¿Cómo protegen las empresas de
telecomunicaciones nuestra información
cuando el Estado toca la puerta?
Evaluamos las políticas y prácticas de privacidad de los proveedores de telecomunicaciones en Perú para que los usuarios tomen decisiones informadas respecto de las compañías que les proveen los servicios de telefonía e Internet. Estos fueron nuestros resultados.
Índice
3.2. Obligaciones legales en materia de privacidad
4.1. ¿A quiénes hemos evaluado?
4.2. ¿Qué información hemos analizado?
4.3. ¿Cuáles han sido los criterios o categorías de análisis?
5. Resultados de la evaluación (individual)
6. Resultados de la evaluación (consolidado)
1. Presentación
El reporte “¿Quién defiende tus datos” (QDTD) es un instrumento de análisis cualitativo que identifica cuáles son las prácticas de las empresas que proveen acceso a Internet respecto de la protección de la privacidad de sus usuarios. Su finalidad es ofrecer información comparativa que permita a los usuarios de estos servicios conocer qué empresas emplean las mejores prácticas a la hora de proteger el secreto de sus comunicaciones e informar sobre la forma en que sus datos personales se usan y son compartidos con terceros, especialmente con agentes u oficinas del gobierno. Los resultados también buscan motivar a las empresas a mejorar dichas prácticas y convertirlas en un elemento diferenciador de sus servicios en el mercado.
La idea y el desarrollo de este instrumento pertenece a la Electronic Frontier Foundation (EFF). Desde 2011, a través de sus reportes Who Has Your Back? Protecting Your Data From Government Requests,[1] la EFF viene documentando las prácticas de las principales empresas proveedoras de Internet en Estados Unidos, analizando sus políticas corporativas públicamente disponibles y destacando sus mejores prácticas. Desde 2015, con el apoyo de la propia EFF, otras organizaciones latinoamericanas han adoptado esta iniciativa y la han adaptado a sus propios países. Hiperderecho es la organización que se encarga de editar y difundir el reporte sobre Perú.
El reporte QDTD Perú: 2020 es la tercera edición de esta serie, luego de las ediciones de 2015 y 2019. En esta nueva entrega, no solo se ha actualizado la información sobre el contexto local[2] sino que, por primera vez, se han hecho modificaciones a las categorías de análisis con el fin de presentar un análisis más detallado de la forma en que las empresas protegen la privacidad de sus usuarios. Las evaluadas de este año son: Telefónica, Claro, Entel y Bitel. Todas ellas, que concentran casi la totalidad del mercado de acceso a Internet del Perú, son analizadas bajo siete categorías que miden los esfuerzos que las empresas de este tipo pueden (o deberían) realizar en favor de la privacidad y en estricto cumplimiento de nuestro marco legal.
Este reporte se suma a la larga lista de reportes QDTD de la región, de los cuales se han tomado las mejores prácticas, siendo algunos de ellos: Fundación Karisma en Colombia[3], Red en Defensa de los Derechos Digitales en México[4], InternetLab en Brasil[5], TEDIC en Paraguay[6], Derechos Digitales para Chile[7], Asociación por los Derechos Civiles en Argentina[8] e IPANDETEC en Panamá[9].
2. Principales hallazgos
- En cuanto al desarrollo del mercado de servicios de telecomunicaciones, la tendencia observada en las ediciones anteriores se mantiene. En el segmento de Internet doméstico existe una clara dominancia de una empresa, mientras que en el de Internet móvil existe una distribución más equitativa y por consiguiente el entorno de competencia es mayor. Esta tendencia se enmarca además en un contexto de rápido crecimiento de todos los tipos de conexiones, lo que probablemente se haya incrementado todavía más a propósito del COVID-19. Este crecimiento del mercado hace prever que en el mediano y largo plazo, la demanda por productos y servicios mejor diferenciados se incremente.
- No hay mayores cambios en el ámbito de la normativa legal del sector telecomunicaciones, además de las recientes medidas adoptadas a propósito del COVID-19. No obstante, es preciso señalar que debido a los problemas originados a partir de la brecha digital, que se ven agudizados por la pandemia, el gobierno ha tomado varias veces la decisión de exigir que las empresas de telecomunicaciones no corten el servicio de Internet a sus clientes en ninguna circunstancia, ni siquiera cuando estos no hayan cumplido con el pago. Las repercusiones de estas medidas en el plano legal y económico solo podrán conocerse en los próximos años.
- En lo que se refiere a las evaluaciones, a diferencia de años anteriores, en donde la regla ha sido que las empresas obtengan calificaciones desaprobatorias, en la presente edición son hasta dos las empresas que han obtenido calificaciones aprobatorias, las que son además bastante altas. En el caso de las demás, si bien no han obtenido notas aprobatorias, no han empeorado respecto del reporte anterior, pese a que este año se han evaluado más categorías. Varios factores pueden haber contribuido a ello, pero quizás uno de los demás determinantes es que las empresas con mejor puntaje son aquellas que, habiendo sido contactadas, han remitido sus respuestas con el fin de corregir o complementar la información obtenida durante nuestro análisis preliminar.
- En el caso de las categorías de “Políticas de Privacidad” y “Autorización Judicial”, casi todas las empresas han obtenido los puntajes completos. Por supuesto, esto se debe a varios factores: las leyes vigentes de telecomunicaciones y protección de datos del país, el interés creciente de la sociedad por el resguardo de la privacidad, las obligaciones internacionales a las que están sujetas las empresas transnacionales, etc. No obstante todo ello, no deja de ser positivo que se haya llegado por fin a un “piso” mínimo desde el cual partir para realizar mejoras más sustantivas.
- En el caso de la categoría “Notificación a Usuarios”, gracias a las contribuciones de las dos empresas que enviaron sus respuestas hemos detectado una posible ventana de oportunidad para mejorar cómo esta se define y evalúa. Como nos lo han señalado por separado, ambas empresas han manifestado la posición de que notificar a sus usuarios de la intervención a sus comunicaciones no solo es ilegal sino que es imposible de hacer en la práctica. Teniendo en cuenta la forma en que se ha entendido esta categoría en otros países donde se realizan reportes QDTD y habiendo analizado las leyes peruanas, consideramos que si bien el argumento sobre la legalidad es discutible, tendremos en cuenta las cuestiones prácticas presentadas. Así pues, en el siguiente reporte convendría explorar mejor este hecho.
- Otra de las mejoras que puede resaltarse es que ahora son dos las empresas que publican reportes en donde transparentan la forma en que reciben y califican las solicitudes de acceso a la información por parte de entidades públicas en Perú. No obstante, consideramos que documentos de este tipo deberían ser promovidos y visibilizados en mayor medida de forma interna y también frente ante sus respectivas audiencias.
- Finalmente, hemos encontrado positivo descubrir que, pese a que localmente no se percibe a las empresas de telecomunicaciones como actores confrontacionales frente al Estado, en realidad estas sí han accionado diferentes mecanismos de opinión, consulta e incluso objeción a ciertas prácticas contrarias a la privacidad. Sin embargo, al igual que en el caso de los documentos de transparencia, consideramos que debería existir más visibilidad en este tipo de acciones por lo menos hacia actores interesados (como ONGs locales e internacionales, usuarios, etc.), entre los cuales se puede construir con el tiempo una red de apoyo que descanse en sus agendas comunes.
3. Contexto
3.1. Mercado de servicios
El servicio de provisión de acceso a Internet está reconocido legalmente en nuestro país como un servicio público de valor añadido de conmutación de datos por paquetes. Para su prestación en el mercado nacional es necesario contar con una concesión otorgada por el Ministerio de Transportes y Comunicaciones (MTC). Todas las empresas concesionarias que prestan este servicio están bajo supervisión del MTC y del Organismo Supervisor de la Inversión Privada en Telecomunicaciones (OSIPTEL) en los asuntos de su competencia conforme a la regulación sectorial. Asimismo, las empresas que concurren en este mercado están sujetas a un régimen de libre competencia bajo los principios de servicio con equidad, no discriminación y neutralidad[10].
