¿Cómo protegen las empresas de
telecomunicaciones nuestra información
cuando el Estado toca la puerta?
Evaluamos las políticas y prácticas de privacidad de los proveedores de telecomunicaciones en Perú para que los usuarios tomen decisiones informadas respecto de las compañías que les proveen los servicios de telefonía e Internet. Estos fueron nuestros resultados.
2. Principales hallazgos
3. Contexto
3.1. Mercado de servicios
Conexiones fijas
Conexiones móviles
3.2. Obligaciones legales en materia de privacidad
3.3. Obligaciones legales en materia de seguridad
4. Metodología
4.1. ¿Qué información hemos analizado?
4.2. ¿Cómo hemos analizado esta información?
5. Resultados de la evaluación
6. Evaluación por empresas
6.1. Bitel
6.2. Claro
6.3. Entel
6.4. Inkacel
6.5. Movistar
6.6. Olo
1. Presentación
Nuestra investigación “¿Quién defiende tus datos” (QDTD) busca identificar cuáles son las prácticas de los proveedores de servicios de acceso a Internet respecto de la protección de la privacidad de sus usuarios. Su finalidad es ofrecer un análisis comparativo que permita a los usuarios de estos servicios conocer qué empresas emplean las mejores prácticas a la hora de proteger el secreto de las comunicaciones y de qué manera les informan sobre la forma en que sus datos personales se usan y son compartidos con terceros, especialmente con agentes u oficinas del gobierno. Los resultados que ofrece esta investigación también buscan motivar a las empresas a mejorar dichas prácticas y convertirlas en un elemento diferenciador de sus servicios dentro del mercado.
En Perú, la ley obliga a informar a los usuarios de cualquier servicio cómo se va a realizar el tratamiento de sus datos personales. Sin embargo, la forma en que se presenta esta información suele ser problemática. A veces porque acceder materialmente a ella es difícil, pero también porque el lenguaje utilizado en su redacción no es amigable. Así mismo, ya refiriéndonos a los proveedores de acceso a Internet, estos no suelen ser proactivos a la hora de transparentar su gestión más allá de lo exigido por la ley. Pese a que en otros países es común que estas empresas presenten reportes anuales de transparencia, en el Perú esta práctica todavía sigue siendo excepcional. En ese sentido, un fin ulterior de esta investigación es documentar cómo las prácticas que los operadores adoptan voluntariamente han evolucionado con el paso del tiempo.
Para la elaboración de QDTD, Hiperderecho ha seguido el modelo creado por la Electronic Frontier Foundation (EFF). Desde 2011, a través de sus reportes Who Has Your Back? Protecting Your Data From Government Requests1, la EFF viene documentando las prácticas de las principales empresas proveedoras de Internet de Estados Unidos en base a sus políticas corporativas públicamente disponibles y destacando sus mejores prácticas. Desde 2015, con el apoyo de la propia EFF, otras organizaciones iberoamericanas han adaptado la iniciativa en sus propios países. Fundación Karisma para Colombia2, Red en Defensa de los Derechos Digitales para México3, InternetLab para Brasil4, TEDIC para Paraguay5, Derechos Digitales para Chile6, Asociación por los Derechos Civiles para Argentina7, y ETICAS para España8, han sido algunas de las que han incorporando estos reportes de forma anual. Hiperderecho ya publicó una primera versión de esta investigación en noviembre de 20159. Este nuevo reporte constituye la segunda edición para Perú.
2. Principales hallazgos
- Salvo un caso, todas las empresas de telecomunicaciones evaluadas han obtenido una calificación desaprobatoria. No obstante, varias han mejorado su calificación respecto del reporte de 2015 y actualmente cuentan con varios elementos presentes en los indicadores, algunos de los cuales han sido desarrollados de forma sobresaliente. Esto se debe principalmente al impacto de su adecuación a la legislación vigente, pero creemos que también tiene que ver con los estándares a las que muchas de las empresas internacionales están obligadas en otros países y que superan al que exigen nuestras leyes.
- Por otro lado, los usuarios parecen seguir desconociendo cuáles son las medidas que sus proveedores han tomado para atender antiguas y nuevas obligaciones en materia de privacidad y protección de datos. Esto sin duda es una ventana de oportunidad para las empresas para mejorar su imagen frente a sus usuarios actuales y potenciales.
- Salvo un caso, todas las empresas publican políticas de privacidad en apartados especiales dentro de sus sitio web. Incluso, algunas comunican la información de forma excepcionalmente clara e hasta amena. Sin embargo, todavía varias recurren a los textos legales que son bastante completos, pero difíciles de entender para el usuario promedio.
- Si bien la mayoría contienen información relevante y acorde a ley, la mayoría de políticas de privacidad dejan de mencionar aspectos relevantes como las excepciones bajo las cuales compartirán información a solicitud de las autoridades. Por ejemplo, en el caso de un mandato judicial o en virtud de alguna otra norma habilitante. Solo una empresa hace mención explícita de este detalle en su Reporte de Transparencia, un elemento que debiera ser imitado por las demás.
