¿Quién defiende tus datos?

¿Quién defiende tus datos? 2022

Versión adaptada para web. Para obtener una versión completa, incluyendo las notas al pie, por favor descargue el PDF.

“¿Quién defiende tus datos?” tiene como objetivo promover la transparencia y las mejores prácticas en los ámbitos de la privacidad y la protección de datos por parte de las empresas que proporcionan acceso a Internet en Paraguay. Se lleva a cabo anualmente y cada nueva evaluación va precedida de un examen de la metodología, de modo que los resultados puedan reflejar con mayor precisión el marco jurídico existente, considerar las cuestiones que vayan surgiendo y abarcar las buenas prácticas en las esferas de la privacidad y la protección de los datos personales.

Quiénes somos

TEDIC es una organización sin fines de lucro que defiende y promueve los derechos humanos en entornos digitales al tiempo que avanza la tecnología con foco en desigualdades de género y sus intersecciones.

Electronic Frontier Foundation (EFF) es una organización internacional sin fines de lucro líder en la defensa de los derechos digitales. Trabaja con tecnólogos, activistas y abogados para defender la libertad de expresión en línea, combatir la vigilancia ilegal y abogar por las personas usuarias y la innovación.

  • Investigación
  • Tania Guerrero
  • Luis Alonzo Fulchi
  • Coordinación
  • Maricarmen Sequera
  • Colaboración
  • Veridiana Alimonti (EFF)
  • Diseño y diagramación
  • Horacio Oteiza
  • Edición y correcciones
  • Luis Alonzo Fulchi
  • Maricarmen Sequera

Introducción

El proyecto “Quién defiende tus datos” está inspirado en “Who has your back” de EFF, aunque la metodología difiere de la aplicada en EEUU, ya que la realidad legal de Paraguay es bien diferente a la estadounidense.

En su tercera edición, el proyecto evaluó a las mismas empresas de telefonía y servicios de Internet que se habían evaluado en 2020: COPACO, VOX, PERSONAL, TIGO y CLARO.

La investigación se centra en responder las preguntas sobre ¿Cómo ISP protegen nuestra privacidad? ¿Cómo protegen nuestros datos personales? ¿Existen procedimientos claros? ¿Participan de forma activa en la defensa de nuestros derechos en las mesas de debate público?

La pandemia de COVID-19 nos obligó a depender aún más de los medios tecnológicos. Es por ello la importancia de evaluar la tecnología y las telecomunicaciones con perspectiva de derechos de manera recurrente porque son fundamentales en nuestra actual forma de interacción y comunicación.

Este año, se realizó un pequeño ajuste para que los criterios puedan compararse a nivel regional. Se ha habilitado una tabla de resultados para poder comparar el rendimiento de las empresas en las categorías y criterios de evaluación, basados en: su compromiso público con el cumplimiento de la ley; sus adopciones de buenas prácticas favorables a las personas usuarias de servicio de Internet; su transparencia sobre las prácticas y políticas; la accesibilidad en sus plataformas webs, entre otros.

Cada empresa fue evaluada con base en las 7 categorías señaladas y justificadas a continuación, cuya elaboración tuvo en cuenta los requisitos de la ley vigente en Paraguay y las buenas prácticas internacionales en materia de protección de la privacidad y tratamiento de datos personales. Para esta evaluación, se analizaron los acuerdos de servicio, informes de sostenibilidad y otros documentos que estuvieron disponibles en los sitios web de las empresas hasta enero de 2022. También se evaluaron noticias de prensa y medios especializados en la materia.

Con los resultados preliminares en mano, TEDIC contactó con las empresas y solicitó revisión y comentarios sobre los mismos, con especial énfasis en las metodologías y resultados obtenidos hasta enero de 2022. Finalmente estos comentarios y opiniones de las empresas fueron ajustados en la conclusión y en los puntajes correspondientes.

Cuadro general comparativo

Cuadro comparativo 2022

Metodología

La investigación analizó a las principales empresas de telefonía y proveedoras de Internet: Claro, Copaco, Personal, Tigo, y Vox.

