¿Cómo protegen las empresas de
telecomunicaciones nuestra información
cuando el Estado toca la puerta?
Evaluamos las políticas y prácticas de privacidad de los proveedores de telecomunicaciones en Perú para que los usuarios tomen decisiones informadas respecto de las compañías que les proveen los servicios de telefonía e Internet. Estos fueron nuestros resultados.
Índice
1. Presentación
2. Principales hallazgos
3. Contexto
3.1. Mercado de las telecomunicaciones en Perú
3.2. Obligaciones legales en materia de privacidad y datos personales
4. Metodología Propuesta
4.1. ¿Cuáles fueron las empresas evaluadas?
4.2. ¿Qué información se analiza?
4.2. ¿Qué significa cada categoría?
4.4. ¿Cómo se ha evaluado cada categoría?
5. Resultados de la evaluación (individual)
5.1. Bitel
5.2. Claro
5.3. Entel
5.4. Movistar
6. Resultados de la evaluación (consolidado)
6.1. Bitel
6.2. Claro
6.3. Entel
6.4. Movistar
1. Presentación
El reporte “¿Quién defiende tus datos” (QDTD) es una herramienta de análisis cualitativo que identifica las prácticas de empresas que brindan el servicio de acceso a Internet respecto de la protección de la privacidad de sus usuarios. Su propósito es ofrecer información comparativa que permita a los usuarios de estos servicios conocer qué empresas emplean las mejores prácticas a la hora de proteger el secreto de sus comunicaciones e informar sobre la forma en que sus datos personales se usan y son compartidos con terceros, especialmente con agentes u oficinas del gobierno. Los hallazgos buscan, de la misma manera, motivar a las empresas a mejorar estas prácticas y convertirlas en elementos distintivos de sus servicio al mercado.
El concepto y desarrollo de esta herramienta pertenece a la Electronic Frontier Foundation (EFF). Desde 2011, a través de sus reportes Who Has Your Back? Protecting Your Data From Government Requests, la EFF viene documentando las prácticas de las principales empresas proveedoras de Internet en Estados Unidos, analizando sus políticas corporativas públicamente disponibles y destacando sus mejores prácticas. Desde 2015, con el apoyo de la propia EFF, otras organizaciones latinoamericanas han utilizado esta estrategia y la han adaptado a sus países. Hiperderecho es la organización encargada de editar y difundir el reporte en el Perú.
El reporte QDTD Perú: 2021 es la cuarta edición de esta serie, luego de las ediciones de 2015, 2019, 2020 y 2021. En esta nueva entrega, no solo se ha actualizado la información sobre el contexto local sino que, además, se ha incluído una categoría adicional referida los pueblos originarios en el Perú: disponibilidad de la página web, contratos y/o políticas de privacidad en lenguas originarias. Consideramos ello de suma importancia pues no existe un pleno consentimiento libre e informado si la información presentada respecto del tratamiento de datos personales no está en un idioma entendible. Las empresas evaluadas este año son: Telefónica, Claro, Entel y Bitel. Todas ellas, que concentran casi la totalidad del mercado de acceso a Internet del Perú, son analizadas bajo ocho categorías que miden los esfuerzos que las empresas de este tipo pueden (o deberían) realizar en favor de la privacidad y en estricto cumplimiento de nuestro marco legal.
Este reporte se suma a la larga lista de reportes QDTD de la región, de los cuales se han tomado las mejores prácticas, siendo algunos de ellos: Fundación Karisma en Colombia, Red en Defensa de los Derechos Digitales en México, InternetLab en Brasil, TEDIC en Paraguay, Derechos Digitales para Chile, Asociación por los Derechos Civiles en Argentina e IPANDETEC en Panamá.
2. Principales hallazgos
- El mercado del servicio de acceso a Internet a través de Internet fijo ha sufrido ligeros cambios. El principal operador (Movistar) ha visto disminuida su posición en el mercado en favor de otros operadores. En lo relativo al mercado de Internet móvil, este no ha sufrido variaciones sustanciales, manteniéndose una participación en el mercado más balanceada que el mercado de Internet fijo.
- En comparación con el Informe realizado en el año 2020, tampoco se dieron modificaciones normativas que sean sustanciales. Sin embargo, es importante llamar la atención sobre la Ley N° 31284, que modificó el Decreto Legislativo 1182 y amplió los supuestos bajo los cuales la policía puede acceder a información georreferenciada sin autorización judicial.
- En lo referido a las puntuaciones, es importante resaltar que los dos principales operadores (Movistar y Claro) han mejorado sus ya bastante altas puntuaciones previas. Esto es importante de resaltar porque evidencia una mejora continua del comportamiento en materia de privacidad y datos personales de dichas empresas.
- En lo referido a las categorías de “Políticas de privacidad” todas las empresas obtuvieron un puntaje bastante alto. Esto se debe, como señalamos en el informe previo, a que la normativa peruana establece un piso bastante exigente sobre el particular. Sin embargo, en lo referido a “Autorización judicial” , podemos observar que existe aún un deficiente nivel de cumplimiento. Si bien las dos empresas más grandes (Claro y Movistar) sí tienen criterios publicados sobre cómo han de entregar información a las autoridades, Bitel y Entel no cuentan con algo similar. En este sentido, la garantía de autorización judicial para la intervención en derechos fundamentales no está del todo asegurada.
- En lo que respecta a “Notificación a usuarios”, hemos encontrado que, si bien podría ser discutible desde el ámbito jurídico que las empresas puedan comunicar la interceptación ordenada por vía judicial, existe una práctica relativa a diferenciar estos ámbitos. Así, en casos penales no se notifica a los usuarios, mas en casos como familia o de trabajo, sí se realizaría la notificación correspondiente. Ello brinda una ventana de oportunidad para realizar un tratamiento diferenciado relativo a las materias sobre las cuales se discuta.
- Finalmente, respecto de la categoría adicional añadida de «Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias» pudimos comprobar que, en una primera instancia, se suele brindar canales de atención en distintas lenguas originarias (principalmente en quechua y aymara). Asimismo, dos de las operadoras (Claro y Movistar) cuentan con contratos en quechua e, incluso, una sección de políticas de privacidad en dicha lengua. Finalmente, es importante resaltar que ninguna de las operadoras cuenta con una página web que conste en lengua originaria.