- Ninguna empresa específica si informará al usuario cuya línea es objeto de un pedido de información. Si bien hay normas que protegen el secreto de las investigaciones, la empresa podría informar al usuario en la primera oportunidad posible sobre tal pedido. Tampoco detallan qué recursos pueden plantear frente a decisiones que la empresa toma sobre el uso de la información de sus usuarios.
- Ninguna empresa ha mostrado su disposición de forma directa o indirecta de controvertir o desafiar en sede judicial o administrativa las obligaciones legales que amenazan la privacidad de las comunicaciones y los datos personales de sus usuarios.
3. Contexto
3.1. Mercado de servicios
El servicio de provisión de acceso a Internet está reconocido legalmente en nuestro país como un servicio público de valor añadido de conmutación de datos por paquetes. Para su prestación en el mercado nacional es necesario contar con una concesión otorgada por el Ministerio de Transportes y Comunicaciones (MTC). Todas las empresas concesionarias que prestan este servicio están bajo supervisión del MTC y del Organismo Supervisor de la Inversión Privada en Telecomunicaciones (OSIPTEL) en los asuntos de su competencia conforme a la regulación sectorial. Asimismo, las empresas que concurren en este mercado están sujetas a un régimen de libre competencia bajo los principios de servicio con equidad, no discriminación y neutralidad.
La mayoría de usuarios del servicio de acceso a Internet en el Perú se conectan a través de conexiones fijas (xDSL, Cablemódem o Wimax) o conexiones móviles (banda ancha móvil). A pesar de que la cantidad de empresas que ofrecen conexiones fijas es mayor, la cantidad de usuarios con conexiones móviles supera ampliamente al número de conexiones fijas. Conforme a las estadísticas reportadas por OSIPTEL, las principales empresas que prestan el servicio de acceso a Internet en Perú son Movistar y Claro10.
Conexiones fijas
Conexiones fijas
- Claro: 434 550
- Entel: 84 078
- Olo: 26 057
- Movistar: 1 719 622
- Otros: 45 920
- Total: 2 310 227
Conexiones móviles
Conexiones móviles
- Claro: 12 209 473
- Entel: 7 807 045
- Movistar: 15 674 299
- Bitel: 6 455 613
- Inkacel: 8341
- Total: 42 154 771
En el caso del acceso a Internet fijo o domiciliario, en el primer trimestre de 2018 la predominancia existente de Movistar es evidente con 74,4%, seguido de lejos por Claro con 18,8% y ambos muy por encima del resto de empresas como Entel y Olo. La concentración de mercado es menor en el caso del acceso a Internet a través de líneas móviles, donde a inicios de 2019 la principal cuota de mercado la sigue teniendo Movistar (37.2%) seguido de Claro (29%), Entel (18,5%), Bitel (15,3%) e Inkacel (que sinceró su cifra luego de desactivar las líneas antiguas que había adquirido de Virgin Mobile).
La cantidad de usuarios conectados también ha cambiado. Según cifras de OSIPTEL, entre 2015 y 2018, casi cinco millones de nuevos usuarios se han registrado para servicios móviles y poco más trescientos mil para servicios de Internet fijo. Si bien sigue habiendo concentración de usuarios en los servicios fijos (donde Movistar tiene casi el 75% de los usuarios), en los servicios móviles existe mayor paridad. Una de las causas es la promoción del programa de portabilidad numérica que ofrece la posibilidad a los usuarios de poder cambiarse de proveedor manteniendo el mismo número. Desde su lanzamiento en 2014, más de siete millones de usuarios entre líneas de origen prepago y postpago han “migrado” de un operador a otro11. Otra causa puede ser también la aparición de nuevos operadores móviles y, en general, la libre competencia generada en el mercado. En 2016, Virgin Mobile se instaló como nuevo operador móvil virtual pero a fines de 2017 fue adquirido por Inkacel.
Los datos presentados por OSIPTEL indican que, hasta diciembre de 2018, se registraron 2,577,465 usuarios que acceden a Internet a través de redes fijas mientras que los que lo hacen a través de redes móviles llega a los 42,154,771 usuarios. En total, son más de 40 millones de conexiones a Internet que existen en un país con un estimado de 32 millones de personas. En los últimos dos años, el aumento significativo de usuarios se dio claramente por el lado de los servicios móviles.
3.2. Obligaciones legales en materia de privacidad
Respecto de la privacidad, las empresas proveedoras del servicio de acceso a Internet tienen dos obligaciones generales: salvaguardar el secreto de las telecomunicaciones12, y respetar la legislación sobre protección de los datos personales13. Para cumplir con ellas, deben adoptar medidas y procedimientos razonables que garanticen la inviolabilidad, confidencialidad y el secreto de las informaciones, así como el uso consentido y proporcional de los datos personales. Cada empresa debe de presentar anualmente al MTC un informe dando cuenta de estas medidas que tomó para salvaguardar el secreto de las telecomunicaciones, y responder cuando sea cuestionada por alguna falta a estas obligaciones.