En el último lustro, el número de conexiones a Internet se ha incrementado sustantivamente, especialmente a partir del mayor acceso de la población a los dispositivos móviles. Hoy en día, la mayoría de usuarios se conectan a través de servicios de banda ancha móvil y, en segundo lugar, a través de conexiones fijas (xDSL, Cablemódem y otras tecnologías). Desde 2019, OSIPTEL habilitó un repositorio de datos abiertos, PUNKU, en donde periódicamente se publican estadísticas que detallan el desarrollo de este mercado y permiten vislumbrar sus tendencias y particularidades.[11]
A continuación, vamos a presentar algunas estadísticas que nos permiten conocer el contexto en el que se sitúa este reporte, las cuales se han obtenido consultando el repositorio PUNKU de OSIPTEL:
N° de Conexiones Fijas
En el caso del acceso a Internet fijo o domiciliario, el tamaño del mercado hacia finales de 2019 era de 2,417,025 abonados, que se hallaba repartido de la siguiente forma: Telefónica ocupaba el primer lugar con 69.8% (1,687,435), seguido de lejos por Claro con 23% (556,353), luego Entel con 6,2% (149,465) y el resto de operadores con 1% (23,772). Aunque Telefónica mantiene una posición dominante, si se comparan con las cifras ofrecidas en los reportes 2015 y 2019 de QDTD Perú, es posible apreciar que la cuota de mercado de Claro ha crecido de forma significativa, debido posiblemente al crecimiento mismo de este segmento, pero también a la diversificación de la oferta de Internet para hogares.
[Actualización COVID-19]
Vale la pena señalar que al momento de cierre de la edición de este reporte, entidades como el MTC y OSIPTEL han manifestado que el tráfico de Internet en hogares ha ido en aumento entre febrero y junio de 2020. Esto se debería principalmente al uso intensivo de este servicio a propósito de medidas dispuestas por el gobierno como la virtualización de la enseñanza básica y superior, la implementación del trabajo remoto, así como el mayor tiempo de ocio producido por el aislamiento social obligatorio.[12]
Es posible imaginar que, como consecuencia directa del COVID-19, podamos ver en los próximos años un crecimiento mayor de las conexiones fijas de Internet en detrimento de las conexiones móviles. Esto por cuanto estas últimas, si bien más extendidas, no parecen ser una solución de mediano y largo plazo en términos de volumen de transmisión de datos y estabilidad, que parecen ser indispensables para actividades como el teletrabajo o el entretenimiento a través de streaming.
N° de Conexiones Móviles
En el caso de las conexiones móviles, que son el segmento comercial de mayor expansión en el país, podría decirse que no existen tantas diferencias entre los principales competidores. El tamaño del mercado al primer trimestre del año 2020 era de 39.13 millones de líneas móviles[13], repartidas de la siguiente forma: En primer lugar Telefónica con 31,77% (12,433,166), seguido por Claro con 29,99% (11,733,913). Le siguen Entel con 20,99 (8,212,213) y de cerca Bitel con 17,2% (6,728,794). Muchísimo más atrás se encuentran otros dos competidores relativamente nuevos: Inkacel, con 0,05% (19,956) y Cuy Móvil con 0,004% (1,565), ambos concurriendo al mercado como Operadores Móviles Virtuales (OMV), una modalidad de concesión en la que el operador ofrece sus servicios empleando la infraestructura de telecomunicaciones de operadores ya existentes.[14]
Ahora bien, mientras que el universo antes descrito conforma el total de líneas móviles que potencialmente podrían conectarse a Internet, es necesario recalcar que en el mismo período (primer trimestre de 2020), las que se conectaron efectivamente fueron solo 24.9 millones, de las cuales 17.24 millones lo hicieron mediante conexión 4G. Aunque no hay información desagregada al respecto, es posible conjeturar que en los demás casos, estamos ante líneas inactivas o que no se han podido conectar a Internet por diferentes motivos como falta de infraestructura, poca oferta, precios prohibitivos, etc.
[Actualización COVID-19]
Igual que en el caso de las líneas fijas, el acceso a Internet móvil ha enfrentado algunos desafíos desde el inicio de la pandemia. No obstante, al ser esta la tecnología más empleada para conectarse a Internet en el país, en ciertos casos se han propuesto políticas específicas para mitigar los posibles daños que ocasionaría la interrupción del servicio. Por ejemplo, el OSIPTEL estableció tempranamente la prohibición de cortar o suspender el servicio por falta de pago[15]. También, cuando se decidió virtualizar algunos servicios como la educación, se llegó a un acuerdo con las operadoras para poder ofrecer acceso a ciertas páginas y aplicativos bajo la modalidad de zero rating.[16]
3.2. Obligaciones legales en materia de privacidad
Cuando hablamos de obligaciones legales nos referimos específicamente a cualquier disposición del ordenamiento legal peruano (leyes, decretos, resoluciones, etc.) que afecte la actividad de las empresas, dando como resultado que estas se conduzcan de cierta forma en el mercado de servicios. En lo que respecta a la privacidad, estas obligaciones pueden agruparse en dos grandes grupos: Resguardar el secreto de las comunicaciones y cumplir con las disposiciones de protección de datos personales.
En el caso del secreto de las comunicaciones, esta obligación se encuentra en el más alto nivel de prioridad pues está enunciada en la Constitución como un derecho fundamental. Como parte del desarrollo de dicho derecho, existe una obligación expresa en la Ley de Telecomunicaciones y su Reglamento que señala lo siguiente:
Los concesionarios de servicios públicos de telecomunicaciones están obligados a salvaguardar el secreto de las telecomunicaciones y la protección de datos personales, adoptar las medidas y procedimientos razonables para garantizar la inviolabilidad y el secreto de las comunicaciones cursadas a través de tales servicios, así como mantener la confidencialidad de la información personal relativa a sus usuarios que se obtenga en el curso de sus negocios, salvo consentimiento previo, expreso y por escrito de sus usuarios y demás partes involucradas o por mandato judicial[17].
Cabe señalar que el cumplimiento de esta obligación legal es fiscalizado por el MTC y OSIPTEL, los cuales además reciben información periódica relacionada a la gestión de dichas empresas con el fin de facilitar su fiscalización. De hecho, la herramienta PUNKU que nos ha servido para ilustrar las cuotas de participación en el mercado de servicios es posible gracias a este factor.
En el caso de la protección de datos personales, este derecho también ha sido recogido por la Constitución en la forma del derecho a la autodeterminación informativa; que otorga herramientas para que una persona pueda tener mayor agencia sobre la forma cómo se recolectan y utilizan sus datos. Es de señalar que desde 2011, el Perú cuenta con una ley de protección de datos personales, que establece obligaciones específicas para todos los que recopilen, almacenen o utilicen datos personales en cualquier forma. Por supuesto, esto incluye a las empresas de telecomunicaciones, que deben cumplir, entre otras cosas, con el siguiente mandato:
El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello[18].
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.
Como es de suponer, aunque el cumplimiento de las dos obligaciones antes referidas constituye la regla, también existen algunas excepciones. Por ejemplo, en virtud de la Ley N° 27697, las empresas de telecomunicaciones están obligadas a entregar los datos personales de sus usuarios e incluso el contenido de sus comunicaciones al Ministerio Público, siempre que el pedido haya sido otorgado por un juez en el marco de una investigación penal. También, a través del Decreto Legislativo N° 1182, la Policía Nacional puede solicitar el acceso a los metadatos de localización y geolocalización de un usuario, aún sin tener autorización judicial, en los casos previstos por esta norma.