De un total de 105 proveedoras de Internet en Paraguay, se tomó el criterio de analizar solamente las empresas que tienen un mercado superior a 15.000 clientes a nivel nacional. La cantidad de usuarios por cada empresa fue extraída del informe indicador de mercados expuesto por la CONATEL en su página web.

Las tecnologías de acceso predominantes en banda ancha fija por cable son actualmente las conexiones HFC, seguidas por las conexiones FTTX y finalmente las conexiones ADSL.

La investigación se centró en extraer datos cualitativos de las políticas de privacidad —entre otros documentos— de cada empresa mencionada y analizarlas en el marco de las siete categorías definidas previamente por esta investigación. Posteriormente, se puntuó a las empresas conforme a los criterios expuestos por categoría.

Las empresas analizadas en esta oportunidad son firmas que proveen a sus usuarios servicios de internet, telefonía, televisión y algunas de ellas también billeteras electrónicas, más conocidas como mobile financial services.

Estas entidades proveedoras de los servicios citados, con fines comerciales y para el cumplimiento de normas legales, se encargan de la recopilación de datos sobre sus usuarios, el tratamiento y el uso de esta información es responsabilidad de estas empresas.

En ese orden, las políticas de privacidad analizadas constituyen marcos rectores en el tratamiento de información recolectada sobre sus usuarios. Consiguientemente, las políticas de privacidad son enunciadas con el fin de que el usuario posea información sobre el tratamiento de los datos personales. Específicamente enuncian qué o cuales datos se recopilan sobre sus usuarios, cómo se recopilan estos datos, la finalidad, los límites, los derechos y su forma de ejercerlos. Finalmente, con quiénes se comparte y cúal es el proceso de compartimiento.

Los datos recolectados fueron extraídos de las políticas de privacidad enunciadas por cada empresa en su página web. No obstante ello, también se analizaron informes de sustentabilidad publicados en el año 2021, basados en datos del año 2020. Estos informes fueron divulgados por Millicom International Cellular SA y por America Movil, propietarios de Tigo y Claro respectivamente.

Así también, se analizaron noticias de prensa y se recolectaron datos de organismos sectoriales o multisectoriales que promuevan el respeto y la protección de los derechos humanos desde el ámbito empresarial, tales como Global Network Initiative o Telecommunications Industry Dialogue o GSMA.

Finalmente, analizados y contextualizados los datos recolectados, con la correspondiente justificación a los criterios expuestos, las empresas fueron puntuadas en cada una de las categorías que más adelante se enuncian.

Contexto Nacional

La metodología de la presente investigación tuvo en cuenta el contexto actual de nuestro país. A fin de imprimir un orden a las consideraciones, dividiremos en dos aspectos el presente apartado.

El primero de ellos son las estadísticas en cuanto al acceso al uso de servicios telecomunicacionales y las diferencias existentes con ediciones anteriores a esta investigación.

El segundo aspecto trata del análisis legal de las disposiciones vigentes relativas al uso y al tratamiento de datos en nuestro país.

Según el Plan Nacional de Telecomunicaciones Paraguay 2021-202520, elaborado por la Comisión Nacional de Telecomunicaciones —CONATEL— en octubre de 2021, el porcentaje de suscripciones a internet fijo aumentó 1% en el 2020, en comparación al año 2019.

En el punto 2.1.3.1.5 del Plan, conforme al gráfico expuesto, se verifica la cantidad de suscripciones a servicio de acceso a Internet en todo el país con relación a parámetros demográficos como población y cantidad de hogares. En términos de uso de internet por banda ancha fija, el porcentaje de penetración, por cada 100 habitantes, aumentó de 5,8% en el 2019 a 6,8% en el 2020.

Aumentar en 1% la suscripción por cada 100 habitantes equivale a aumentar el número de conexiones a Internet fijo en alrededor de 70.000 cuentas. Sin embargo, ello no es suficiente puesto que se observa, en el gráfico 2.1.3.1.7 del citado informe, que nuestro país se encuentra por debajo de la media del Mercosur y de los países de Sudamérica e inclusive si consideramos el promedio de América Latina y el Caribe (ALC).

Ahora bien, con respecto al análisis legal, tenemos variedad de normas vigentes y aplicables a la protección de datos personales en Paraguay.