Sin embargo, también existen escenarios en los cuales las empresas son requeridas para dejar de cumplir con estas obligaciones generales. Por ejemplo, en virtud de la Ley N° 27697, están obligadas a otorgar la información sobre los datos personales e incluso sobre el contenido de las comunicaciones al Ministerio Público en el marco de una investigación penal. Así mismo, a través del Decreto Legislativo N° 1182, la Policía Nacional puede solicitar el acceso a los metadatos de localización y geolocalización de un usuario, aún sin autorización judicial o procedimiento previo. También se contempla la retención de dichos datos hasta por tres años.
3.3. Obligaciones legales en materia de seguridad
Además de la normativa propia de su sector, las empresas que proveen servicios de acceso a Internet también deben cumplir otras normas sectoriales, que suelen estar vinculadas a la seguridad ciudadana. Por ejemplo, está el Decreto Legislativo Nº 1338, que crea el reciente Registro Nacional de Equipos Terminales Móviles para Seguridad (RENTESEG). Esta norma obliga a las empresas operadoras de servicios móviles a solicitar la verificación biométrica de sus usuarios. También a registrar los códigos IMEI (International Mobile Station Equipment Identity, por sus siglas en inglés) de sus chips en una “lista blanca”. Finalmente los obliga a crear también una “lista negra” en donde se colocará los códigos IMEI de equipos no registrados o reportados como perdidos o robados.
4. Metodología
4.1. ¿Qué información hemos analizado?
Por su propio diseño, esta investigación solo ha tomado en cuenta información disponible que las empresas de telecomunicaciones han publicado voluntariamente en sus sitios web. El objetivo es analizar las prácticas corporativas que la empresa comunica efectivamente a los usuarios. Por tanto, no se ha tomado en cuenta cualquier otra práctica que un usuario promedio no esté en capacidad de conocer sin que tenga que consultarlo directamente a su empresa operadora o que no se puede verificar públicamente. De la misma manera, tampoco se ha analizado si las empresas efectivamente cumplen con todo lo que informan pues ello implicaría analizar la totalidad de casos públicos y privados en donde este cumplimiento ha sido materia de controversia.
Un elemento que diferencia esta investigación de la realizada en 2015 es que se han cursado cartas con una versión preliminar de este reporte a todas las empresas proveedoras de servicio de Internet analizadas, con el fin de obtener comentarios y precisiones a la información obtenida. Pese a que solo en un caso hemos obtenido respuesta, esto ya constituye un avance respecto del reporte anterior.
4.2. ¿Cómo hemos analizado esta información?
Esta sección describe cuáles serán los elementos a tomar en cuenta con la finalidad de evaluar a las distintas empresas comprendidas en este reporte. La evaluación final de cada empresa se realizó en torno a cinco (5) factores de competencia que se analizaron y calificaron individualmente en base a información públicamente disponible. Cada factor de competencia responde a la implementación de un conjunto de buenas prácticas respecto de la privacidad de sus usuarios, que están por encima de lo establecido por las normas legales aplicables en el Perú.
Para determinar los factores de competencia se ha tomado en cuenta el marco legal nacional aplicable al mercado de las telecomunicaciones, el derecho a la privacidad y la protección de datos personales, las normas y decisiones aplicables del Derecho Internacional, y, principalmente, las iniciativas similares a esta implementadas por las demás organizaciones participantes.
Nos parece importante señalar que este reporte no indaga ni diagnostica el grado de cumplimiento de las empresas de telecomunicaciones respecto de sus obligaciones legales actuales o vigentes. Este reporte considera que el simple cumplimiento de las normas nacionales sobre la materia no constituye una garantía suficiente para que el usuario tenga una expectativa razonable de privacidad al usar servicios públicos de telecomunicaciones como telefonía celular o Internet. Por el contrario, todos los criterios analizados constituyen esfuerzos adicionales que las empresas pueden hacer para ir más allá del mero cumplimiento de las normas. En ese sentido, pueden existir empresas que cumplan minuciosamente con todas sus obligaciones legales y aun así obtengan poco puntaje en este reporte.
Para obtener el punto completo en cada factor de competencia, será necesario que la empresa cumpla con todos los elementos correspondientes a cada uno de ellos. El puntaje final estará conformado por la suma de la calificación obtenida en cada uno de los factores. Los puntos son gráficamente representados a través del otorgamiento de una estrella completa, media estrella o un tercio de estrella según el caso.
A. La empresa se preocupa por comunicar sus Políticas de Privacidad y Protección de Datos a sus usuarios
A1. La empresa cuenta con Políticas de Privacidad y Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella);
A2. La empresa comunica en lenguaje simple sus Políticas de Privacidad y Protección de Datos Personales (un tercio de estrella);
A3. La empresa incluye en sus Políticas de Privacidad y Protección de Datos Personales la información sobre por cuánto tiempo y para qué almacena la información de sus usuarios (un tercio de estrella);
Este apartado analiza directamente la oportunidad y formato según el cual las empresas de telecomunicaciones comunican a sus usuarios las condiciones aplicables al tratamiento de su información personal. Según la ley peruana, todo aquel que trata datos personales está obligado a informar en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que los datos personales serán tratados; quiénes son o pueden ser sus destinatarios; la transferencia de los datos personales; el tiempo durante el cual se conservan; entre otros14. Además, nuestro indicador también tiene en cuenta si es que esta información es comunicada en términos sencillos o fáciles de entender a los usuarios. Dado el número y complejidad de los documentos legales que un usuario de telecomunicaciones debe suscribir al momento de contratar uno de estos servicios, creemos conveniente que la información relevante sobre el tratamiento de datos personales e información protegida por el secreto de las telecomunicaciones sea comunicada de manera sencilla a los usuarios.