[Actualización COVID-19]
Las medidas sanitarias implementadas por el gobierno a propósito de la pandemia han alcanzado también a las telecomunicaciones y al menos en un caso, se han añadido una nueva excepción legal al deber de las empresas de resguardar la privacidad de sus usuarios. Nos referimos al Decreto Supremo 070-2020-PCM, que habilita a las centrales telefónicas de emergencia a acceder a los datos de localización y geolocalización de personas que se comuniquen para solicitar información médica sobre el COVID-19 y que sean identificadas como potenciales portadores del virus.
4. Metodología
4.1. ¿A quiénes hemos evaluado?
Para este reporte se han tenido en cuenta a cuatro empresas que ofrecen servicios de acceso a Internet en Perú: Telefónica, Claro, Entel y Bitel. Aunque están nombradas en la sección de Mercado de servicios, en esta ocasión no hemos considerado ni a Inkacel ni a Cuy Móvil. Son varios los motivos por los cuales hemos tomado esta decisión. Tal vez el factor más importante es que ambos son competidores relativamente nuevos y por lo tanto aún no han terminado de “aterrizar” en el mercado peruano, lo que se ve reflejado en su reducida cuota de usuarios. En ese sentido, parece más apropiado esperar cierto nivel de consolidación antes de incorporarlos a la evaluación de QDTD Perú.
4.2. ¿Qué información hemos analizado?
La información analizada para elaborar el reporte de QDTD Perú: 2020 viene a ser toda aquella información relevante que se encuentra disponible en los sitios web y medios sociales de las empresas evaluadas. La lógica de esta decisión fue conocer en qué medida un usuario promedio podría acceder a ella sin tener que contar con conocimientos previos o realizar algún trámite especial para obtenerla.
No obstante, sabiendo que la información disponible en Internet es amplia y muchas veces está fragmentada, la evaluación se complementó con los comentarios y precisiones que las empresas realizaron sobre su evaluación particular, para lo cual se les cursó comunicaciones electrónicas con una versión preliminar de este reporte. Esta es una buena práctica adoptada desde el reporte QDTD Perú: 2019, en la que se obtuvo la respuesta de al menos una de las evaluadas. En este año, fueron dos las respuestas recibidas por parte de las empresas Telefónica (Movistar) y Claro, que además mostraron su buena disposición para ser parte de este ejercicio.
4.3. ¿Cuáles han sido los criterios o categorías de análisis?
En los dos reportes anteriores, se establecieron cinco categorías para segmentar el análisis de la información recolectada. Estas categorías buscan reflejar la intersección entre las obligaciones legales sobre privacidad de las empresas, la forma en que estas se cumplen efectivamente y las buenas prácticas que se han adoptado a nivel local y regional. El reporte de este año ha considerado añadir dos categorías más, teniendo en cuenta la experiencia comparada de los reportes QDTD publicados entre 2018 y 2020 en la región. A continuación se explican mejor cada una de las categorías y la forma cómo son evaluadas:
| Categoría 1 | Políticas de privacidad |
|
Objetivo |
Según la Ley de Protección de Datos Personales y su Reglamento vigentes en Perú, todo aquel que trata datos personales en el país está obligado a informar de forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que los datos personales serán tratados, quiénes son o pueden ser sus destinatarios, la transferencia de los datos personales, el tiempo durante el cual se conservan, entre otros. Así pues, en esta categoría se mide el nivel de cumplimiento de dicha disposición. ¿Las políticas de privacidad aplicables al uso del servicio de telecomunicaciones están publicadas? ¿Son claras respecto a la recolección y entrega de los datos personales? ¿Están escritas o son presentadas en un lenguaje sencillo? |
|
Criterios de evaluación |
1.1 La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) 1.2 El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) 1.3 El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) |
| Categoría 2 | Autorización judicial |
|
Objetivo |
La Constitución Política del Perú reconoce como derecho fundamental el secreto de las comunicaciones. Así pues, se señala que las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez y emitido con las garantías previstas en la ley. En esta categoría se evalúa si esta información es explícita en la forma de cláusulas contractuales, publicaciones u otros contenidos publicados en Internet por las empresas. Se tiene en cuenta también si dentro de esta garantía se mencionan los metadatos, con las excepciones previstas por otras leyes que permiten su acceso sin orden judicial como es el caso del Decreto Legislativo N° 1182 y recientemente el Decreto Supremo 070-2020-PCM. |
|
Criterios de evaluación |
2.1 La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) 2.2 La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) |
| Categoría 3 | Notificación a Usuarios |
|
Objetivo |
El Nuevo Código Procesal Penal (NCPP) señala en sus artículos 230° y 231° que una vez ejecutada una medida de intervención judicial de las telecomunicaciones y realizadas las investigaciones inmediatas en relación al resultado, se deberá comunicar de la medida al afectado siempre que el objeto de la investigación lo permita y en tanto no se ponga en peligro la vida o la integridad corporal de terceras personas. Esto quiere decir que las empresas pueden (y deberían en términos de buenas prácticas) notificar a sus usuarios cuando hayan entregado sus datos personales con motivo de una investigación penal. Aunque puedan existir razones legítimas para que las empresas decidan no notificar y los anteriores reportes de QDTD de Perú muestran que esto parece ser la regla, esta categoría evalúa si, por lo menos, la empresa ha hecho público su posicionamiento sobre el tema y ha previsto medios suficientes para salvaguardar la privacidad de sus usuarios en estos casos. |
|
Criterios de evaluación |
3.1 La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) 3.2 La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) |
| Categoría 4 | Protocolo para requerir datos personales |
|
Objetivo |
En los casos de interceptación legal de las telecomunicaciones prevista en el NCPP, se espera que las empresas evaluadas hayan implementado voluntariamente protocolos o guías para recibir y contestar las solicitudes de la Policía, el Ministerio Público y otras entidades competentes del Estado. Esta categoría evalúa si dichos protocolos son públicos. Se exceptúa de este análisis el protocolo implementado obligatoriamente por el Decreto Legislativo N° 1182 por ser de naturaleza reservada. |
|
Criterios de evaluación |
4.1 La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) 4.2 Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo N° 1182 (media estrella) |
| Categoría 5 | Transparencia |
|
Objetivo |
Si bien no existe en Perú una exigencia legal para ello, una gran parte de las empresas de tecnología alrededor del mundo publican periódicamente informes en donde transparentan información relacionada a su desarrollo empresarial, en los que se incluye también la información relacionada a las solicitudes y entrega de datos de sus usuarios a los gobiernos. En las anteriores ediciones de QDTD, esta categoría ha evaluado si la empresa contaba con un reporte de transparencia que revele información de este tipo. No obstante, ahora se propone también evaluar qué tan detallada es esta información. ¿Señala cuántas solicitudes ha recibido? ¿Indica qué entidad hace las solicitudes? ¿Menciona el motivo? ¿Señala cuántas son rechazadas y por qué? |
|
Criterios de evaluación |
5.1 La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) 5.2 La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) |
| Categoría 6 | Promoción de los Derechos Humanos |
|
Objetivo |
Esta categoría evalúa si existen pronunciamientos públicos o acciones concretas de las empresas evaluadas en el último año que reconozcan o promuevan el respeto por los derechos humanos, especialmente el derecho a la intimidad o privacidad. Además, se valora también la participación institucional de las empresas en espacios de diálogo internacional y local que involucren a la sociedad civil como el Foro Peruano de Gobernanza de Internet, la Global Network Initiative, etc. |
|
Criterios de evaluación |
6.1 La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) 6.2 La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) 6.3 La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) |
| Categoría 7 | Promoción de la Seguridad digital |
|
Objetivo |