3. Contexto
3.1. Mercado de las telecomunicaciones en Perú
En Perú, el servicio de acceso a Internet se da principalmente a través de dos formas: a través de Internet fijo y a través de los dispositivos móviles. El organismo regulador encargado del mercado de telecomunicaciones (Osiptel) recopila información y la publica a través de su portal PUNKU. De estas publicaciones podemos encontrar lo siguiente que, respecto del acceso a Internet a través de Internet fijo, para el segundo trimestre del 2021, la participación en el mercado de las empresas de telecomunicaciones es el siguiente: Telefónica (62.8%), Claro, (27.6%), Entel (4.6%) y el resto de operadores (5.1%). Respecto del informe pasado, podemos observar que Telefónica ha perdido participación en el mercado (de 69.8% a 62.8%), Claro aumentó su participación (de 23% a 27.6%) y el resto de operadores pasaron de tener una participación de 1% a 5.1%. De acuerdo a ello podemos apreciar que, si bien Movistar aún tiene gran mayoría de participación en el mercado, este se va reduciendo cada año en favor de sus competidores.
Respecto del mercado de Internet móvil, la participación en este por parte de las empresas de telecomunicaciones está más diversificada:
Fuente: https://punku.osiptel.gob.pe/
Respecto del informe del año anterior, podemos observar que Claro pasó de 29.99% a 35.58%; Entel de 21.0% a 16.47% y Bitel de 17.2% a 16.57%. En este sentido, se mantiene la tendencia de un mercado de telecomunicaciones en operadores móviles más diverso y con participación no tan concentrada como en el mercado de acceso a Internet fijo.
3.2. Obligaciones legales en materia de privacidad y datos personales
La normativa que aborda la cuestión de la privacidad y los datos personales de las personas tiene distinta fuente. En primer lugar, la Constitución peruana recoge tanto los derechos a la vida privada como el derecho a la protección de datos personales. Desarrollando los mencionados derechos, encontramos a la Ley de Telecomunicaciones y su Reglamento, así como la Ley de Protección de Datos Personales y su Reglamento.
En lo que respecta a variación de la normativa desde el anterior informe, cabe indicar que no se han dado cambios adicionales en las normas peruanas en esta materia cuya trascendencia sea importante resaltar. Uno de los cambios más importantes, sin embargo, sería el referido a la modificación del Decreto Legislativo N° 1182, a través de la Ley N° 31284. Como es recordar, a través de dichas disposiciones normativas se facultaba a la Policía Nacional del Perú el poder acceder a la geolocalización de los usuarios del servicio de telefonía móvil sin contar con una autorización judicial previa. La modificatoria amplió los delitos que habilitaban a la Policía Nacional el poder acceder a la geolocalización de los usuarios.
4. Metodología Propuesta
4.1. ¿Cuáles fueron las empresas evaluadas?
Para este reporte se han tenido en cuenta a cuatro empresas que ofrecen servicios de acceso a Internet en Perú: Telefónica, Claro, Entel y Bitel. Aunque están nombradas en la sección de Mercado de servicios, en esta ocasión no hemos considerado ni a Inkacel ni a Cuy Móvil. Son varios los motivos por los cuales hemos tomado esta decisión. Tal vez el factor más importante es que ambos son competidores relativamente nuevos y por lo tanto aún no han terminado de “aterrizar” en el mercado peruano, lo que se ve reflejado en su reducida cuota de usuarios. Esto, además que su participación en el mercado es todavía marginal. En ese sentido, parece más apropiado esperar cierto nivel de consolidación antes de incorporarlos a la evaluación de QDTD Perú.
4.2. ¿Qué información se analiza?
La información analizada para elaborar el reporte de Quién Defiende Tus Datos 2021 (QDTD 2021) viene a ser toda aquella que se encuentra disponible en los sitios web y medios sociales de las empresas de telecomunicaciones evaluadas, clasificadas dentro de las siguiente categorías: a) Políticas de privacidad y contratos de prestación del servicio de acceso a Internet; b) Autorización judicial; c) Notificación a usuarios; d) Protocolo para requerir datos personales; e) Transparencia; f) Promoción de los Derechos Humanos; g) Promoción de la Seguridad digital; h) Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias.
La lógica de solo utilizar información pública en Internet es conocer en qué medida un usuario podría acceder a ella sin tener que contar con conocimientos previos o realizar algún trámite especial para obtenerla. No obstante, sabiendo que la información disponible en Internet es amplia y muchas veces está fragmentada, la evaluación se complementará con los comentarios y precisiones que las empresas puedan realizar sobre su evaluación particular, para lo cual se les cursará comunicaciones electrónicas cuando el reporte haya sido concluido.
4.2. ¿Qué significa cada categoría?
Las categorías de información que se van a analizar han sido escogidas teniendo en cuenta siete categorías preexistentes en los anteriores reportes de QDTD de Perú y una nueva incorporación. Esto se toma a partir de las experiencias de otros países de la región que cuentan con reportes de este tipo. A continuación se explican mejor cada una de ellas:
a) Políticas de privacidad
Según la Ley de Protección de Datos Personales y su Reglamento vigentes en Perú, todo aquel que trata datos personales en el Perú está obligado a informar de forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que los datos personales serán tratados; quiénes son o pueden ser sus destinatarios; la transferencia de los datos personales; el tiempo durante el cual se conservan; entre otros. Del mismo modo, estas disposiciones también suelen constar en los contratos específicos del tipo de servicio brindado en caso este brinde el servicio de acceso a Internet. Así pues, en esta categoría se mide el nivel de cumplimiento de dicha disposición. ¿Las políticas de privacidad aplicables al uso del servicio de telecomunicaciones están publicadas? ¿Son claras respecto a la recolección y entrega de los datos personales? ¿Están escritas o son presentadas en un lenguaje sencillo? ¿Es posible acceder a una copia de los contratos de servicio de acceso a Internet a través de su página web?
b) Autorización judicial
La Constitución Política del Perú reconoce como derecho fundamental el secreto de las comunicaciones. Así pues, se señala que las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez y emitido con las garantías previstas en la ley. En esta categoría se evalúa si esta información es explícita en la forma de cláusulas contractuales, publicaciones u otros contenidos publicados en Internet por las empresas. Se tiene en cuenta también si dentro de esta garantía se mencionan los metadatos, con las excepciones previstas por otras leyes que permiten su acceso sin orden judicial como es el caso del Decreto Legislativo 1182 y recientemente el Decreto Supremo 070-2020-PCM.