Entre la información mínima que creemos que debe de incluirse en estas condiciones hemos verificado dos elementos: el aviso de por cuánto tiempo y para qué almacena la información de sus usuarios y las condiciones en virtud de las cuales se puede compartir esta información con las autoridades nacionales o internacionales.
B. La empresa exige autorización judicial previa para permitir el acceso al contenido o a los datos relacionados con las comunicaciones de sus usuarios
B1. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar datos sobre el contenido de comunicaciones a las autoridades de seguridad y justicia (media estrella);
B2. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar metadatos almacenados de sus usuarios (media estrella).
Esta sección evalúa si las empresas de telecomunicaciones exigen una autorización judicial previa para permitir entregar copias o permitir el acceso a las comunicaciones de sus usuarios o a sus metadatos. Según la Constitución Política del Perú, las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado de un juez y emitido con las garantías previstas en la ley15. Sin embargo, este criterio evalúa que las empresas incluyan esta garantía dentro de sus propias políticas de privacidad y sean expresas al momento de señalar que las órdenes judiciales deben de ser expresas, motivadas y emitidas por un juez natural conforme a las garantías procesales establecidas en la legislación peruana. Del mismo modo en el caso de los supuestos contemplados por el Decreto Legislativo 1182, que permite la geolocalización de dispositivos móviles en tiempo real sin mandato judicial.
Además, diversas normas legales y jurisprudencia nacional e internacional han señalado que la información relacionada con las comunicaciones de los usuarios o “metadata” también forman parte de la información protegida por el secreto de las telecomunicaciones. Por tanto, este apartado analiza si la empresa considera expresamente la información como la ubicación, frecuencia, ubicación geográfica o tipo de tráfico cursado como parte del secreto de las comunicaciones y, en concordancia con el mandato constitucional, exige una autorización judicial para facilitar este acceso.
C. La empresa notifica a sus usuarios cuando todo o parte de sus comunicaciones ha sido entregado a un tercero
C1. La empresa notifica a sus usuarios cuando su información personal o comunicaciones han sido objeto de una solicitud de acceso por parte del gobierno en el primer momento permitido por la ley, a través de notificaciones paralelas a las emitidas por el juez (una estrella).
Este parámetro evalúa si la empresa tienen previsto mecanismos de notificación a los usuarios cuyas comunicaciones han sido objeto de una solicitud gubernamental de intervención o registro. El derecho de las personas a ser notificadas cuando sus comunicaciones han sido objeto de intervención estatal está reconocido en distintos instrumentos internacionales e incluso en la propia legislación peruana. El nuevo Código Procesal Penal Peruano señala que una vez ejecutada una medida de intervención judicial y realizadas las investigaciones inmediatas en relación al resultado, se deberá de comunicar de la medida al afectado siempre que el objeto de la investigación lo permitiere y en tanto no pusiere en peligro la vida o la integridad corporal de terceras personas16. En el caso del Decreto Legislativo 1182, no se establece medida en ningún sentido, entendiéndose que dicha notificación podría ejecutarse por parte de las empresas si no contraviene la ley. Aunque la obligación legal es responsabilidad de las autoridades judiciales, hay mucho más que las empresas operadoras podrían hacer en este contexto. Así, pueden llevar un registro de las intervenciones realizadas, promover la notificación a los usuarios luego de vencida la medida o realizar notificaciones en simultáneo con las autoridades a través de correos electrónicos, mensajes de texto o llamadas de manera tal que el usuario pueda hacer valer su derecho de acudir a los tribunales de justicia para solicitar el reexamen de la medida o impugnar las decisiones emitidas. La colaboración de las empresas de telecomunicaciones para lograr que el usuario tome efectivo conocimiento de la notificación de la medida es particularmente relevante dado que la ley sólo otorga tres (3) días hábiles para controvertirla. Por el contrario, si consideran que el marco legal vigente no les permite notificar a los usuarios cuyas comunicaciones han sido objeto de intervención, las empresas deben hacer público ese análisis y demostrar que han intentado desafiar legalmente los impedimentos legales o que ha promovido modificaciones legales o regulatorias en favor de sus usuarios.
D. La empresa publica reportes y otros instrumentos de transparencia sobre la forma en la que trata y entrega los datos personales de sus usuarios
D1. La empresa publica reportes de transparencia conteniendo información estadística sobre el número de solicitudes de acceso a datos personales o comunicaciones hechas por autoridades nacionales o internacionales recibidas y aceptadas (un tercio de estrella);
D2. La empresa incluye en sus reportes de transparencia información sobre bajo qué supuestos y de qué manera puede entregar la información de sus usuarios a una autoridad (un tercio de estrella)
D3. La empresa pone a disposición de sus usuarios información estadística sobre la motivación, tipo de datos solicitados, de los pedidos de acceso a datos de autoridades recibidas y aceptadas (un tercio de estrella).