Todas las anteriores categorías evalúan el comportamiento de las empresas respecto de solicitudes hechas por entidades del Estado dentro del marco legal. No obstante, diferentes experiencias en la región hacen prever que en contextos autoritarios, los gobiernos pueden optar también por acceder a los datos de los usuarios a través de otros métodos, que incluyen la vulneración de las plataformas de las empresas, el phishing e incluso el uso de malware. Así pues, en esta categoría se evalúa qué medidas de seguridad mínimas han implementado las empresas en las plataformas donde ofrecen servicios a sus usuarios y si existen publicaciones o contenidos educativos sobre seguridad digital en general. |
|
Criterios de evaluación |
7.1 La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) 7.2 La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) 7.3 La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) |
5. Resultados de la evaluación (individual)
5.1. Telefónica (Movistar)
| Categoría 1: Políticas de Privacidad | Evaluación | Resultado |
|
1.1 La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) |
Dentro de su sitio web, la empresa cuenta con una sección llamada “Centro de Privacidad”[19]. Allí, se encuentran dos documentos sobre Políticas de Privacidad. Uno es un recuento formal de dichas políticas[20] y el otro es una infografía que la explica en términos más generales[21]. |
(Un tercio de estrella) |
|
1.2 El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) |
El texto de Políticas de Privacidad es específico sobre la siguiente información: Objeto del tratamiento, finalidad, forma de tratamiento, transferencia a terceros, plazos de almacenamiento y derechos de los usuarios frente al tratamiento[22]. |
(Un tercio de estrella) |
|
1.3 El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) |
Si bien el texto de Políticas de Privacidad es un típico documento elaborado por un abogado, no abunda en tecnicismos y es entendible. Además, la infografía sobre privacidad que lo acompaña permite una mejor comprensión, pues sí utiliza lenguaje claro y sencillo que resume lo expresado en el texto. |
(Un tercio de estrella) |
| Categoría 2: Autorización judicial | Evaluación | Resultado |
|
2.1 La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) |
Ni en el texto de Políticas de Privacidad ni en la infografía que lo acompañan se menciona explícitamente el mandato judicial. No obstante, en otro documento, “Política Global de Privacidad” sí se menciona que se requiere un requerimiento de autoridad competente y una ley expresa que lo habilite. Se da a entender que esto aplica a Perú[23]. |
(media estrella) |
|
2.2 La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) |
Ni en el texto de Políticas de Privacidad, ni en la infografía se menciona explícitamente la palabra “metadatos”. En cuanto a la Política Global de Privacidad, sí se les menciona como parte de la información que se recoge indirectamente (datos de localización, datos de llamada, etc.)[24], pero de una lectura integral se puede entender que estos últimos tienen igual protección, incluyendo lo relacionado a los requerimientos de autoridades competentes[25]. |
(media estrella) |
| Categoría 3: Notificación a Usuarios | Evaluación | Resultado |
|
3.1 La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) |
No existe ningún documento o compromiso público de la empresa sobre notificación a usuarios cuyos datos hayan sido entregados al Estado en el marco de un procedimiento de investigación, aún en los casos en que la ley lo permite[26]. |
(cero estrellas) |
|
3.2 La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) |
Dentro de su sitio web, la empresa cuenta con una sección llamada Política de Privacidad Global de Telefónica, en la que se encuentra un apartado llamado “Entrega de información a Autoridades Competentes”. El numeral 12, se señala que no se notifica a los usuarios, cuyos datos se han entregado en virtud de una orden judicial, asegurando que esto no está permitido al ser procedimientos de carácter reservado[27]. |
(media estrella) |
| Categoría 4: Protocolo para requerir datos personales | Evaluación | Resultado |
|
4.1 La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) |
Habiendo sido consultada la empresa sobre la existencia de protocolos o guías, esta remitió el documento “Reglamento Global ante Peticiones por parte de las Autoridades Competentes” que se encuentran en el sitio web de la casa matriz www.telefonica.com[28]. |
(media estrella) |
|
4.2 Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo N° 1182 (media estrella) |
No existe ningún documento público de la empresa sobre protocolos o guías para autoridades que quieran hacer solicitudes de acceso a los datos de sus usuarios[29]. |
(cero estrellas) |
| Categoría 5: Transparencia | Evaluación | Resultado |
|
5.1 La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) |
En el sitio web de la casa matriz de la empresa, www.telefonica.com, desde 2016 se publica un informe anual de transparencia. Este reporte incluye una sección sobre Perú en la que sí se menciona la forma en que se entregan datos de usuarios al Estado[30]. |
(media estrella) |
|
5.2 La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) |
En el informe de transparencia se especifica qué autoridades realizan las solicitudes, cuál es la norma que aplican y el número de peticiones recibidas vs. las rechazadas, para lo cual se hace una división entre las solicitudes sobre el contenido de las comunicaciones (interceptación) y otra sobre los metadatos. |
(media estrella) |
| Categoría 6: Promoción de los Derechos Humanos | Evaluación | Resultado |
|
6.1 La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) |
La empresa ha realizado diferentes acciones afirmativas sobre estos derechos pues en su sitio web se encuentran documentos legales e infografía que informan sobre estos temas. Además, posee un espacio independiente en donde comparte contenidos relacionados a la privacidad que buscan ser atractivos para el usuario[31]. |
(un tercio de estrella) |
|
6.2 La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) |
Habiendo sido consultada la empresa sobre la realización de este tipo de acciones, nos remitió información sobre comentarios enviados al Congreso en favor de la privacidad de sus usuarios en el Perú[32]. |
(un tercio de estrella) |
|
6.3 La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) |
A nivel global, la empresa es miembro del Telecommunication Industry Dialogue[33], Global Network Initiative[34] y financia la realización de espacios como el LACIGF[35]. A nivel nacional, ha participado en calidad de invitado del Foro Peruano de Gobernanza de Internet en 2017[36] y 2019[37]. |
(un tercio de estrella) |
| Categoría 7: Promoción de la Seguridad digital | Evaluación | Resultado |
|
7.1 La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) |
Se consultaron los dos sitios web principales de la empresa: www.movistar.com.pe y www.telefonica.com.pe ; siendo que ambos tenían configurados sus certificados de seguridad y tenían activada la navegación HTTPs por defecto. |
(un tercio de estrella) |
|
7.2 La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) |
En el caso de la aplicación móvil “Mi Movistar”, que permite gestionar los servicios móviles del usuario, para crear la cuenta es requisito ingresar un PIN enviado al teléfono. Existen además opciones de recuperación de contraseña con un token (el teléfono) y gestión de accesos. |
(un tercio de estrella) |
|
7.3 La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) |
La empresa tiene un sitio web dedicado a compartir contenidos relacionados al ecosistema digital, entre ellos seguridad digital para usuarios[38]. |
(un tercio de estrella) |
5.2 Claro
| Categoría 1: Políticas de Privacidad | Evaluación | Resultado |
|
1.1 La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) |
Dentro de su sitio web, la empresa cuenta con una sección llamada “Ley de Protección de Datos Personales”, desde la cual se accede a las Políticas de Privacidad[39]. Allí, se encuentran las condiciones y medidas de seguridad – técnicas y legales implementadas por la empresa respecto de la privacidad y los datos personales de sus clientes. |
(Un tercio de estrella) |
|
1.2 El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) |
El texto de Políticas de Privacidad es específico sobre la siguiente información: Objeto del tratamiento, finalidad, forma de tratamiento, transferencia a terceros, plazos de almacenamiento y derechos de los usuarios frente al tratamiento[40]. |
(Un tercio de estrella) |
|
1.3 El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) |
El texto de Políticas de Privacidad no es excesivamente largo y el lenguaje es claro y conciso. No obstante, hay varias posibilidades de mejora para hacer este contenido aún más accesible. |
(Un tercio de estrella) |
| Categoría 2: Autorización judicial | Evaluación | Resultado |
|
2.1 La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) |