c) Notificación a Usuarios
El Nuevo Código Procesal Penal (NCPP) señala que una vez ejecutada una medida de intervención judicial de las telecomunicaciones y realizadas las investigaciones inmediatas en relación al resultado, se deberá comunicar de la medida al afectado siempre que el objeto de la investigación lo permita y en tanto no se ponga en peligro la vida o la integridad corporal de terceras personas. Esto quiere decir que las empresas pueden (y deberían) notificar a sus usuarios cuando hayan entregado sus datos personales con motivo de una investigación penal. Esto, como una buena práctica en la que debería comprometerse al no existir obligación legal que lo impida explícitamente. Aunque existen razones legítimas para que las empresas decidan no notificar y los anteriores reportes de QDTD de Perú muestran que esto parece ser la regla, esta categoría evalúa si, por lo menos, la empresa ha hecho público su posicionamiento sobre el tema y ha previsto medios suficientes para salvaguardar la privacidad de sus usuarios en estos casos.
d) Protocolo para requerir datos personales
En los casos de la interceptación legal de las telecomunicaciones prevista en el NCPP, se espera que las empresas evaluadas hayan implementado voluntariamente protocolos o guías para recibir y contestar las solicitudes de la Policía, el Ministerio Público y otras entidades competentes del Estado. Esta categoría evalúa si dichos protocolos son públicos o, cuando no lo son, si por lo menos existe alguna mención expresa de su existencia, que establezca su naturaleza permanente y obligatoria para otorgar el acceso a los datos de sus usuarios. Se exceptúan de análisis los protocolos implementados obligatoriamente por el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM. Remarcamos que la exención de la publicidad en estos protocolos va en contra de la transparencia en el uso de datos personales que el Estado debería garantizar en el marco de los procedimientos de autorización y manejo de datos en investigaciones criminales. La transparencia es vital para la rendición de cuentas, sin la cual la sociedad no tiene elementos para evaluar y controlar excesos de las fuerzas del orden.
e) Transparencia
Si bien no existe en Perú una exigencia legal para ello, una gran parte de las empresas de tecnología alrededor del mundo publican periódicamente informes en donde transparentan información relacionada a su desarrollo empresarial, en los que se incluye también la información relacionada a las solicitudes y entrega de datos de sus usuarios a entidades del Estado. En las anteriores ediciones de QDTD, esta categoría ha evaluado si la empresa contaba con un reporte de transparencia que revele información de este tipo. No obstante, ahora se propone también evaluar qué tan detallada es esta información. ¿Señala cuántas solicitudes ha recibido? ¿Indica qué entidad hace las solicitudes? ¿Menciona el motivo? ¿Señala cuántas son rechazadas y por qué?
f) Promoción y defensa de los Derechos Humanos
Esta categoría evalúa si existen pronunciamientos públicos o acciones concretas de las empresas evaluadas en el último año que reconozcan o promuevan el respeto por los derechos humanos, especialmente el derecho a la intimidad o privacidad. Además, se valora también la participación institucional de las empresas en espacios de diálogo internacional y local que involucren a la sociedad civil como el Foro Peruano de Gobernanza de Internet, la Global Network Initiative, etc.
g) Promoción de la Seguridad digital
Todas las anteriores categorías evalúan el comportamiento de las empresas respecto de solicitudes hechas por entidades del Estado dentro del marco legal. No obstante, diferentes experiencias en la región hacen prever que en contextos autoritarios, los Estados pueden optar también por acceder a los datos de los usuarios a través de otros métodos, que incluyen la vulneración de las plataformas de las empresas, el phishing e incluso el uso de malware. Así pues, en esta categoría se evalúa qué medidas de seguridad mínimas han implementado las empresas en las plataformas donde ofrecen servicios a sus usuarios y si existen publicaciones o contenidos educativos sobre seguridad digital en general.
h) Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias
La Constitución Política del Perú reconoce en su artículo 19 que todo “(t)odo peruano tiene derecho a usar su propio idioma”; asimismo, el artículo 48 reconoce como idiomas oficiales, de manera conjunta al castellano “(a)l quechua, el aimara y las demás lenguas aborígenes”. Asimismo, el artículo 4.1.e) dispone que toda persona tiene derecho a “(g)ozar y disponer de los medios de traducción directa o inversa que garanticen el ejercicio de sus derechos en todo ámbito”. Por lo tanto, cuestiones trascendentales en torno a la protección de los datos personales y la privacidad de los usuarios, se tornan aún más importantes si es que el contrato a través del cual se brinda el consentimiento para el tratamiento de datos personales se encuentra en la lengua materna de la persona que, en el caso peruano, suelen ser lenguas originarias. De la misma forma, que la página web de la empresa esté disponible en algunas de las lenguas originarias garantiza un mejor acceso a la información sobre el servicio brindado.
4.4. ¿Cómo se ha evaluado cada categoría?
Cada una de las categorías posee entre uno y tres indicadores que permiten conocer si las empresas evaluadas han cumplido totalmente con la categoría, lo han hecho parcialmente o no han cumplido en absoluto. Con el fin de que pueda visualizarse de forma sencilla el nivel de cumplimiento y se pueda hacer una comparación entre todas las empresas, se ha dispuesto plasmar los resultados en la forma de estrellas. Así, dependiendo de cada caso, se asignará una estrella, media estrella, un tercio de estrella o ninguna.
