Gracias a una investigación de Ernesto Cabral para Ojo Público, este mes conocimos más sobre el negocio de venta de datos de sus usuarios que Telefónica viene desarrollando en Perú y otros países de la región. Siguiendo la pista de las grandes compras públicas, Ojo Público encontró varios contratos suscritos por Telefónica con PromPerú y la Autoridad Autónoma del Sistema Eléctrico de Transporte Masivo de Lima y Callao por más de US$ 1 millón de dólares americanos y no precisamente por servicios de telefonía o Internet.
El servicio que Telefónica brinda, a través de su unidad de inteligencia datos llamada LUCA, es la información sobre circulación de personas en Perú en base a cómo se desplazan sus usuarios de telefonía móvil. Así, por ejemplo, Telefónica puede decirle a PromPerú cuántas personas de Independencia visitan Huancayo o Huaraz al mes o señalar a la empresa de publicidad exterior Clear Channel la cantidad de mujeres de nivel socioeconómico B o C que transitan por determinada esquina.
Telefónica no obtiene esta información de ninguna aplicación o red social a la que los usuarios se han suscrito voluntariamente, sino del propio funcionamiento de su red celular que necesita de nuestra ubicación en tiempo real para prestarnos servicios. Lo que esta investigación revela es que la información de nuestros desplazamientos, sumada a la de un perfil personal generado por Telefónica (sexo, nivel socioeconómico, edad), es explotada comercialmente sin que lo sepamos y transferida a terceros. La información que entrega Telefónica como parte de este programa no son solo mapas de calor o gráficos estadísticos, sino también hojas de cálculo con información desagregada por grupos y tipos de personas. En la investigación de Ojo Público se da cuenta de cómo, en base a la información vendida por Telefónica a PromPerú y obtenida por transparencia pública, fue posible identificar a una persona que confirmó haber hecho los viajes dentro del país registrados en la base de datos de Telefónica simplemente cruzando estos datos con información disponible en las redes sociales.
Creemos que este caso plantea preguntas muy oportunas sobre los límites exactos de protección bajo nuestra Ley de Protección de Datos Personales. Según la ley vigente, solo los datos que sirvan para identificar a una persona están protegidos. Por ende, podrían ser tratados libremente y sin permiso los datos previamente anonimizados sin posibilidad de que vuelvan a servir para identificar a alguien. No obstante, en la actualidad cada vez es más sencillo cruzar referencias en bases de datos y los límites de lo realmente anonimizado están en constante evolución. Por esto, es necesario que prácticas como las investigadas sean revisadas en detalle por la Autoridad de Protección de Datos no solo en términos de diseño sino también de implementación, para asegurarnos de que en ningún caso se entreguen datos que puedan servir para identificar a alguien.
Por eso, esta semana Hiperderecho ha presentado dos denuncias sobre este caso contra Telefónica. La denuncia ante la Autoridad de Protección de Datos (PDF) busca que se investigue en detalle la legalidad de tres prácticas: (i) el procesamiento de datos de desplazamientos combinados con el perfil del usuario con fines distintos a la prestación del servicio de telefonía móvil, (ii) la comercialización con terceros de estas bases de datos, y, (iii) si los terceros que compraron el acceso a estas bases de datos han incurrido también en infracción. En paralelo, también hemos presentado una denuncia ante OSIPTEL (PDF) porque, en su calidad de empresa prestadora de un servicio público, Telefónica está sujeta a obligaciones y reglas especiales sobre lo que puede y no puede hacer con los datos de sus usuarios. En concreto, las Condiciones de Uso de Servicios Públicos de Telecomunicaciones aprobadas por OSIPTEL prohíben que las empresas usen los datos personales de sus usuarios para fines distintos de la prestación misma del servicio.
En ambos casos, serán las autoridades de datos personales y de telecomunicaciones las llamadas a recoger evidencias, valorar los argumentos de la empresa y finalmente decidir si corresponde emitir una sanción. En Hiperderecho creemos que existe un lugar para el big data y el procesamiento de datos para negocios en el marco de los derechos humanos. Casos como estos precisamente nos ayudan a trazar mejor este límite y contribuyen a la educación pública sobre el ciclo de vida de nuestros datos. Obviamente, este caso no sería posible sin la colaboración de nuestras amigas y amigos de Ojo Público, su paciente investigación y gran disposición a colaborar con nosotros. Esperamos pronto mantener a todos al tanto de cómo marchan ambos casos.
Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Excelente trabajo. Siempre es reconfortante leer sobre su trabajo.