El texto de Políticas de Privacidad menciona explícitamente que los datos personales de sus clientes solo serán revelados a terceros sin su consentimiento por disposición legal o mandato judicial. |
(media estrella) |
|
2.2 La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) |
En el texto de Políticas de Privacidad no se menciona explícitamente la palabra “metadatos”. Tampoco se menciona directamente tipos de datos personales, por lo que leyendo integralmente el texto podría entenderse que sí están incluidos pues no se hace ninguna diferencia entre ellos[41]. |
(media estrella) |
| Categoría 3: Notificación a Usuarios | Evaluación | Resultado |
|
3.1 La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) |
No existe ningún documento o compromiso público de la empresa sobre notificación a usuarios cuyos datos hayan sido entregados al Estado en el marco de un procedimiento de investigación, aún en los casos en que la ley lo permite[42]. |
(cero estrellas) |
|
3.2 La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) |
Dentro de su sitio web, la empresa cuenta con un Informe que recoge datos sobre la atención de requerimientos de este tipo. En él, se señala que no se notifica a los usuarios, cuyos datos se han entregado en virtud de una orden judicial por considerar que esto corresponde solo al Ministerio Público[43]. |
(media estrella) |
| Categoría 4: Protocolo para requerir datos personales | Evaluación | Resultado |
|
4.1 La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) |
Habiendo sido consultada la empresa sobre la existencia de protocolos o guías, esta remitió el documento “Informe 2019: Atención de requerimientos sobre levantamiento del secreto de las telecomunicaciones” que se encuentran dentro de su sitio web[44]. |
(media estrella) |
|
4.2 Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo N° 1182 |
El documento llamado“Informe 2019: Atención de requerimientos sobre levantamiento del secreto de las telecomunicaciones” contiene esta información y está disponible en el sitio web[45]. |
(media estrella) |
| Categoría 5: Transparencia | Evaluación | Resultado |
|
5.1 La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) |
Habiendo sido consultada la empresa sobre la existencia de reportes u otras publicaciones, esta remitió el documento “Informe 2019: Atención de requerimientos sobre levantamiento del secreto de las telecomunicaciones” en donde efectivamente se encuentra esta información[46]. |
(media estrella) |
|
5.2 La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) |
En el documento “Informe 2019: Atención de requerimientos sobre levantamiento del secreto de las telecomunicaciones” remitido por la empresa al ser consultada, no se encuentra información sobre el detalle de las solicitudes. |
(cero estrellas) |
| Categoría 6: Promoción de los Derechos Humanos | Evaluación | Resultado |
|
6.1 La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) |
La empresa cuenta en su sección de información institucional con un “Código de Ética”. En su versión 2019, este Código recalca las obligaciones de los trabajadores de la empresa respecto de tres campos relevantes para la privacidad: Datos personales, privacidad de las comunicaciones y libertad de expresión[47]. Además, en su sitio web global www.americamovil.com, tiene seccionados relacionadas a sus compromisos con las políticas de privacidad[48] y derechos humanos[49]. |
(un tercio de estrella) |
|
6.2 La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) |
Habiendo sido consultada la empresa sobre la realización de este tipo de acciones, nos remitió información sobre una opinión consultiva dirigida a la Autoridad de Protección de Datos en donde cuestiona los límites de acceso a los datos de usuarios por parte de la SUNAT[50]. |
(un tercio de estrella) |
|
6.3 La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) |
A nivel nacional, ha participado en calidad de invitado del Foro Peruano de Gobernanza de Internet en 2017[51]. |
(un tercio de estrella) |
| Categoría 7: Promoción de la Seguridad digital | Evaluación | Resultado |
|
7.1 La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) |
Se consultó los dos sitios web principales de la empresa: https://www.claro.com.pe y https://tiendaclaro.pe; siendo que ambos tenían configurados sus certificados de seguridad y tenían activada la navegación HTTPs por defecto. |
(un tercio de estrella) |
|
7.2 La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) |
En el caso de la aplicación móvil “Mi Claro”, que permite gestionar los servicios móviles del usuario, para crear la cuenta es requisito ingresar un PIN enviado al teléfono. Existen además opciones de recuperación de contraseña con un token (el teléfono) y con envío a correos de seguridad. |
(un tercio de estrella) |
|
7.3 La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) |
La empresa tiene un sitio web dedicado a compartir contenidos relacionados al ecosistema digital, entre ellos seguridad digital para usuarios[52]. |
(un tercio de estrella) |
5.3. Entel
| Categoría 1: Políticas de Privacidad | Evaluación | Resultado |
|
1.1 La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) |
Dentro de su sitio web, la empresa cuenta con una sección llamada “Políticas de Privacidad”[53]. Allí, se encuentra el texto de las políticas aplicables a todos sus servicios. |
(Un tercio de estrella) |
|
1.2 El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) |
El texto de Políticas de Privacidad es específico sobre la siguiente información: Objeto del tratamiento, finalidad, forma de tratamiento, transferencia a terceros, plazos de almacenamiento y derechos de los usuarios frente al tratamiento[54]. |
(Un tercio de estrella) |
|
1.3 El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) |
El texto de Políticas de Privacidad es largo, pero el lenguaje es claro y conciso, además de ser bastante detallado. No obstante, hay varias posibilidades de mejora para hacer este contenido aún más accesible. |
(Un tercio de estrella) |
| Categoría 2: Autorización judicial | Evaluación | Resultado |
|
2.1 La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) |
En el el texto de Políticas de Privacidad no se menciona explícitamente el mandato judicial. No obstante, se describe que los datos pueden ser entregados para “cumplir una exigencia legal, colaborar con la administración de justicia”. Entendemos que estas categorías son asimilables a dicho concepto[55]. |
(media estrella) |
|
2.2 La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) |
En el texto de Políticas de Privacidad no se menciona explícitamente la palabra “metadatos”. No obstante, sí se mencionan tipos de datos personales y se dice que son todos aquellos que “identifiquen o hagan identificable” a una persona. Por eso entendemos que ambos tienen igual protección, incluyendo lo relacionado a los requerimientos de autoridades competentes[56]. |
(media estrella) |
| Categoría 3: Notificación a Usuarios | Evaluación | Resultado |
|
3.1 La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) |
No existe ningún documento o compromiso público de la empresa sobre notificación a usuarios cuyos datos hayan sido entregados al Estado en el marco de un procedimiento de investigación, aún en los casos en que la ley lo permite. |
(cero estrellas) |
|
3.2 La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) |
No existe ningún documento o pronunciamiento público de la empresa sobre los motivos por los cuales no realiza la notificación a sus usuarios de que sus datos han sido entregados al Estado en el marco de un procedimiento de investigación. Tampoco hay documentos o pronunciamientos respecto de otras garantías de privacidad en estos casos. |
(cero estrellas) |
| Categoría 4: Protocolo para requerir datos personales | Evaluación | Resultado |
|
4.1 La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) |
Habiendo sido consultada la empresa sobre la existencia de protocolos o guías, aún cuando estos no fueran públicos, no se recibió respuesta por lo que se considera que estos son inexistentes o que la atención de los requerimientos se realiza en una base ad hoc. |
(cero estrellas) |
|
4.2 Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo N° 1182 (media estrella) |
No existe ningún documento público de la empresa sobre protocolos o guías para autoridades que quieran hacer solicitudes de acceso a los datos de sus usuarios[57]. |
(cero estrellas) |
| Categoría 5: Transparencia | Evaluación | Resultado |
|
5.1 La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) |
La empresa no cuenta con reportes o publicaciones de este tipo[58]. |
(cero estrellas) |
|
5.2 La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) |
La empresa no cuenta con reportes o publicaciones de este tipo[59]. |
(cero estrellas) |
| Categoría 6: Promoción de los Derechos Humanos | Evaluación | Resultado |
|
6.1 La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) |