Este parámetro busca evaluar si las empresas publican reportes de transparencia y si los mismos son lo suficientemente detallados como para servir de base para determinar la forma y frecuencia en que se cursan solicitudes gubernamentales de acceso a datos. Los reportes de transparencia son informes publicados por una o más empresas que dan cuenta del número de solicitudes de intervención de las comunicaciones o acceso a registros de las comunicaciones recibidas de las autoridades nacionales. Estos reportes pueden contener información detallada sobre el número de solicitudes recibidas, el origen de las mismas, el tipo de información o acceso solicitado, entre otras.
Sin embargo, estos reportes no señalan casos particulares ni mencionan los usuarios o expedientes involucrados. Su finalidad es proveer un dato estadístico que sirva para medir el volumen de solicitudes de acceso a información privada que el Estado está cursando. Desde hace varios años, la publicación de reportes de transparencia periódicos es una buena práctica que está generalizándose entre las principales empresas de tecnología a través de cuyas redes se almacenan o transitan contenidos de los usuarios.
La ley peruana señala que las empresas y sus trabajadores deben de guardar la confidencialidad del caso tanto en el caso de la intervención de las comunicaciones en el marco de un proceso penal como en el marco de un proceso de obtención de información por parte del sistema de inteligencia. Sin embargo, esta obligación se entiende respecto del caso en particular y en principio no prohíbe que las empresas publiquen los números agregados de la cantidad de solicitudes que recibieron, el número de solicitudes que aceptaron o el número de usuarios involucrados en la medida y en general otros datos estadísticos que no contravengan la ley.
E. La empresa defiende la privacidad de sus usuarios a través de procesos legales y de reforma legislativa o gremios empresariales.
E1. La empresa ha controvertido en sede judicial mandatos o pedidos de acceso a información sobre sus usuarios que considera indebidamente formulados o sustentados (media estrella);
E2. La empresa participa enviando comentarios formales a proyectos de ley y de propuestas de reglamentación en favor de la privacidad de sus usuarios, o ha asumido compromisos públicos con la privacidad de sus usuarios (media estrella).
Esta categoría busca reconocer y premiar a las empresas que han tomado una posición firme en defensa de la privacidad de sus usuarios y la confidencialidad de la información que ellos le han confiado. Así, se evalúa si existen registros públicos sobre si las empresas han iniciado procesos judiciales o procedimientos administrativos para controvertir pedidos de acceso a información personal indebidamente formulados o sustentados. De la misma manera, también se evalúa si la empresa ha expresado, individualmente o a través de un representante, su preocupación con una o más reformas legales que pongan en riesgo la privacidad de sus usuarios o erosionen el régimen vigente de garantías constitucionales al secreto de las telecomunicaciones y la privacidad.
5. Resultados de la evaluación
Políticas de Privacidad | Autorización judicial | Notificación a usuarios | Transparencia | Compromiso con la privacidad | |
Bitel | 1 | 0.50 | 0 | 0.33 | 0 |
Claro | 0.66 | 0.50 | 0 | 0.33 | 0 |
Entel | 0.66 | 0 | 0 | 0 | 0 |
Movistar | 1 | 1 | 0 | 1 | 0 |
Olo | 0.33 | 0 | 0 | 0 | 0 |
Inkacel | 1 | 0 | 0 | 0 | 0 |
6. Evaluación por empresas
6.1. Bitel
Parámetro | Resultado | Puntaje |
A. Políticas de Privacidad | ||
A1. La empresa cuenta con Políticas de Privacidad y Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta | La empresa cuenta con una Política de Protección de Datos bien señalada en su sitio web:
https://sv1.bitel.com.pe/help-detail/proteccion-de-datos.html (https://perma.cc/L5ZB-3NES) |
0.33 |
A2. La empresa comunica en lenguaje simple sus Políticas de Privacidad y Protección de Datos Personales a través de su página web | La empresa utiliza un lenguaje técnico, pero comprensible por el usuario | 0.33 |
A3. La empresa incluye en sus Políticas de Privacidad y Protección de Datos Personales la información sobre por cuánto tiempo y para qué almacena la información de sus usuarios | La empresa incluye dicha información | 0.33 |
B. Autorización judicial | ||
B1. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar datos sobre el contenido de comunicaciones a las autoridades de seguridad y justicia. | La empresa señala expresamente que requiere orden judicial o mandato legal | 0.50 |
B2. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar metadatos almacenados de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
C. Notificación a usuarios | ||
C1. La empresa notifica a sus usuarios cuando su información personal o comunicaciones han sido objeto de una solicitud de acceso por parte del gobierno. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D. Transparencia | ||
D1. La empresa publica reportes de transparencia conteniendo información anonimizada sobre el número de solicitudes de acceso a información personal o comunicaciones de autoridades nacionales o internacionales recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D2. La empresa incluye en sus reportes de transparencia información sobre bajo qué supuestos y de qué manera puede entregar la información de sus usuarios a una autoridad | La empresa detalla las situaciones que dan lugar a la entrega de datos personales, pero no profundiza sobre el proceso | 0.33 |
D3. La empresa pone a disposición de sus usuarios información estadística sobre la motivación, tipo de datos solicitados, de los pedidos de acceso a datos de autoridades recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E. Compromiso con la privacidad | ||