| Categoría | Indicadores |
| Categoría 1: Políticas de privacidad | 1.1. La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) |
| 1.2. El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) | |
| 1.3. El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) | |
| Categoría 2: Autorización judicial | 2.1. La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) |
| 2.2. La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) | |
| Categoría 3: Notificación a usuarios | 3.1. La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) |
| 3.2. La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) | |
| Categoría 4: Protocolo para requerir datos personales | 4.1. La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) |
| 4.2. Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) | |
| Categoría 5: Transparencia | 5.1. La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) |
| 5.2. La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) | |
| Categoría 6: Promoción y defensa de los derechos humanos | 6.1. La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) |
| 6.2. La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) | |
| 6.3. La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) | |
| Categoría 7: Promoción de la Seguridad digital | 7.1. La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) |
| 7.2. La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) | |
| 7.3. La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) | |
| Categoría 8: Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | 8.1. La empresa cuenta con una página web disponible en una lengua originaria, además del castellano (un tercio de estrella) |
| 8.2. Las políticas de privacidad o el contrato de prestación del servicio de acceso a Internet está disponible en una lengua originaria, además del castellano (un tercio de estrella) | |
| 8.3. Dispone de una página web, políticas de privacidad y/o contrato en dos o más lenguas originarias, además del castellano. (un tercio de estrella) |
5. Resultados de la evaluación (individual)
5.1. Bitel
| Categoría 1: Políticas de privacidad | Evaluación | Resultado |
| 1.1. La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) | En el sitio web de la empresa existe una sección titulada “Protección de datos”. Allí, se encuentra el texto de las políticas aplicables a todos sus servicios. | ⅓ estrella |
| 1.2. El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) | El texto de Políticas de Privacidad es específico sobre la siguiente información: Objeto del tratamiento, finalidad, forma de tratamiento, transferencia a terceros, plazos de almacenamiento y derechos de los usuarios frente al tratamiento. | ⅓ estrella |
| 1.3. El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) | El texto de Políticas de Privacidad es largo, pero el lenguaje es claro y conciso, además de ser bastante detallado. No obstante, hay varias posibilidades de mejora para hacer este contenido aún más accesible. Así, por ejemplo, en vez de recoger las definiciones realizadas por la ley, se podría optar por realizar unas propias y más fácilmente comprensibles. | ⅓ estrella |
| Categoría 2: Autorización judicial | Evaluación | Resultado |
| 2.1. La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) |
Si bien en el texto de Políticas de Privacidad se describe que los datos pueden ser entregados para “cumplir con obligaciones legales”, no se menciona explícitamente el mandato judicial. |
0 estrellas |
| 2.2. La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) | El texto de Políticas de Privacidad no especifica cuáles datos de los usuarios las autoridades sólo pueden obtener mediante una orden judicial previa. Así no hay nada sobre este compromiso en relación a los metadatos de las comunicaciones. | 0 estrellas |
| Categoría 3: Notificación a usuarios | Evaluación | Resultado |
| 3.1. La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) | No existe ningún documento o compromiso público de la empresa sobre notificación a usuarios cuyos datos hayan sido entregados al Estado en el marco de un procedimiento de investigación, aún en los casos en que la ley lo permite. | 0 estrellas |
| 3.2. La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) | No existe ningún documento o pronunciamiento público de la empresa sobre los motivos por los cuales no realiza la notificación a sus usuarios de que sus datos han sido entregados al Estado en el marco de un procedimiento de investigación. Tampoco hay documentos o pronunciamientos respecto de otras garantías de privacidad en estos casos. | 0 estrellas |
| Categoría 4: Protocolo para requerir datos personales | Evaluación | Resultado |
| 4.1. La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) | No se ha podido encontrar en el sitio web de la empresa protocolo o guía alguno. | 0 estrellas |
| 4.2. Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) | No se ha podido encontrar en el sitio web de la empresa protocolo o guía alguno. | 0 estrellas |
| Categoría 5: Transparencia | Evaluación | Resultado |
| 5.1. La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) | No se ha podido encontrar en el sitio web de la empresa reporte o publicación de este tipo. | 0 estrellas |
| 5.2. La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) | No se ha podido encontrar en el sitio web de la empresa reporte o publicación de este tipo. | 0 estrellas |
| Categoría 6: Promoción y defensa de los derechos humanos | Evaluación | Resultado |
| 6.1. La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) | La empresa cuenta con un Código de Ética, en el que toma como principio el respeto de la privacidad de las personas, sus derechos y su dignidad. Asimismo, tiene una sección titulada “Conoce tus derechos, normas y políticas de la empresa” donde da pautas informativas de los derechos de sus usuarios. | ⅓ estrella |
| 6.2. La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) | No se ha encontrado información sobre el particular | 0 estrellas |
| 6.3. La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) | La empresa todavía no ha participado de estos espacios a nivel local o regional. | 0 estrellas |
| Categoría 7: Promoción de la Seguridad digital | Evaluación | Resultado |
| 7.1. La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) | Se consultó el sitio web principal de la empresa: https://bitel.com.pe/ y https://mi.bitel.com.pe/; siendo que este tenía configurados sus certificados de seguridad y tenían activada la navegación HTTPs por defecto. | ⅓ estrella |
| 7.2. La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) | En el caso de la aplicación móvil “Mi Bitel”, que permite gestionar los servicios móviles del usuario, para crear la cuenta es requisito ingresar un PIN enviado al teléfono. Existen además opciones de recuperación de contraseña con un token (el teléfono) y gestión de accesos. | ⅓ estrella |
| 7.3. La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) | La empresa no cuenta con estos contenidos. | 0 estrellas |
| Categoría 8: Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | Evaluación | Resultado |
| 8.1. La empresa cuenta con una página web disponible en una lengua originaria, además del castellano (un tercio de estrella) | La empresa no cuenta con una página web disponible en alguna lengua originaria. No obstante, cuenta con un canal de atención telefónica en quechua. | ⅓ estrellas |
| 8.2. Las políticas de privacidad o el contrato de prestación del servicio de acceso a Internet está disponible en una lengua originaria, además del castellano (un tercio de estrella) | No se ha encontrado en la página web política de privacidad o copia de contrato de prestación de algún tipo de servicio en lengua originaria | 0 estrellas |