Habiendo sido consultada la empresa sobre la existencia de pronunciamientos o acciones afirmativas, no se recibió respuesta por lo que se considera que estos son inexistentes[60]. |
(cero estrellas) |
|
6.2 La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) |
Habiendo sido consultada la empresa sobre si ha controvertido en vía judicial o aportado comentarios a propuestas legislativas que ponen en riesgo la privacidad, no se recibió respuesta por lo que se considera que dichas acciones no se han realizado[61]. |
(cero estrellas) |
|
6.3 La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) |
A nivel nacional, ha participado en calidad de invitado del Foro Peruano de Gobernanza de Internet en 2016 y 2017[62]. |
(un tercio de estrella) |
| Categoría 7: Promoción de la Seguridad digital | Evaluación | Resultado |
|
7.1 La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) |
Se consultó el sitio web principal de la empresa: https://www.entel.pe/; siendo que este tenía configurados sus certificados de seguridad y tenían activada la navegación HTTPs por defecto. |
(un tercio de estrella) |
|
7.2 La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) |
En el caso de la aplicación móvil “Mi Entel”, permite gestionar los servicios móviles del usuario, para crear la cuenta es requisito ingresar un PIN enviado al teléfono. Existen además opciones de recuperación de contraseña con un token (el teléfono) y gestión de accesos. |
(un tercio de estrella) |
|
7.3 La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) |
La empresa no cuenta con estos contenidos. |
(cero estrellas) |
5.4. Bitel
| Categoría 1: Políticas de Privacidad | Evaluación | Resultado |
|
1.1 La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) |
Dentro de su sitio web, la empresa cuenta con una sección llamada “Protección de Datos”[63]. Allí, se encuentra el texto de las políticas aplicables a todos sus servicios. |
(Un tercio de estrella) |
|
1.2 El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) |
El texto de Políticas de Privacidad es específico sobre la siguiente información: Objeto del tratamiento, finalidad, forma de tratamiento, transferencia a terceros, plazos de almacenamiento y derechos de los usuarios frente al tratamiento[64]. |
(Un tercio de estrella) |
|
1.3 El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) |
El texto de Políticas de Privacidad es largo, pero el lenguaje es claro y conciso, además de ser bastante detallado. No obstante, hay varias posibilidades de mejora para hacer este contenido aún más accesible. |
(Un tercio de estrella) |
| Categoría 2: Autorización judicial | Evaluación | Resultado |
|
2.1 La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) |
En el el texto de Políticas de Privacidad no se menciona explícitamente el mandato judicial. No obstante, se describe que los datos pueden ser entregados para “cumplir con obligaciones legales”. Entendemos que esto abarca también los mandatos judiciales. |
(media estrella) |
|
2.2 La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) |
En el texto de Políticas de Privacidad no se menciona explícitamente la palabra “metadatos”. |
(cero estrellas) |
| Categoría 3: Notificación a Usuarios | Evaluación | Resultado |
|
3.1 La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) |
No existe ningún documento o compromiso público de la empresa sobre notificación a usuarios cuyos datos hayan sido entregados al Estado en el marco de un procedimiento de investigación, aún en los casos en que la ley lo permite. |
(cero estrellas) |
|
3.2 La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) |
No existe ningún documento o pronunciamiento público de la empresa sobre los motivos por los cuales no realiza la notificación a sus usuarios de que sus datos han sido entregados al Estado en el marco de un procedimiento de investigación. Tampoco hay documentos o pronunciamientos respecto de otras garantías de privacidad en estos casos. |
(cero estrellas) |
| Categoría 4: Protocolo para requerir datos personales | Evaluación | Resultado |
|
4.1 La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) |
Habiendo sido consultada la empresa sobre la existencia de protocolos o guías, aún cuando estos no fueran públicos, no se recibió respuesta por lo que se considera que estos son inexistentes o que la atención de los requerimientos se realiza en una base ad hoc. |
(cero estrellas) |
|
4.2 Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo N° 1182 (media estrella) |
No existe ningún documento público de la empresa sobre protocolos o guías para autoridades que quieran hacer solicitudes de acceso a los datos de sus usuarios. |
(cero estrellas) |
| Categoría 5: Transparencia | Evaluación | Resultado |
|
5.1 La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) |
La empresa no cuenta con reportes o publicaciones de este tipo. |
(cero estrellas) |
|
5.2 La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) |
La empresa no cuenta con reportes o publicaciones de este tipo. |
(cero estrellas) |
| Categoría 6: Promoción de los Derechos Humanos | Evaluación | Resultado |
|
6.1 La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) |
Habiendo sido consultada la empresa sobre la existencia de pronunciamientos o acciones afirmativas, no se recibió respuesta por lo que se considera que estos son inexistentes[65]. |
(cero estrellas) |
|
6.2 La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) |
Habiendo sido consultada la empresa sobre si ha controvertido en vía judicial o aportado comentarios a propuestas legislativas que ponen en riesgo la privacidad, no se recibió respuesta por lo que se considera que dichas acciones no se han realizado[66]. |
(cero estrellas) |
|
6.3 La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) |
La empresa todavía no ha participado de estos espacios a nivel local o regional. |
(cero estrellas) |
| Categoría 7: Promoción de la Seguridad digital | Evaluación | Resultado |
|
7.1 La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) |
Se consultó el sitio web principal de la empresa: https://bitel.com.pe/; siendo que este tenía configurados sus certificados de seguridad y tenían activada la navegación HTTPs por defecto. |
(un tercio de estrella) |
|
7.2 La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) |
En el caso de la aplicación móvil “Mi Bitel”, que permite gestionar los servicios móviles del usuario, para crear la cuenta es requisito ingresar un PIN enviado al teléfono. Existen además opciones de recuperación de contraseña con un token (el teléfono) y gestión de accesos. |
(un tercio de estrella) |
|
7.3 La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) |
La empresa no cuenta con estos contenidos. |
(cero estrellas) |
6. Resultados de la evaluación (consolidado)
6.1. Telefónica (Movistar)
|
Categoría |
Puntaje final (en estrellas) |
|
Políticas de Privacidad |
Estrella completa |
|
Autorización Judicial |
Estrella completa |
|
Notificación a Usuarios |
½ de estrella |
|
Protocolo para requerir datos personales |
½ de estrella |
|
Transparencia |
Estrella completa |
|
Promoción de los Derechos Humanos |
Estrella completa |
|
Promoción de la Seguridad digital |
Estrella completa |
6.2. Claro
|
Categoría |
Puntaje final (en estrellas) |
|
Políticas de Privacidad |
Estrella completa |
|
Autorización Judicial |
Estrella completa |
|
Notificación a Usuarios |
½ estrella |
|
Protocolo para requerir datos personales |
Estrella completa |
|
Transparencia |
½ estrella |
|
Promoción de los Derechos Humanos |
Estrella completa |
|
Promoción de la Seguridad digital |
Estrella completa |
6.3. Entel
|
Categoría |
Puntaje final (en estrellas) |
|
Políticas de Privacidad |
Estrella completa |
|
Autorización Judicial |
Estrella completa |
|
Notificación a Usuarios |
Ninguna estrella |
|
Protocolo para requerir datos personales |
Ninguna estrella |
|
Transparencia |
Ninguna estrella |
|
Promoción de los Derechos Humanos |
⅓ de estrella |
|
Promoción de la Seguridad digital |
⅔ de estrella |
6.4. Bitel
|
Categoría |
Puntaje final (en estrellas) |
|
Políticas de Privacidad |
Estrella completa |
|
Autorización Judicial |
½ de estrella |
|
Notificación a Usuarios |
Ninguna estrella |
|
Protocolo para requerir datos personales |
Ninguna estrella |
|
Transparencia |
Ninguna estrella |
|
Promoción de los Derechos Humanos |
Ninguna estrella |
|
Promoción de la Seguridad digital |
⅔ de estrella |
Investigación
Carlos Guerrero Argote
Foto de portada
Mario Caruso para Unsplash
Otra buena idea de Hiperderecho
Gracias al apoyo de EFF
This report is authored by Hiperderecho and is part of a larger project coordinated by the Electronic Frontier Foundation in several countries. EFF is an international non-profit organization that has been defending freedom of expression and privacy in the digital world since 1990.