E1. La empresa ha controvertido en sede judicial mandatos o pedidos de acceso a información sobre sus usuarios que considera indebidamente formulados o sustentados. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E2. La empresa participa enviando comentarios formales a proyectos de ley y de propuestas de reglamentación en favor de la privacidad de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
6.2. Claro
Parámetro | Resultado | Puntaje |
A. Políticas de Privacidad | ||
A1. La empresa cuenta con Políticas de Privacidad y Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta | La empresa cuenta con una Política de Protección de Datos bien señalada en su sitio web:
http://www.claro.com.pe/personas/movil/proteccion_datos/ (https://perma.cc/MK2H-V55V) |
0.33 |
A2. La empresa comunica en lenguaje simple sus Políticas de Privacidad y Protección de Datos Personales a través de su página web | La empresa utiliza un lenguaje demasiado técnico y complejo de procesar por el usuario | 0 |
A3. La empresa incluye en sus Políticas de Privacidad y Protección de Datos Personales la información sobre por cuánto tiempo y para qué almacena la información de sus usuarios | La empresa publica dicha información | 0.33 |
B. Autorización judicial | ||
B1. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar datos sobre el contenido de comunicaciones a las autoridades de seguridad y justicia. | La empresa señala expresamente que requiere orden judicial o mandato legal | 0.50 |
B2. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar metadatos almacenados de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
C. Notificación a usuarios | ||
C1. La empresa notifica a sus usuarios cuando su información personal o comunicaciones han sido objeto de una solicitud de acceso por parte del gobierno. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D. Transparencia | ||
D1. La empresa publica reportes de transparencia conteniendo información anonimizada sobre el número de solicitudes de acceso a información personal o comunicaciones de autoridades nacionales o internacionales recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D2. La empresa incluye en sus reportes de transparencia información sobre bajo qué supuestos y de qué manera puede entregar la información de sus usuarios a una autoridad | La empresa detalla las situaciones que dan lugar a la entrega de datos personales, pero no profundiza sobre el proceso | 0.33 |
D3. La empresa pone a disposición de sus usuarios información estadística sobre la motivación, tipo de datos solicitados, de los pedidos de acceso a datos de autoridades recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E. Compromiso con la privacidad | ||
E1. La empresa ha controvertido en sede judicial mandatos o pedidos de acceso a información sobre sus usuarios que considera indebidamente formulados o sustentados. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E2. La empresa participa enviando comentarios formales a proyectos de ley y de propuestas de reglamentación en favor de la privacidad de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
6.3. Entel
Parámetro | Resultado | Puntaje |
A. Políticas de Privacidad | ||
A1. La empresa cuenta con Políticas de Privacidad y Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta | La empresa cuenta con una Política de Protección de Datos bien señalada en su sitio web:
http://www.entel.pe/wp-content/uploads/2016/01/Politica-ley-de-proteccion-de-datos.pdf (https://perma.cc/A59G-7B9J) |
0.33 |
A2. La empresa comunica en lenguaje simple sus Políticas de Privacidad y Protección de Datos Personales a través de su página web | La empresa utiliza un lenguaje demasiado técnico y complejo de procesar por el usuario | 0 |
A3. La empresa incluye en sus Políticas de Privacidad y Protección de Datos Personales la información sobre por cuánto tiempo y para qué almacena la información de sus usuarios | La empresa incluye dicha información | 0.33 |
B. Autorización judicial | ||
B1. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar datos sobre el contenido de comunicaciones a las autoridades de seguridad y justicia. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
B2. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar metadatos almacenados de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
C. Notificación a usuarios | ||
C1. La empresa notifica a sus usuarios cuando su información personal o comunicaciones han sido objeto de una solicitud de acceso por parte del gobierno. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D. Transparencia | ||
D1. La empresa publica reportes de transparencia conteniendo información anonimizada sobre el número de solicitudes de acceso a información personal o comunicaciones de autoridades nacionales o internacionales recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D2. La empresa incluye en sus reportes de transparencia información sobre bajo qué supuestos y de qué manera puede entregar la información de sus usuarios a una autoridad | La empresa no detalla las situaciones que dan lugar a la entrega de datos personales | 0 |
D3. La empresa pone a disposición de sus usuarios información estadística sobre la motivación, tipo de datos solicitados, de los pedidos de acceso a datos de autoridades recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E. Compromiso con la privacidad | ||
E1. La empresa ha controvertido en sede judicial mandatos o pedidos de acceso a información sobre sus usuarios que considera indebidamente formulados o sustentados. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E2. La empresa participa enviando comentarios formales a proyectos de ley y de propuestas de reglamentación en favor de la privacidad de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
6.4. Inkacel
Parámetro | Resultado | Puntaje |
