justificaría que Telefónica desobedezca su mandato de salvaguardar el secreto de las telecomunicaciones permitiendo la intervención de las comunicaciones sin orden judicial. De la misma manera en que la empresa se opondría a cumplir con una orden que carezca de debido proceso, bien podría ser que la misma asuma el compromiso de solo cumplir con órdenes de cooperación emitidas dentro del marco de la ley. En ese sentido, podría decirse que una orden de acceso a datos relacionados con las comunicaciones que abarque un período más allá del legalmente exigible (tres años, en este caso) tienen un vicio de forma y debe de ser obedecido parcialmente. Eso han hecho y hacen muchas empresas en todo el mundo que entienden como parte de su compromiso con la privacidad el oponerse a órdenes oficiales indebidamente sustentadas. Aunque es la lectura que más me gusta, también es la más débil de sostener a la luz del posterior comportamiento de la empresa y sus declaraciones.
Lo que parece quedar claro es que como usuarios necesitamos mayor información sobre qué tipo de datos conservan las empresas, para qué los usan, por cuánto tiempo los conservan y en qué situaciones los comparten con terceros. Ninguna empresa operadora local ha respondido claramente esta pregunta, como se evidencia en la desconocimiento que incluso las autoridades judiciales exhiben sobre lo que pueden o no pedir. Afortunadamente, la Ley de Protección de Datos nos otorga el derecho de solicitar gratuitamente a cualquier empresa que trate nuestros datos personales el detalle de qué datos tiene, su origen (incluyendo qué período de tiempo abarca) a través de una Solicitud ARCO disponible en las páginas web de las empresas. Va a depender de nosotros exigir estas respuestas.
Foto: John Barkiple para Unsplash
Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Hola
Me parece que la coyuntura nos permite fijarnos en un aspecto de la legislación que dice mucho sobre como estas se construyen y configuran: mientras que la tendencia en ciertos lugares es a que la retención de datos sea la del menor tiempo posible (ver RGPD), en nuestra legislación, por el contrario, se establece (solo) un MINIMO y no un maximo, que en el mundo de hoy es lo que corresponderia.
Como sociedad nos corresponde demandar un cambio en la legislación para que nosotros, es decir, nuestros datos, se manejen y conserven de la manera más transparente posible y que no se dejen a lo que las corporaciones crean conveniente.