En primer lugar nos referiremos al marco legal internacional entre los cuales se encuentra la Declaración Universal de los Derechos Humanos aprobada por la Asamblea General de las Naciones Unidas. 1948, la cual en su Art. 12 reza: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques” y Convención Americana de Derechos Humanos, ratificada por ley paraguaya 1/89, el cual en el artículo 11º especifica: “(...)2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. 3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques”.

En ese orden, no podemos dejar de mencionar la Jurisprudencia de la Corte Interamericana de Derechos Humanos en la cual se establece que al igual que los contenidos, también los metadatos asociados a una comunicación están protegidos por el derecho a la inviolabilidad de las comunicaciones y la igualdad en la protección legal a los datos y a los metadatos. Esta jurisprudencia es explicada con mayor alcance en el Criterio de evaluación nro. 1 y así también, utilizada para justipreciar a las empresas de telefonías estudiadas en la presente investigación.

En cuanto al marco legal nacional, tenemos en primer lugar a la Constitución Nacional, la cual en los artículos 25º, 33º y 36º establecen garantías a la libre expresión de la personalidad, el derecho a la intimidad y el derecho a la inviolabilidad del patrimonio documental y la comunicación privada.

Este último artículo gana especial relevancia al analizarlo en el marco del Criterio de evaluación N.º 2 “Autorización Judicial”. Conforme al Diario de sesiones sobre el artículo 36, N.° 14 29 de abril de 1992, entre los fundamentos del artículo 36º (En las palabras del Convencional Oscar Paciello) se encuentra “Una de las cuestiones más importantes de las que trata este artículo, es la relativa a las comunicaciones telefónicas, que realmente está contemplada y que constituye una permanente corruptela a la privacidad de las personas por obra de su ilegal interferencia. Esto, en otros países, se autoriza solamente en casos graves y excepcionales, pero, fundamentalmente, eso pertenece a la esfera privada, y es por eso, que este artículo, entre otras cosas vinculadas al patrimonio documental, considera que las comunicaciones telefónicas deben ser absolutamente privadas”

Siguiendo esa misma línea de interpretación, la ley 642/95 “De telecomunicaciones” establece en su Artículo 89: “Se establece la inviolabilidad del secreto de la correspondencia realizada por los servicios de telecomunicaciones y del patrimonio documental, salvo orden judicial. Esta disposición es aplicable tanto al personal de telecomunicaciones, como a toda persona o usuario que tenga conocimiento de la existencia o contenido de las mismas”. El Artículo 90 dispone, por su vez, que dicha inviolabilidad importa la prohibición de abrir, sustraer, interferir, cambiar texto, desviar curso, publicar, usar, tratar de conocer o facilitar que persona ajena al destinatario tenga conocimiento de la existencia o el contenido de comunicaciones confiadas a prestadores de servicios y la de dar ocasión para cometer tales actos.

Así también, la ley N° 4868. Comercio Electrónico contempla en su artículo 9o “Los Proveedores de Servicios de Intermediación consistentes en la prestación de servicios de acceso a Internet, estarán obligados, sin perjuicio de las disposiciones vigentes sobre los Servicios de Acceso a Internet y Transmisión de Datos establecidas por la Autoridad Competente, a: a) informar a sus clientes de forma permanente, fácil, directa y gratuita, sobre los diferentes medios de carácter técnico que aumenten los niveles de la seguridad de la información y permitan, entre otras cosas, la protección frente a virus informáticos y programas espía, y la restricción de los correos electrónicos no solicitados; b) informar sobre las herramientas existentes para el filtrado y restricción del acceso a determinados contenidos y servicios no deseados en Internet o que puedan resultar nocivos para la niñez y la adolescencia; Esta obligación de información se tendrá por cumplida si el correspondiente Proveedor incluye la información exigida en su página o sitio principal de Internet".