Bajo licencia Creative Commons Reconocimiento 4.0 Internacional (CC-BY)
[1] Electronic Frontier Foundation. Who Has Your Back? 2015: Protecting Your Data From Government Requests. Julio, 2017. URL: https://www.eff.org/who-has-your-back-2017
[2] En ciertas secciones se ha añadido “Actualizaciones COVID-19”, en las que se presenta información recogida durante el período de edición del reporte para ilustrar el impacto de la pandemia sobre un tema en específico.
[3] Fundación Karisma, ¿Dónde están mis datos?, 2019, URL: https://web.karisma.org.co/donde-estan-mis-datos-2019/
[4] Red en Defensa de los Derechos Digitales (R3D), ¿Quién No Defiende Tus Datos?, 2018, URL: https://r3d.mx/wp-content/uploads/R3D-QNDTD_digital.pdf
[5] InternetLab, Quem Defende Seus Dados?, 2019, URL: http://quemdefendeseusdados.org.br/pt/
[6] TEDIC, ¿Quién Defiende Tus Datos?, 2019, URL: https://qdtd.tedic.org/
[7] Derechos Digitales, ¿Quién Defiende Tus Datos?, 2019, URL: https://www.derechosdigitales.org/qdtd-2019/
[8] Asociación por los Derechos Civiles, ¿Quién Defiende Tus Datos?, 2019, URL: https://adc.org.ar/2020/03/04/quien-defiende-tus-datos-2019/
[9] IPANDETEC, ¿Quién Defiende Tus Datos?, 2019, URL: https://www.ipandetec.org/wp-content/uploads/2019/08/QDTD_Panamá_1ra-edición-2.pdf
[10] Luis Vinatea Recoba. “Convergencia: Necesidad de Iniciar un Cambio Regulatorio para las Telecomunicaciones en el Perú. Derecho & Sociedad 26 (2006). URL: http://revistas.pucp.edu.pe/index.php/derechoysociedad/article/download/17139/17429/
[11] Osiptel habilita “Punku”, su portal de datos abiertos en telecomunicaciones. URL: https://larepublica.pe/economia/2019/09/24/osiptel-habilita-punku-su-portal-de-datos-abiertos-en-telecomunicaciones/
[12] RPP Noticias. “Tráfico de Internet se incrementó sustancialmente en Perú por streaming y juegos durante cuarentena”. URL: https://rpp.pe/peru/actualidad/trafico-de-internet-se-incremento-sustancialmente-en-peru-por-streaming-y-juegos-durante-cuarentena-noticia-1279100
[13] Se han contabilizado juntas tanto las líneas móviles prepago y pospago, pues de esta manera están presentadas en el repositorio PUNKU.
[14] Diario Gestión. “Dos nuevos operadores móviles virtuales obtienen permiso para ofrecer servicios en Perú”. URL: https://gestion.pe/economia/nuevo-operador-movil-virtual-obtiene-permiso-para-ofrecer-servicio-de-comunicaciones-en-peru-noticia/
[15] Diario Gestión. “Osiptel prohíbe suspender servicios por falta de pago e insta a operadoras a incrementar ‘datos’ de los usuarios”. URL: https://gestion.pe/economia/coronavirus-en-peru-osiptel-prohibe-suspender-servicios-por-falta-de-pago-e-insta-a-operadoras-a-incrementar-datos-de-los-usuarios-nndc-noticia/
[16] Comunicado de AFIN en Twitter. URL: https://twitter.com/AfinPeru/status/1245009527226929153/photo/1
[17] Decreto Supremo Nº 020-2007-MTC, Artículo 13. — Inviolabilidad y secreto de las telecomunicaciones.
[18] Ley de Protección de Datos Personales, Artículo 18.– Derecho de información del titular de datos personales.
[20] URL: https://www.movistar.com.pe/documents/10182/11527074/Pol%C3%ADtica+Final+-+Privacidad.pdf/7774df02-0c4e-453f-b803-cfba1ce7e523
[22] Aunque no se ha señalado específicamente qué información se va a recolectar (Por ejemplo: Nombres, domicilio, DNI, etc.); se ha considerado otorgar el puntaje completo teniendo en cuenta que esto puede deberse a la necesidad de que el texto sea de aplicación general. Se ha dado el mismo trato a las demás empresas.
[23] 9. Requerimientos de autoridades competentes:
Telefónica está sujeta a los entornos jurídicos en los que opera, por lo que debe, en circunstancias excepcionales y siempre expresamente previstas en las leyes nacionales, dar respuesta a requerimientos de las autoridades competentes relativos a determinada información sobre las comunicaciones de sus clientes y/o usuarios.
Telefónica implementa un procedimiento global estricto que garantiza tanto el cumplimiento de nuestras obligaciones en materia de colaboración con la administración de Justicia y autoridades competentes como la protección de los derechos de Privacidad y Libertad de Expresión de los afectados.
Telefónica publicará periódicamente información sobre el número y tipo de peticiones que recibe por parte de autoridades competentes en los países en los que opera. URL: https://www.telefonica.com/documents/153952/67280426/politica-global-privacidad.pdf/6fea1f96-5d36-31fb-b997-11123bdb8830
[24] 3.2 Principio de transparencia
(…) a) Tipo de información que se recoge
En Telefónica se recopilan distintos tipos de datos personales, ya sea directamente porque se facilita la información (tales como, a título de ejemplo, nombre, apellidos, dirección, cuenta bancaria, preferenciales personales, etc.) o indirectamente a través del uso que se hace de nuestros servicios (datos de localización, datos de llamadas, datos de consumo de contenidos, etc.) o de fuentes externas legítimas. URL: https://www.telefonica.com/documents/153952/67280426/politica-global-privacidad.pdf/6fea1f96-5d36-31fb-b997-11123bdb8830
[25] Aunque no son señalados explícitamente como “metadatos”, hemos considerado que, siempre que se les mencione aunque sea a título de ejemplo y se haya dicho previamente que los datos en general solo pueden ser transferidos a una autoridad bajo requerimiento y con ley expresa, se otorgará el puntaje completo. Se ha dado el mismo trato a las demás empresas.
[26] Al ser consultada al respecto, la empresa consideró realizar el siguiente comentario:
La Compañía está en la obligación de colaborar con las autoridades competentes con el suministro de información de los usuarios para el desarrollo de investigaciones judiciales y debe respetar la confidencialidad de los casos, por este motivo no se realizan notificaciones a los usuarios.
Respecto a ello, se ha decidido no otorgar el puntaje pues esta categoría califica si las empresas notifican a sus usuarios en la primera oportunidad que puedan hacerlo. En ese sentido, es dable pensar que existen momentos después de una investigación en las que ya no existen restricciones para notificar al usuario. Sin embargo, en un próximo reporte se explorará si las empresas están en condiciones materiales de poder llevar a cabo esta acción. Se ha dado el mismo trato a las demás empresas.
[27] Inicialmente, se había señalado que no existían documentos o pronunciamientos públicos sobre la notificación a usuarios. Sin embargo, al ser consultada al respecto, la empresa señaló que esta información sí está disponible en Internet e indicó la URL: https://www.movistar.com.pe/privacidad-y-proteccion-datos-personales. Efectivamente, en el punto n°12 se señala que en ningún caso está permitida la notificación. Si bien esta práctica es cuestionable, cumple con la categoría y por lo tanto se ha otorgado el puntaje completo.
[28] Pese a su naturaleza genérica, el hecho de que exista una guía de este tipo, significa que los procedimientos de atención no son ad hoc. Por ello, se ha decidido otorgar el puntaje completo. Se ha dado el mismo tratamiento a las demás empresas. URL: https://www.telefonica.com/documents/364672/405815/resumen-reglamento-peticiones-autoridades-competentes-19.pdf/a6c79b95-01bb-d443-686c-4b8a2c6dec09
[29] No se han considerado válido el documento “Reglamento Global ante Peticiones por parte de las Autoridades Competentes” publicado por la casa matriz de la empresa debido a su naturaleza genérica y porque otras empresas ya han implementado esta práctica por lo menos en Chile y México. Se ha dado el mismo trato a las demás empresas.