A. Políticas de Privacidad | ||
A1. La empresa cuenta con Políticas de Privacidad y Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta | La empresa cuenta con una Política de Protección de Datos bien señalada en su sitio web: https://www.inkacel.com/politica-de-privacidad-de-datos/ (https://perma.cc/KU8E-9XLU) | 0.33 |
A2. La empresa comunica en lenguaje simple sus Políticas de Privacidad y Protección de Datos Personales a través de su página web | La empresa utiliza un lenguaje simple y directo para transmitir la información | 0.33 |
A3. La empresa incluye en sus Políticas de Privacidad y Protección de Datos Personales la información sobre por cuánto tiempo y para qué almacena la información de sus usuarios | La empresa incluye dicha información | 0.33 |
B. Autorización judicial | ||
B1. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar datos sobre el contenido de comunicaciones a las autoridades de seguridad y justicia. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
B2. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar metadatos almacenados de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
C. Notificación a usuarios | ||
C1. La empresa notifica a sus usuarios cuando su información personal o comunicaciones han sido objeto de una solicitud de acceso por parte del gobierno. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D. Transparencia | ||
D1. La empresa publica reportes de transparencia conteniendo información anonimizada sobre el número de solicitudes de acceso a información personal o comunicaciones de autoridades nacionales o internacionales recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D2. La empresa incluye en sus reportes de transparencia información sobre bajo qué supuestos y de qué manera puede entregar la información de sus usuarios a una autoridad | La empresa no detalla las situaciones que dan lugar a la entrega de datos personales | 0 |
D3. La empresa pone a disposición de sus usuarios información estadística sobre la motivación, tipo de datos solicitados, de los pedidos de acceso a datos de autoridades recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E. Compromiso con la privacidad | ||
E1. La empresa ha controvertido en sede judicial mandatos o pedidos de acceso a información sobre sus usuarios que considera indebidamente formulados o sustentados. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E2. La empresa participa enviando comentarios formales a proyectos de ley y de propuestas de reglamentación en favor de la privacidad de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
6.5. Movistar
Parámetro | Resultado | Puntaje |
A. Políticas de Privacidad | ||
A1. La empresa cuenta con Políticas de Privacidad y Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta | La empresa cuenta con una Política de Protección de Datos bien señalada en su sitio web:
http://www.movistar.com.pe/privacidad-y-proteccion-datos (https://perma.cc/ZR36-TYCJ) |
0.33 |
A2. La empresa comunica en lenguaje simple sus Políticas de Privacidad y Protección de Datos Personales a través de su página web | La empresa utiliza un lenguaje simple y directo para transmitir la información | 0.33 |
A3. La empresa incluye en sus Políticas de Privacidad y Protección de Datos Personales la información sobre por cuánto tiempo y para qué almacena la información de sus usuarios | La empresa incluye dicha información | 0.33 |
B. Autorización judicial | ||
B1. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar datos sobre el contenido de comunicaciones a las autoridades de seguridad y justicia. | La empresa señala expresamente que requiere orden judicial o mandato legal | 0.50 |
B2. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar metadatos almacenados de sus usuarios. | La empresa pone a disposición de sus usuarios esta información | 0.50 |
C. Notificación a usuarios | ||
C1. La empresa notifica a sus usuarios cuando su información personal o comunicaciones han sido objeto de una solicitud de acceso por parte del gobierno. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D. Transparencia | ||
D1. La empresa publica reportes de transparencia conteniendo información anonimizada sobre el número de solicitudes de acceso a información personal o comunicaciones de autoridades nacionales o internacionales recibidas y aceptadas. | La empresa cuenta con un Reporte de Transparencia en donde señala el número de solicitudes de acceso en el país, señalando el número de solicitudes denegadas: https://www.telefonica.com/documents/153952/183394/Informe_Transparencia_Comunicaciones_Telefonica_ES.pdf/1e7386c3-5bcc-3084-4ecb-5057a61723e2 (https://perma.cc/NU6G-9PMC) | 0.33 |
D2. La empresa incluye en sus reportes de transparencia información sobre bajo qué supuestos y de qué manera puede entregar la información de sus usuarios a una autoridad | La empresa detalla las situaciones que dan lugar a la entrega de datos personales | 0.33 |
D3. La empresa pone a disposición de sus usuarios información estadística sobre la motivación, tipo de datos solicitados, de los pedidos de acceso a datos de autoridades recibidas y aceptadas. | La empresa pone a disposición de sus usuarios parcialmente esta información. | 0.33 |
E. Compromiso con la privacidad | ||
E1. La empresa ha controvertido en sede judicial mandatos o pedidos de acceso a información sobre sus usuarios que considera indebidamente formulados o sustentados. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E2. La empresa participa enviando comentarios formales a proyectos de ley y de propuestas de reglamentación en favor de la privacidad de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
6.6. Olo
Parámetro | Resultado | Puntaje |
A. Políticas de Privacidad | ||