En ese mismo sentido, tenemos el DECRETO No 1.165/14 “POR EL CUAL SE APRUEBA EL REGLAMENTO DE LA LEY No 4868 DEL 26 DE FEBRERO DE 2013 “DE COMERCIO ELECTRÓNICO” el cual establece en su Art. 11.- “Deber de Informar y Protección de Datos. El proveedor de bienes y servicios por vía electrónica a distancia, debe poner a conocimiento del consumidor o usuario la finalidad y el tratamiento que se le dará a sus datos personales, conforme a la ley vigente relativa a la materia. Así mismo, debe comunicar el destinatario de los datos suministrados y el responsable de custodiar o almacenar la información proporcionada. El proveedor de bienes y servicios empleará sistemas seguros para evitar la pérdida, alteración y acceso de terceros no autorizados a los datos suministrados por el consumidor o usuario.”

Finalmente, tenemos las disposiciones del Código Procesal Penal, cuerpo normativo que en su artículo 200º establece “El juez podrá ordenar por resolución fundada, bajo pena de nulidad, la intervención de las comunicaciones del imputado, cualquiera sea el medio técnico utilizado para conocerlas. El resultado sólo podrá ser entregado al juez que lo ordenó, quien procederá según lo indicado en el artículo anterior; podrá ordenar la versión escrita de la grabación o de aquellas partes que considere útiles y ordenará la destrucción de toda la grabación o de las partes que no tengan relación con el procedimiento, previo acceso a ellas del Ministerio Público, del imputado y su defensor. La intervención de comunicaciones será excepcional”.

Este mismo cuerpo normativo dispone en el artículo 228º que “El juez y el Ministerio Público podrán requerir informes a cualquier persona o entidad pública o privada. Los informes se solicitarán verbalmente o por escrito, indicando el procedimiento en el cual se requieren, el nombre del imputado, el lugar donde debe ser entregado el informe, el plazo para su presentación y las consecuencias previstas para el incumplimiento del deber de informar.”

De buenas a primeras, estos últimos dos artículos parecieran no contradecirse. No obstante, la Sala Penal de la Corte Suprema de Justicia ha dictado el Acuerdo y Sentencia CSJ 674/2010, resolución en la que interpretó que el acceso -sin orden judicial- a información tal como titulares de línea, la fecha, hora, número de teléfono entrante y saliente, y el lugar geográfico no implica la vulneración del derecho a la inviolabilidad a la comunicación.

La citada interpretación se dió a pesar de que el sistema normativo paraguayo establece la excepcionalidad en la intervención de las comunicaciones y la protección de que personas ajenas no tengan conocimiento tanto del contenido como de la existencia de una comunicación. También, a pesar de la jurisprudencia de la Corte Interamericana, en la cual se establece que la protección de la vida privada en relación a las comunicaciones alcanza también los datos y metadatos a ella asociados, que constituyen parte integral de la comunicación, tanto como el contenido (aquellos citados en el párrafo precedente).

En estos términos se encuentra el marco jurídico legal nacional en materia de protección de datos personales. Como se verifica, la normativa es difusa y existen lagunas que con el marco legal actual no están cubiertas. No obstante, también fueron usadas como referencias en los criterios de evaluación que a continuación se explican.

Criterios de evaluación

En la presente investigación, la evaluación consta de siete criterios, cada uno con sus correspondientes parámetros que permiten analizar la medida en que la empresa cumple con el criterio en cuestión.

Los criterios sobre «política de privacidad» y «requerimiento de autorización judicial» son los únicos que contemplan legislación aplicable actualmente, para el resto de los criterios no existe un marco normativo que aborde todos los parámetros evaluados. En tal sentido, los criterios examinarán la implementación de buenas prácticas que se han ido desarrollando a nivel internacional —principalmente a partir de la iniciativa de la EFF— y que las empresas están dispuestas a incorporar a sus políticas.

Para esta evaluación se revisaron los contratos de prestación de servicios, informes de sostenibilidad y otros documentos que estaban disponibles en los sitios web de las empresas hasta el 10 de marzo de 2022. También buscamos noticias que circularon en la prensa y los medios especializados. También revisamos el informe de Quién Defiende tus datos de años anteriores para verificar actualizaciones y avances cualitativos.

La primera etapa de la evaluación se llevó a cabo una evaluación preliminar con el fin de obtener un primer puntaje para cada una de las empresas y comprender en qué parámetros de cada criterio debe mejorar cada una para alcanzar una mayor puntuación. Este proceso duró 3 meses y abarcó hasta el 5 de enero del 2022.