| 8.3. Dispone de una página web, políticas de privacidad y/o contrato en dos o más lenguas originarias, además del castellano. (un tercio de estrella) | La empresa no cuenta con una página web disponible en alguna lengua originaria. No obstante, cuenta con un canal de atención, además del quechua, en aymara, ashaninka y shipibo-conibo | ⅓ estrellas |
5.2. Claro
| Categoría 1: Políticas de privacidad | Evaluación | Resultado |
| 1.1. La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) | En el sitio web de la empresa existe una sección titulada “Política de privacidad”. En esta, se puede acceder a la “Declaración formal de compromiso al cumplimiento de la Ley de Protección de Datos Personales – Ley 29733 y su Reglamento – D.S. 003-2013-JUS”. Allí se encuentran las condiciones y medidas de seguridad – técnicas y legales implementadas por la empresa respecto de la privacidad y los datos personales de sus clientes. | ⅓ estrella |
| 1.2. El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) | El texto de Políticas de Privacidad es específico sobre la siguiente información: Objeto del tratamiento, finalidad, forma de tratamiento, transferencia a terceros y derechos de los usuarios frente al tratamiento. | ⅓ estrella |
| 1.3. El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) | El texto de Políticas de Privacidad no es excesivamente largo, lo cual facilita su lectura y el lenguaje es claro y conciso. No obstante, hay algunos términos técnicos legales que deberían reproducirse en un lenguaje de más fácil comprensión. | ⅓ estrella |
| Categoría 2: Autorización judicial | Evaluación | Resultado |
| 2.1. La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) |
El texto de Políticas de Privacidad menciona explícitamente que los datos personales de sus clientes solo serán revelados a terceros con el consentimiento del titular, por disposición legal o mandato judicial. Además, el documento “Informe Anual 2021 Atención de requerimiento sobre levantamiento del secreto de las telecomunicaciones” explicita la necesidad de un mandato judicial para el requerimiento por distintas autoridades gubernamentales del levantamiento del secreto de las telecomunicaciones. |
½ estrella |
| 2.2. La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) | Con excepción del Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM las disposiciones legales que establecen el acceso a datos de autoridades a datos de los usuarios demandan una orden judicial previa. Por lo tanto, el compromiso señalado en respuesta al criterio anterior también implica una garantía de que el acceso a los metadatos se dé a través de una orden judicial. | ½ estrella |
| Categoría 3: Notificación a usuarios | Evaluación | Resultado |
| 3.1. La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) | El documento titulado “Informe Anual 2021 Atención de requerimiento sobre levantamiento del secreto de las telecomunicaciones”, al cual se puede acceder a través del apartado “Legal y Regulatorio” señala explícitamente que notificarán en los casos en materia laboral, civil o de familia. Sin embargo, no lo hará para materias penales. | ½ estrella |
| 3.2. La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) | En el documento “Informe Anual 2021 Atención de requerimiento sobre levantamiento del secreto de las telecomunicaciones”, la empresa sostiene que no notificará en materia penal porque considera que el Ministerio Público, en tanto director de la investigación, es quien debe determinar el momento apropiado para notificar al usuario. | ½ estrella |
| Categoría 4: Protocolo para requerir datos personales | Evaluación | Resultado |
| 4.1. La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) | El protocolo se puede encontrar en el documento “Informe Anual 2021 Atención de requerimiento sobre levantamiento del secreto de las telecomunicaciones”. | ½ estrella |
| 4.2. Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) | El Protocolo es específico para el caso peruano y es público. Abarca excepciones específicas como la del Decreto Legislativo 1182 | ½ estrella |
| Categoría 5: Transparencia | Evaluación | Resultado |
| 5.1. La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) | La empresa publica esta información en el “Informe Anual 2021 Atención de requerimiento sobre levantamiento del secreto de las telecomunicaciones”. | ½ estrella |
| 5.2. La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) | El “Informe Anual 2021 Atención de requerimiento sobre levantamiento del secreto de las telecomunicaciones” detalla sobre las entidades que solicitan la información, los motivos y cuántas son rechazadas por no cumplir los requerimientos. | ½ estrella |
| Categoría 6: Promoción y defensa de los derechos humanos | Evaluación | Resultado |
| 6.1. La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) | La empresa cuenta con un Código de Ética (versión y vigente desde el 2019), en el que recalca las obligaciones de los trabajadores de la empresa respecto de tres campos relevantes para la privacidad: Datos personales, privacidad de las comunicaciones y libertad de expresión. Además, en su sitio web global www.americamovil.com, tiene seccionados relacionadas a sus compromisos con las políticas de privacidad y derechos humanos. | ⅓ estrella |
| 6.2. La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) |
En el “Informe Anual 2020 Atención de requerimiento sobre levantamiento del secreto de las telecomunicaciones” se señala que existen un número de solicitudes (tanto de interceptación de las comunicaciones como requerimientos asociados a metadatos) que han sido rechazadas, por lo que se puede entender que la empresa rechaza solicitudes que no cumplan con los requisitos necesarios. Adicionalmente, la empresa nos indicó que tomaron las siguientes acciones: – El 27.05.2021, Claro envió Carta a OSIPTEL con comentarios al Proyecto de Actualización de la Decisión 638 – Comunidad Andina cuyo objetivo es la protección de los derechos de los usuarios del servicio de telecomunicaciones. – La SUNAT requiere a Claro que le proporciones la base completa de clientes prepago y post pago para las fiscalizaciones que realicen. Claro mediante cartas de fecha 21/ENE/21 y 20/AGO/2021 se negó a atender el requerimiento por ser un listado abierto y desproporcional en línea con los criterios de la Autoridad de Protección de Datos (Opinión Consultiva 37-2020). – A nivel regulatorio, Claro se opuso a brindar al OSIPTEL los datos de los usuarios y sus claves de routers, por considerarlo desproporcionado. No obstante, la Autoridad Nacional de Protección de Datos Personales opinó lo contrario mediante la Opinión Consultiva 042-2021. |
⅓ estrella |
| 6.3. La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) |
A nivel nacional, ha participado en calidad de invitado del Foro Peruano de Gobernanza de Internet en 2017. Asimismo, la empresa nos brindó la siguiente información: – Participación del Data Protection Supervisor de Claro como panelista en el Regional CyberSecurity Conference for Internet Service Providers realizada el 19.10.2021. – Participación de la abogada especialista en protección de datos personales en Claro, como panelista en el Taller de Compliance 2021: El impacto del Compliance en la Protección de Datos Personales de los Colaboradores de la Cámara de Comercio Americana del Perú AMCHAM realizada el 22.03.2021; y, como público, en el Foro Virtual «Los principios actualizados sobre la privacidad y la protección de datos personales: Hacia un modelo regional» de la Organización de los Estados Americanos realizada el 07.06.2021. |