[30] URL: https://www.telefonica.com/documents/153952/183394/Informe-Transparencia-Comunicaciones-2020.pdf/296b9c6a-92f2-df9c-6abb-6c0cb37c248f
[32] Al ser consultada al respecto, la empresa consideró realizar el siguiente comentario:
La empresa ha enviado comentarios al Proyecto de ley 5630/2020-CR (Ley de seguridad informática y represión de los delitos informáticos) a través del gremio COMEX y comentarios al Decreto de Urgencia sobre transformación y confianza digital a través del gremio AFIN.
Efectivamente, se ha podido corroborar que la empresa ha enviado comentarios a dichas iniciativas legislativas, en las que promueven los derechos de sus usuarios en relación a la privacidad. Estos comentarios son de acceso público, aunque para ser consultados se deben cursar solicitudes de acceso al Congreso.
[40] Aunque no se ha señalado específicamente qué información se va a recolectar (Por ejemplo: Nombres, domicilio, DNI, etc.); se ha considerado otorgar el puntaje completo teniendo en cuenta que esto puede deberse a la necesidad de que el texto sea de aplicación general. Se ha dado el mismo trato a las demás empresas.
[41] Aunque no son señalados explícitamente como “metadatos”, hemos considerado que, siempre que se les mencione aunque sea a título de ejemplo y se haya dicho previamente que los datos en general solo pueden ser transferidos a una autoridad bajo requerimiento y con ley expresa, se otorgará el puntaje completo. Se ha dado el mismo trato a las demás empresas.
[42] Al ser consultada al respecto, la empresa consideró realizar el siguiente comentario:
Claro ha publicado en su página web www.claro.com.pe el documento denominado “Informe Anual 2019 – Atención de requerimientos sobre Levantamiento del Secreto de las Telecomunicaciones”. En él sustenta el impedimento legal para notificar a los usuarios cuando sus datos hayan sido objeto de solicitud de acceso por parte de una entidad del Estado. Este deber es del fiscal que dirige la investigación y hay normas que así lo establecen.
Respecto a ello, se ha decidido no otorgar el puntaje pues esta categoría califica si las empresas notifican a sus usuarios en la primera oportunidad que puedan hacerlo. En ese sentido, es dable pensar que existen momentos después de una investigación en las que ya no existen restricciones para notificar al usuario. Sin embargo, en un próximo reporte se explorará si las empresas están en condiciones materiales de poder llevar a cabo esta acción. Se ha dado el mismo trato a las demás empresas.
[43] Inicialmente, se había señalado que no existían documentos o pronunciamientos públicos sobre la notificación a usuarios. Sin embargo, al ser consultada al respecto, la empresa señaló que esta información sí está disponible en Internet e indicó la URL: https://www.claro.com.pe/portal/pe-2020/recursos_contenido/claro-home/d80d251f-2c1a-405e-b08f-782961104b33-Informe_Anual_2019-Atencion_requerimiento.pdf. Efectivamente, al inicio del documento se señala que Claro no notifica a los usuarios pues legalmente no puede hacerlo, dado que no es parte de la relación procesal que surge cuando las autoridades realizan las solicitudes de acceso a los datos de sus usuarios. Si bien esta práctica es cuestionable, cumple con la categoría y por lo tanto se ha otorgado el puntaje completo.
[44] El hecho de que exista una guía de este tipo, significa que los procedimientos de atención no son ad hoc. Por ello, se ha decidido otorgar el puntaje completo. Se ha dado el mismo tratamiento a las demás empresas. URL: https://www.claro.com.pe/portal/pe-2020/recursos_contenido/claro-home/d80d251f-2c1a-405e-b08f-782961104b33-Informe_Anual_2019-Atencion_requerimiento.pdf
[45] Se ha considerado válido el documento ““Informe 2019: Atención de requerimientos sobre levantamiento del secreto de las telecomunicaciones” pues es un documento de acceso público y está adaptado a Perú. No obstante, se recalca el hecho de que el documento ha sido subido a la web recién el 6 de octubre de 2020. Por ello, se ha decidido otorgar el puntaje completo.
[46] URL: https://www.claro.com.pe/portal/pe-2020/recursos_contenido/claro-home/d80d251f-2c1a-405e-b08f-782961104b33-Informe_Anual_2019-Atencion_requerimiento.pdf
[47] URL: https://s22.q4cdn.com/604986553/files/doc_downloads/code_ethics/codigo-de-etica-espanol-2019.pdf
[48] URL: https://s22.q4cdn.com/604986553/files/doc_downloads/privacy/Pol%C3%ADtica-de-Privacidad.pdf
[49] URL: https://s22.q4cdn.com/604986553/files/doc_downloads/human_rights/Pol%C3%ADtica_Der_hum.pdf
[54] Sí se ha mencionado los datos a recolectar, pero también se incluyen aquellos que identifiquen o hagan identificable al cliente.
[55] Debe señalarse que a pesar de otorgar el puntaje completo, queremos resaltar el carácter ambiguo del término “colaborar con la administración de justicia” pues permitiría entender que la empresa podría compartir los datos, fuera del marco legal aplicable, que en la mayoría de los casos la obliga a exigir ciertos requisitos de procedimientos a las autoridades.
[56] Aunque no son señalados explícitamente como “metadatos”, hemos considerado que, siempre que se les mencione aunque sea a título de ejemplo y se haya dicho previamente que los datos en general solo pueden ser transferidos a una autoridad bajo requerimiento y con ley expresa, se otorgará el puntaje completo. Se ha dado el mismo trato a las demás empresas.
[57] No podemos dejar de notar que al menos en Chile, la empresa sí cuenta con un protocolo de acceso público sobre la forma en que colabora con las autoridades del Estado para la interceptación de comunicación y al acceso a los datos personales de sus usuarios. URL: https://entel.modyocdn.com/uploads/df819416-71e5-4c87-b9b5-8e68e411864f/original/Gui_as_de_cumplimiento_Protocolo_Interceptacio_n.pdf
[58] No podemos dejar de notar que al menos en Chile, la empresa sí cuenta con informes de este tipo. En su informe de Transparencia 2020, Entel Chile hace pública información relacionada con la entrega de datos a entidades del gobierno. URL: https://www.entel.cl/legales/pdf/Informe%20de%20Transparencia-Requerimientos_de_Datos_Personales%202020.pdf
[59] Ídem
[60] De forma paralela a la consulta directa, se realizó una búsqueda en Internet con el fin de dar cuenta de acciones de este tipo, pero no se encontró ninguna, lo que no significa necesariamente que no existan. Se dio el mismo tratamiento a las demás empresas en esta categoría.
[61] De forma paralela a la consulta directa, se realizó una búsqueda en Internet con el fin de dar cuenta de acciones de este tipo, pero no se encontró ninguna, lo que no significa necesariamente que no existan. Se dio el mismo tratamiento a las demás empresas en esta categoría.
[62] URL: http://gobernanzadeinternet.pe/edicion-2016/, http://gobernanzadeinternet.pe/edicion-2017/
[64] Sí se ha mencionado los datos a recolectar, pero también se incluyen aquellos que resulten necesarios.
[65] De forma paralela a la consulta directa, se realizó una búsqueda en Internet con el fin de dar cuenta de acciones de este tipo, pero no se encontró ninguna, lo que no significa necesariamente que no existan. Se dio el mismo tratamiento a las demás empresas en esta categoría.
[66] De forma paralela a la consulta directa, se realizó una búsqueda en Internet con el fin de dar cuenta de acciones de este tipo, pero no se encontró ninguna, lo que no significa necesariamente que no existan. Se dio el mismo tratamiento a las demás empresas en esta categoría.