A1. La empresa cuenta con Políticas de Privacidad y Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta | La empresa no cuenta con una Política de Protección de Datos bien señalada en su sitio web | 0 |
A2. La empresa comunica en lenguaje simple sus Políticas de Privacidad y Protección de Datos Personales a través de su página web | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
A3. La empresa incluye en sus Políticas de Privacidad y Protección de Datos Personales la información sobre por cuánto tiempo y para qué almacena la información de sus usuarios | La empresa incluye dicha información en sus modelos de Acuerdo de Servicios: https://olo.com.pe/static/docs/contrato_olo.pdf?v=e5a8a (https://perma.cc/22RX-JC48) | 0.33 |
B. Autorización judicial | ||
B1. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar datos sobre el contenido de comunicaciones a las autoridades de seguridad y justicia. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
B2. La empresa exige la existencia de una orden judicial expresa y previa antes de entregar metadatos almacenados de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
C. Notificación a usuarios | ||
C1. La empresa notifica a sus usuarios cuando su información personal o comunicaciones han sido objeto de una solicitud de acceso por parte del gobierno. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D. Transparencia | ||
D1. La empresa publica reportes de transparencia conteniendo información anonimizada sobre el número de solicitudes de acceso a información personal o comunicaciones de autoridades nacionales o internacionales recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
D2. La empresa incluye en sus reportes de transparencia información sobre bajo qué supuestos y de qué manera puede entregar la información de sus usuarios a una autoridad | La empresa no detalla las situaciones que dan lugar a la entrega de datos personales | 0 |
D3. La empresa pone a disposición de sus usuarios información estadística sobre la motivación, tipo de datos solicitados, de los pedidos de acceso a datos de autoridades recibidas y aceptadas. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E. Compromiso con la privacidad | ||
E1. La empresa ha controvertido en sede judicial mandatos o pedidos de acceso a información sobre sus usuarios que considera indebidamente formulados o sustentados. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
E2. La empresa participa enviando comentarios formales a proyectos de ley y de propuestas de reglamentación en favor de la privacidad de sus usuarios. | La empresa no cuenta o no pone a disposición de sus usuarios esta información | 0 |
Gracias al apoyo de EFF
This report is authored by Hiperderecho and is part of a larger project coordinated by the Electronic Frontier Foundation in several countries. EFF is an international non-profit organization that has been defending freedom of expression and privacy in the digital world since 1990.
Bajo licencia Creative Commons Reconocimiento 4.0 Internacional (CC-BY)
Electronic Frontier Foundation. Who Has Your Back? 2015: Protecting Your Data From Government Requests. Julio, 2017. URL: https://www.eff.org/who-has-your-back-2017↩
Fundación Karisma, ¿Dónde están mis datos?, 2017, URL: https://karisma.org.co/demd/↩
Red en Defensa de los Derechos Digitales (R3D), ¿Quién Defiende Tus Datos?, 2016, URL: https://r3d.mx/2016/12/13/qdtd2016/↩
InternetLab, Quem Defende Seus Dados?, 2017, URL: http://www.internetlab.org.br/en/projetos/quem-defende-seus-dados-who-has-your-back/↩
TEDIC, ¿Quién Defiende Tus Datos?, 2017, URL: https://qdtd.tedic.org↩
Derechos Digitales, ¿Quién Defiende Tus Datos?, 2017, URL: https://www.derechosdigitales.org/wp-content/uploads/qdtd-2017.pdf↩
Asociación por los Derechos Civiles, ¿Quién Defiende Tus Datos?, 2017, URL: https://adcdigital.org.ar/qdtd/↩
Eticas Foundation, ¿Quién defiende tus datos?, 2017, URL: https://eticasfoundation.org/qdtd↩
Disponible en https://hiperderecho.org/qdtd↩
OSIPTEL, Indicadores Estadísitcos, 2018, URL: https://www.osiptel.gob.pe/documentos/indicadores-estadisticos↩
OSIPTEL, Reporte de Portabilidad Numérica, al 28 de Febrero de 2018. Febrero, 2018. URL: https://www.osiptel.gob.pe/repositorioaps/data/1/1/1/par/reporte-portabilidad-numerica-febrero2018/Portabilidad_Numerica-feb2018.pdf↩
DECRETO SUPREMO Nº 013-93-TCC: Texto Único Ordenado de la Ley de Telecomunicaciones↩
LEY Nº 29733: Ley de Protección de Datos Personales↩
Ley de Protección de Datos Personales, Artículo 18.— Derecho de información del titular de datos personales
El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.↩
Constitución Política del Perú, Artículo 2.— Toda persona tiene derecho:
(…)
10. Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados.
Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.
Los documentos privados obtenidos con violación de este precepto no tienen efecto legal.
Los libros, comprobantes y documentos contables y administrativos están sujetos a inspección o fiscalización de la autoridad competente, de conformidad con la ley. Las acciones que al respecto se tomen no pueden incluir su sustracción o incautación, salvo por orden judicial.↩
Código Procesal Penal, Artículo 231.— Registro de la intervención de comunicaciones telefónicas o de otras formas de comunicación
3. Una vez ejecutada la medida de intervención y realizadas las investigaciones inmediatas en relación al resultado de aquélla, se pondrá en conocimiento del afectado todo lo actuado, quien puede instar el reexamen judicial, dentro del plazo de tres días de notificado. La notificación al afectado sólo será posible si el objeto de la investigación lo permitiere y en tanto no pusiere en peligro la vida o la integridad corporal de terceras personas. El secreto de las mismas requerirá resolución judicial motivada y estará sujeta a un plazo que el Juez fijará.↩