⅓ estrella |
| Categoría 7: Promoción de la Seguridad digital | Evaluación | Resultado |
| 7.1. La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) | Se consultó los dos sitios web principales de la empresa: https://www.claro.com.pe y https://tiendaclaro.pe; siendo que ambos tenían configurados sus certificados de seguridad y tenían activada la navegación HTTPs por defecto. | ⅓ estrella |
| 7.2. La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) | En el caso de la aplicación móvil “Mi Claro”, que permite gestionar los servicios móviles del usuario, para crear la cuenta es requisito ingresar un PIN enviado al teléfono. Existen además opciones de recuperación de contraseña con un token (el teléfono) y con envío a correos de seguridad. | ⅓ estrella |
| 7.3. La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) | La empresa tiene un sitio web dedicado a compartir contenidos relacionados al ecosistema digital, entre ellos seguridad digital para usuarios. | ⅓ estrella |
| Categoría 8: Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | Evaluación | Resultado |
| 8.1. La empresa cuenta con una página web disponible en una lengua originaria, además del castellano (un tercio de estrella) | La empresa no cuenta con una página web disponible en alguna lengua originaria. | 0 estrellas |
| 8.2. Las políticas de privacidad o el contrato de prestación del servicio de acceso a Internet está disponible en una lengua originaria, además del castellano (un tercio de estrella) |
Claro tiene publicado en su página web los contratos y la política de privacidad en quechua. – Contratos de prestación del servicio: https://www.claro.com.pe/informacion-a-abonados-y-usuarios/ (haciendo click en la opción “Saber más +”). – Política de Privacidad: https://www.claro.com.pe/portal/pe-2020/recursos_contenido/claro-home/0bf89fd8-b30a-4837-aa6c-b3622e02a4ba-SUTIKUNATA_PAKASQA_WAQAYCHANAPAQ_LEY_29733_IMAYNA_RURAKUNANPAQ_IMA_DS.pdf |
⅓ estrella |
| 8.3. Dispone de una página web, políticas de privacidad y/o contrato en dos o más lenguas originarias, además del castellano. (un tercio de estrella) | La empresa no cuenta con una página web disponible en alguna lengua originaria además del quechua. | 0 estrellas |
5.3. Entel
| Categoría 1: Políticas de privacidad | Evaluación | Resultado |
| 1.1. La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) | En el sitio web de la empresa existe una sección titulada “Política de privacidad”. Allí, se encuentra el texto de las políticas aplicables a todos sus servicios. | ⅓ estrella |
| 1.2. El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) | El texto de Políticas de Privacidad es específico sobre la siguiente información: objeto de tratamiento, los bancos de datos personales inscritos, su finalidad, las medidas de seguridad – técnicas y legales implementadas, transferencia a terceros, plazos de almacenamiento y derechos de los usuarios frente al tratamiento. | ⅓ estrella |
| 1.3. El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) | El texto de Políticas de Privacidad es largo, pero el lenguaje es claro y conciso, además de ser bastante detallado. Adicionalmente, cuenta con apartado de definiciones. No obstante, hay varias posibilidades de mejora para hacer este contenido aún más accesible. Así, por ejemplo, se podría mejorar las definiciones de conceptos recogidas en la ley y desarrollarlos de forma más comprensible. | ⅓ estrella |
| Categoría 2: Autorización judicial | Evaluación | Resultado |
| 2.1. La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) | En el texto de Políticas de Privacidad no se menciona explícitamente el mandato judicial. Tampoco, a diferencia de la anterior versión de las políticas de privacidad, se describe que los datos pueden ser entregados para “cumplir una exigencia legal, colaborar con la administración de justicia”. La empresa señala, de manera genérica, que transferirá los datos personales a la Administración pública para el “Cumplimiento de lo establecido en la normativa vigente”. | 0 estrellas |
| 2.2. La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) | La empresa menciona tipos de datos personales y se dice que son todos aquellos que “identifiquen o hagan identificable” a una persona. Por eso entendemos que ambos tienen igual protección, incluyendo lo relacionado a los requerimientos de autoridades competentes. En este caso, consideramos que el nivel de protección brindado por la política es insuficiente, por la manera genérica en que ha sido redactada. | 0 estrellas |
| Categoría 3: Notificación a usuarios | Evaluación | Resultado |
| 3.1. La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) | No existe ningún documento o compromiso público de la empresa sobre notificación a usuarios cuyos datos hayan sido entregados al Estado en el marco de un procedimiento de investigación, aún en los casos en que la ley lo permite. | 0 estrellas |
| 3.2. La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) | No existe ningún documento o pronunciamiento público de la empresa sobre los motivos por los cuales no realiza la notificación a sus usuarios de que sus datos han sido entregados al Estado en el marco de un procedimiento de investigación. Tampoco hay documentos o pronunciamientos respecto de otras garantías de privacidad en estos casos | 0 estrellas |
| Categoría 4: Protocolo para requerir datos personales | Evaluación | Resultado |
| 4.1. La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) | No se ha podido encontrar en el sitio web de la empresa protocolo o guía alguno. | 0 estrellas |
| 4.2. Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) | No se ha podido encontrar en el sitio web de la empresa protocolo o guía alguno. | 0 estrellas |
| Categoría 5: Transparencia | Evaluación | Resultado |
| 5.1. La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) | No se ha podido encontrar en el sitio web de la empresa reporte o publicación de este tipo. | 0 estrellas |
| 5.2. La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) | No se ha podido encontrar en el sitio web de la empresa reporte o publicación de este tipo. | 0 estrellas |
| Categoría 6: Promoción y defensa de los derechos humanos | Evaluación | Resultado |
| 6.1. La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) | La empresa cuenta con un Código de Ética, en el que se indica que la empresa debe cumplir los principios de mantener la confidencialidad y resguardar la privacidad en las comunicaciones, de acuerdo a la normativa del sector. | ⅓ estrella |
| 6.2. La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) | No se cuenta con información sobre el particular. | 0 estrellas |
| 6.3. La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) | A nivel nacional, ha participado en calidad de invitado del Foro Peruano de Gobernanza de Internet en 2016 y 2017. | ⅓ estrella |
| Categoría 7: Promoción de la Seguridad digital | Evaluación | Resultado |
| 7.1. La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) | Se consultó el sitio web principal de la empresa: https://www.entel.pe/; siendo que este tenía configurados sus certificados de seguridad y tenían activada la navegación HTTPs por defecto. | ⅓ estrella |
| 7.2. La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) | En el caso de la aplicación móvil “Mi Entel”, permite gestionar los servicios móviles del usuario, para crear la cuenta es requisito ingresar un PIN enviado al teléfono. Existen además opciones de recuperación de contraseña con un token (el teléfono) y gestión de accesos. | ⅓ estrella |
