Empresas de internet no cumplen con la protección de la privacidad de sus clientes
Las empresas que registran un menor índice de cumplimiento son Claro y GTD Manquehue, con un 10%. VTR, en tanto llega sólo a un 50%.
Las empresas que proveen servicios de internet en Chile tienen mucho que mejorar a la hora de proteger la privacidad de sus clientes. Esta es la principal conclusión del estudio “¿Quién defiende tus datos?”, el que fue realizado por la organización Derechos Digitales y por la Electronic Frontier Foundation (EFF) sobre las políticas de privacidad de las principales compañías que operan en Chile.
El estudio analizó la información públicamente disponible sobre el modo en que Movistar, VTR, Claro, Entel y GTD Manquehue responden a los requerimientos de las autoridades pertinentes para acceder a los datos personales de sus clientes. Estas empresas reúnen el 96,1% de los servicios fijos y el 86,9% de los servicios móviles disponibles.
¿Las empresa publica el contrato de servicios de internet y su política de protección de datos? ¿Publican un reporte de transparencia? ¿Notifican a sus usuarios sobre las solicitudes de acceso a su información personal por parte de la autoridad? ¿Publican el procedimiento que la autoridad debe cumplir al requerir información personal de sus clientes? ¿Defienden la privacidad de las personas en los Tribunales de Justicia o el Congreso?
A partir de estas preguntas, el estudio busca conocer cuáles buenas prácticas han implementado las empresas y cuáles son los ámbitos donde es importante mejorar.
Los resultados indican que hoy las empresas no están haciendo mucho más allá del mínimo legal requerido. “El problema es que el estándar legal en Chile es muy bajo; aunque uno cumpla la ley, no está protegiendo la privacidad de los usuarios necesariamente”, explica Pablo Viollier, uno de los autores del estudio.
Entre las principales falencias encontradas está la falta de políticas de protección de datos y de procedimientos claros para solicitar información personal de los clientes. Por otro lado, ninguna de las empresas se compromete a notificar a sus usuarios de una solicitud sobre su información personal, solo Movistar publica un informe de transparencia con datos sobre este tipo de requerimientos y ninguna de las empresas es proactiva para defender la privacidad en los Tribunales o el Congreso, de modo que las posibilidades de mejora son importantes.
“Hoy existen imperativos de competencia y de respeto a los derechos humanos que empujan a las empresas a implementar políticas de privacidad que vayan más allá del mínimo exigido por la ley. Los consumidores premiarán con su preferencia a las empresas que sean capaces de entender y asumir este desafío”, afirmó María Paz Canales, directora ejecutiva de Derechos Digitales.
Marco Regulatorio
Desde el punto de vista normativo, existen tres áreas del sistema jurídico que son particularmente relevantes para efectos de este estudio: las reglas de protección de datos personales, la ley general de telecomunicaciones y sus decretos complementarios, y la legislación procesal penal.
En Chile, la ley contempla la posibilidad de obtener información personal en la investigación de ciertos delitos, incluyendo la interceptación y registro de comunicaciones privadas.
Estas disposiciones se encuentran en el Código Procesal Penal y en algunas leyes especiales que rigen, por ejemplo, en la investigación del tráfico de sustancias ilícitas y de acciones terroristas. La recolección de esta información debe ser autorizada previamente por un juez a solicitud del Ministerio Público, órgano a cargo de la investigación y persecución criminal. Si la recolección de información tiene fines de inteligencia, el órgano a cargo es la Agencia Nacional de Inteligencia (ANI), que procede a través de las direcciones de inteligencia de las Fuerzas Armadas y de Orden, y de las policías.
El inciso quinto del artículo 222, el Código Procesal Penal obliga a los proveedores de servicio de internet a mantener un registro, no inferior a un año, de los números IP de las conexiones que realicen sus clientes, además de un listado actualizado de sus rangos autorizados de direcciones IP. El artículo 224 del mismo cuerpo legal señala que la medida de interceptación será notificada al afectado con posterioridad a su realización, cuando el objeto de la investigación lo permitiere y en la medida en que ello no pusiere en peligro la vida o la integridad corporal de terceras persona.
Dicha notificación debe ser realizada por el Ministerio Público, pero nada obsta a que las empresas notifiquen a sus usuarios de las solicitudes realizadas por la Fiscalía u otros organismos, en la medida que se cumplan los requisitos establecidos en el artículo mencionado.
Asimismo, la normativa sectorial de telecomunicaciones incluye el Reglamento sobre interceptación y grabación de comunicaciones telefónicas y de otras formas de telecomunicación (Decreto Nº 142 de 2005), que se refiere a la obligación contenida en el Código Procesal Penal para que los proveedores de servicios de telecomunicaciones conserven un registro, al menos por un año, de los datos de las conexiones que hagan las direcciones IP asociadas a su servicio. Dicha información solo puede ser dada a conocer a los órganos que la ley indique, resguardando la privacidad de sus abonados.
La ley de protección de datos personales vigente en Chile está enfrentando un proceso de cambios, gatillado por la necesidad de cumplir ciertos estándares internacionales en la materia, principalmente de la OCDE. Muy recientemente se ha presentado un proyecto que se hace cargo de gran parte de las críticas a la ley actual, pero aún no ha comenzado su proceso legislativo, por lo que todavía es difícil saber el alcance de las reformas propuestas.
De manera indirecta, existen otras normativas sectoriales que inciden en los resultados de este estudio. Debido a la fiscalización que ejercen tanto el Servicio Nacional del Consumidor (SERNAC), la Fiscalía Nacional Económica (FNE) y la Subsecretaría de Telecomunicaciones (SUBTEL), es posible encontrar en línea información sobre los contratos que vinculan a los clientes con las compañías de telecomunicaciones, como parte de los esfuerzos por transparentar las condiciones comerciales vigentes en el país.
En cuanto a la publicación de informes de transparencia y políticas de privacidad por parte de las empresas, si bien la legislación no los exige, tampoco los prohíbe.