| 7.3. La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) | La empresa no cuenta con estos contenidos. | 0 estrellas |
| Categoría 8: Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | Evaluación | Resultado |
| 8.1. La empresa cuenta con una página web disponible en una lengua originaria, además del castellano (un tercio de estrella) | La empresa no cuenta con una página web disponible en alguna lengua originaria. | 0 estrellas |
| 8.2. Las políticas de privacidad o el contrato de prestación del servicio de acceso a Internet está disponible en una lengua originaria, además del castellano (un tercio de estrella) | No se ha encontrado en la página web política de privacidad o copia de contrato de prestación de algún tipo de servicio en lengua originaria | 0 estrellas |
| 8.3. Dispone de una página web, políticas de privacidad y/o contrato en dos o más lenguas originarias, además del castellano. (un tercio de estrella) | La empresa no cuenta con una página web disponible en alguna lengua originaria. | 0 estrellas |
5.4. Movistar
| Categoría 1: Políticas de privacidad | Evaluación | Resultado |
| 1.1. La empresa cuenta con un texto de Políticas de Privacidad y/o Protección de Datos Personales aplicables al servicio de telecomunicaciones que presta (un tercio de estrella) | Dentro de su sitio web la empresa cuenta con una sección llamada «Centro de Transparencia y Privacidad». Ahí es posible encontrar la Política de Privacidad e información adicional sobre el tratamiento de datos personales de los usuarios. | ⅓ estrella |
| 1.2. El texto de las Políticas de Privacidad y Protección de Datos Personales es específico a la hora de enunciar qué información recolecta de sus usuarios, por cuánto tiempo y en qué casos se transmite a terceros, incluido el Estado (un tercio de estrella) | El texto de Políticas de Privacidad es específico sobre la siguiente información: Finalidadad del tratamiento, forma de tratamiento, transferencia a terceros, plazos de almacenamiento y derechos de los usuarios frente al tratamiento. El texto brinda información sobre los datos personales tratados: nombres y apellidos, voz, número de documento de identidad, lugar y fecha de nacimiento, domicilio, correo electrónico, números de teléfonos y huella digital | ⅓ estrella |
| 1.3. El texto de las Políticas de Privacidad y Protección de Datos Personales usa un lenguaje sencillo, claro y sin tecnicismos (un tercio de estrella) | Aunque el texto contiene algunas expresiones legales técnicas, en su mayoría es de claro entendimiento | ⅓ estrella |
| Categoría 2: Autorización judicial | Evaluación | Resultado |
| 2.1. La empresa es explícita en mencionar que exige un mandato judicial de la autoridad competente antes de entregar el contenido de las comunicaciones de sus usuarios (media estrella) | En la sección de «Protocolo de entrega de datos a Autoridades Competentes», la empresa es expresa al informar que únicamente entregarán información personal y/o protegida por el secreto de las telecomunicaciones cuando exista mandato judicial motivado. Asimismo, señala qué autoridades estarían facultadas para requerir información y en virtud de qué norma. | ½ estrella |
| 2.2. La empresa es explícita en mencionar que tiene la misma exigencia en el caso de los metadatos de las comunicaciones de sus usuarios, teniendo en cuenta las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) |
Aunque el texto no menciona expresamente la palabra metadatos, esto sí se encuentran englobados dentro de la sección «Protocolo de entrega de datos a Autoridades Competentes»: «c. Información que se originan a consecuencia de la prestación de los servicios contratados y que se registran en nuestras redes de telecomunicaciones, tales como registros de tráficos de llamadas, la fecha, hora y duración de una comunicación; los tipos de comunicación realizados; registros de números IP, la identidad de los equipos de comunicación (incluyendo IMSI o IMEI); la localización del usuario o del dispositivo, y otros datos de similares características.» |
½ estrella |
| Categoría 3: Notificación a usuarios | Evaluación | Resultado |
| 3.1. La empresa se compromete públicamente a notificar a sus usuarios cuando el contenido o metadatos de sus comunicaciones han sido objeto de una solicitud de acceso por parte del Estado, siempre que no exista un impedimento legal para hacerlo (media estrella) | No existe ningún documento o compromiso público de la empresa sobre notificación a usuarios cuyos datos hayan sido entregados al Estado en el marco de un procedimiento de investigación. | 0 estrellas |
| 3.2. La empresa se ha pronunciado públicamente sobre la notificación a sus usuarios en estos casos, explicando por qué motivos no lo realiza, pero comprometiéndose a salvaguardar su derecho a la privacidad (media estrella) | En la sección de «Protocolo de entrega de datos a Autoridades Competentes» la empresa señala que no realizará notificación alguna a los usuarios, incluso en los supuestos en los que el procedimiento haya concluido. Esto, en virtud de la reserva de las investigaciones prevista en el artículo 222 del Código Procesal Penal. Asimismo, considera que cualquier notificación posterior al proceso o a la interceptación debe ser realizada en el proceso mismo y no por «vías alternas». | ½ estrella |
| Categoría 4: Protocolo para requerir datos personales | Evaluación | Resultado |
| 4.1. La empresa tiene protocolos o guías sobre los requisitos que deben cumplir las entidades del Estado que deseen acceder a los datos de sus usuarios (media estrella) | La empresa publica, de manera general, cuáles son los requisitos que deben cumplir entidades estatales para acceder a los datos en la sección de «Protocolo de entrega de datos a Autoridades Competentes». Del mismo modo, en dicha sección se encuentra un vínculo al Reglamento Global de Peticiones ante Autoridades Competentes, donde se explica ello de forma más detallada. | ½ estrella |
| 4.2. Dichos protocolos o guías han sido hechos públicos, con las excepciones previstas por otras leyes como el Decreto Legislativo 1182 y el Decreto Supremo 070-2020-PCM (media estrella) |
La empresa cuenta con un apartado referido a «Proceso de Gestión de Requerimientos»; no obstante, este no determina, de manera específica para el caso peruano, cuáles son los requisitos necesarios para ello. Remite al genérico Reglamento Global. Sin embargo, la empresa indicó, una vez consultada, que la parte final del apartado “Proceso de Gestión de Requerimientos” hace explícito el procedimiento para el caso peruano |
½ estrella |
| Categoría 5: Transparencia | Evaluación | Resultado |
| 5.1. La empresa publica reportes u otras publicaciones de transparencia en donde se señale información relacionada con la forma en que entrega los datos de sus usuarios a entidades del Estado (media estrella) | Es posible encontrar dentro del sitio web de Movistar el Informe de Transparencia sobre la forma de entrega de información de usuarios a entidades del Estado. | ½ estrella |
| 5.2. La información publicada contiene detalles sobre cuántas solicitudes recibe, qué autoridad las hace, por qué motivos, cuántas son aceptadas y cuántas rechazadas (media estrella) | En el informe de transparencia se especifica qué autoridades realizan las solicitudes, cuál es la norma que aplican y el número de peticiones recibidas vs. las rechazadas, para lo cual se hace una división entre las solicitudes sobre el contenido de las comunicaciones (interceptación) y otra sobre los metadatos. | ½ estrella |
| Categoría 6: Promoción y defensa de los derechos humanos | Evaluación | Resultado |
| 6.1. La empresa ha emitido un pronunciamiento o ha llevado a cabo una acción afirmativa sobre el derecho a la intimidad o privacidad de sus usuarios (un tercio de estrella) | La empresa ha realizado diferentes acciones afirmativas sobre estos derechos pues en su sitio web se encuentran documentos legales e infografía que informan sobre estos temas. Además, posee un espacio independiente en donde comparte contenidos relacionados a la privacidad que buscan ser atractivos para el usuario. | ⅓ estrella |
| 6.2. La empresa ha controvertido en vía judicial solicitudes de acceso a los datos de sus usuarios que considera desproporcionadas o ilícitas; o se ha posicionado a favor de la privacidad frente a propuestas legislativas que la ponen en riesgo (un tercio de estrella) |
En el informe de transparencia se señala que existen un número de solicitudes (tanto de interceptación de las comunicaciones como requerimientos asociados a metadatos) que han sido rechazadas, por lo que se puede entender que la empresa rechaza solicitudes que no cumplan con los requisitos necesarios. No se encuentra en la página web información públicamente accesible sobre comentarios a propuestas legislativas. Una vez consultada, la empresa indicó que el motivo por los cuales rechazan solicitud de interceptación es porque no se adjuntan mandato judicial que autorice de manera expresa dicha interceptación. Asimismo, indicó que el año 2021 emitieron comentarios al Proyecto de Reglamento de Supervisiones de Osiptel, analizando apartados que podrían afectar la privacidad de los usuarios. |
⅓ estrella |
| 6.3. La empresa participa de espacios de discusión o coaliciones sobre temas relacionados a la privacidad, en donde también participa la sociedad civil como el Foro Peruano de Gobernanza de Internet o la Global Network Initiative (un tercio de estrella) | A nivel global, la empresa es miembro del Telecommunication Industry Dialogue y financia la realización de espacios como el LACIGF. A nivel nacional, ha participado en calidad de invitado del Foro Peruano de Gobernanza de Internet en 2017, 2019. | ⅓ estrella |
| Categoría 7: Promoción de la Seguridad digital | Evaluación | Resultado |
| 7.1. La empresa utiliza el protocolo HTTPS en todos sus sitios web, incluyendo aquellos en donde se recolectan datos personales de sus usuarios (un tercio de estrella) | Se consultaron los dos sitios web principales de la empresa: www.movistar.com.pe y www.telefonica.com ; siendo que ambos tenían configurados sus certificados de seguridad y tenían activada la navegación HTTPs por defecto. | ⅓ estrella |
| 7.2. La empresa brinda la oportunidad a sus usuarios de usar métodos seguros como la autenticación de dos pasos para otorgar acceso a sus plataformas (un tercio de estrella) | En el caso de la aplicación móvil “Mi Movistar”, que permite gestionar los servicios móviles del usuario, para crear la cuenta es requisito ingresar un PIN enviado al teléfono. Existen además opciones de recuperación de contraseña con un token remitido a correo electrónico y gestión de accesos. | ⅓ estrella |
| 7.3. La empresa publica o pone a disposición de sus usuarios contenidos sobre seguridad digital (un tercio de estrella) | La empresa tiene un sitio web dedicado a compartir contenidos relacionados al ecosistema digital, entre ellos seguridad digital para usuarios. | ⅓ estrella |
| Categoría 8: Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | Evaluación | Resultado |
| 8.1. La empresa cuenta con una página web disponible en una lengua originaria, además del castellano (un tercio de estrella) |
Si bien no cuenta con una versión de su página web en lengua originaria, sí tiene un canal de atención telefónica al usuario en quechua. No obstante, una vez que se llama al canal de atención telefónica, no es posible acceder a la atención en dicha lengua. La empresa indicó que ello se debe a que la empresa cuenta con una base de datos de clientes quechuas y aymaras, según ubicación geográfica y contratos. En caso el contacto se realice por personas en esta base, la atención se realiza directamente por el asesor en la respectiva lengua. |
⅓ estrella |
| 8.2. Las políticas de privacidad o el contrato de prestación del servicio de acceso a Internet está disponible en una lengua originaria, además del castellano (un tercio de estrella) | La empresa indicó que cuenta con contratos en quechua, el cual remitido por correo por esta. No obstante, esta no se encuentra accesible a través de su página web. | ⅓ estrella |
| 8.3. Dispone de una página web, políticas de privacidad y/o contrato en dos o más lenguas originarias, además del castellano. (un tercio de estrella) | Si bien no cuenta con una versión de su página web en lengua originaria alguna, sí tiene un canal de atención telefónica al usuario en aimara. Se accede a este canal a través del procedimiento descrito en el apartado 8.1. | ⅓ estrella |
6. Resultados de la evaluación (consolidado)
6.1. Bitel
| Categoría | Puntaje final |
| Políticas de privacidad | Estrella completa |
| Autorización judicial | Cero estrellas |
| Notificación a usuarios | Cero estrellas |
| Protocolo para requerir datos personales | Cero estrellas |
| Transparencia | Cero estrellas |
| Promoción y defensa de los derechos humanos | Un tercio de estrella |
| Promoción de la Seguridad digital | Dos tercios de estrella |
| Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | Dos tercios de estrella |
6.2. Claro
| Categoría | Puntaje final |
| Políticas de privacidad | Estrella completa |
| Autorización judicial | Estrella completa |
| Notificación a usuarios | Estrella completa |
| Protocolo para requerir datos personales | Estrella completa |
| Transparencia | Estrella completa |
| Promoción y defensa de los derechos humanos | Estrella completa |
| Promoción de la Seguridad digital | Estrella completa |
| Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | Un tercio de estrella |
6.3. Entel
| Categoría | Puntaje final |
| Políticas de privacidad | Estrella completa |
| Autorización judicial | Cero estrellas |
| Notificación a usuarios | Cero estrellas |
| Protocolo para requerir datos personales | Cero estrellas |
| Transparencia | Cero estrellas |
| Promoción y defensa de los derechos humanos | Dos tercios de estrella |
| Promoción de la Seguridad digital | Dos tercios de estrella |
| Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | Cero estrellas |
6.4. Movistar
| Categoría | Puntaje final |
| Políticas de privacidad | Estrella completa |
| Autorización judicial | Estrella completa |
| Notificación a usuarios | Media estrella |
| Protocolo para requerir datos personales | Estrella completa |
| Transparencia | Estrella completa |
| Promoción y defensa de los derechos humanos | Estrella completa |
| Promoción de la Seguridad digital | Estrella completa |
| Disponibilidad de la página web, de contratos y/o políticas de privacidad en lenguas originarias | Estrella completa |
Investigación
Dilmar Villena Fernández Baca
Foto de portada
Foto de Alejandro Barba en Unsplash
Otra buena idea de Hiperderecho
Gracias al apoyo de EFF
This report is authored by Hiperderecho and is part of a larger project coordinated by the Electronic Frontier Foundation in several countries. EFF is an international non-profit organization that has been defending freedom of expression and privacy in the digital world since 1990.
Bajo licencia Creative Commons Reconocimiento 4.0 Internacional (CC-BY)