Luego de la evaluación preliminar TEDIC se puso en contacto con las empresas para solicitarles una reunión, con el propósito de explicar en qué consiste el estudio y presentar los resultados obtenidos, para que de esta manera las empresas pudieran brindar información precisa sobre su trabajo por el resguardo de la privacidad de las personas usuarias, así como también complementar la información que se encuentra disponible públicamente o incluso aclarar cualquier ambigüedad que pudiera surgir a partir de la misma.

Todas las empresas fueron contactadas vía email. Este primer paso es fundamental para conocer la perspectiva de la empresa y dar la oportunidad para esclarecer cualquier tipo de dudas respecto a sus políticas de privacidad.

A continuación se desarrollan cada uno de los criterios:

1. Políticas de privacidad y protección de datos personales

La ISP cuenta con una política de privacidad y de protección de datos personales, utilizando un lenguaje claro y libre de tecnicismos. Informa a las personas sobre la recolección, uso, almacenamiento, procesamiento de sus datos personales. En particular, este instrumento debe ser visto como una oportunidad para informar de manera clara a las personas usuarias respecto de sus derechos y no debería ser visto como un mero formalismo legal. La ISP también cuenta con políticas de privacidad frente a las autoridades gubernamentales. La misma describe cual es el procedimiento legal para entregar a la justicia los datos de sus usuarios y usuarias en el caso que haya una investigación criminal bajo solicitud del juez competente.

Al respecto, tanto la Constitución de la República en su artículo 33 —Sobre la intimidad de las personas— como los Tratados Internacionales protegen el derecho a la intimidad como uno de los pilares de las democracias modernas. Asimismo organismos internacionales de protección de Derechos Humanos han señalado que las empresas deben establecer e implementar condiciones de servicio que sean transparentes, claras, accesibles, así como apegarse a las normas y principios internacionales de Derechos Humanos; incluyendo las condiciones en las que pueden generarse interferencias con el derecho a la privacidad de las personas usuarias.29. Es indispensable que la ISP cuente con políticas que cumplan estos protocolos a la hora de entregar información personal y datos personales a las autoridades.

Por otra parte, los metadatos forman parte de la comunicación y tienen el carácter de inviolabilidad tal como se desprende del artículo 36 de la Constitución Nacional:

“No podrán ser examinados, reproducidos, interceptados o secuestrados sino por orden judicial para casos específicamente previstos en la ley...”.

Las empresas deben almacenar los metadatos de las personas usuarias por un mínimo de 6 meses según el artículo 10 de la ley de Comercio Electrónico 4868/2013. En este escenario, es imprescindible que las ISPs describan y den a conocer qué información personal está siendo retenida, así como las medidas para salvaguardar dichos datos ante posibles ataques o riesgos que puedan afectar dicha información.

El art. 10 de la ley 4858/2013 dice:

“Los Proveedores de Servicios de Intermediación y los Proveedores de Servicios de Alojamiento de Datos deberán almacenar los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio, por un período mínimo de 6 (seis) meses, en los términos establecidos en este artículo. Para el cumplimiento de lo dispuesto en este artículo, los datos serán almacenados únicamente a los efectos de facilitar la localización del equipo terminal empleado por la persona usuaria para la transmisión de la información.

Los Proveedores de Servicios de Alojamiento de Datos deberán almacenar sólo aquéllos datos imprescindibles para identificar el origen de los datos alojados y el momento en que se inició la prestación del servicio.

No podrán utilizar los datos almacenados para fines distintos a los que estén permitidos por la ley, y deberán adoptar medidas de seguridad apropiadas para evitar su pérdida o alteración y el acceso no autorizado a los mismos”.

En un caso contencioso en el que se condenó al Brasil por el uso ilegal de escuchas telefónicas en un proceso penal, la Corte Interamericana señaló que el derecho a la privacidad protege tanto al contenido de la comunicación electrónica como a otros datos propios del proceso técnico de la comunicación, como ser los metadatos o datos de tráfico. Esta jurisprudencia vinculante a la jurisdicción nacional paraguaya, sitúa a estos datos en una instancia de protección constitucional y de derechos humanos.

Por otro lado, la ley 4868/2013 de Comercio Electrónico y su decreto reglamentario 1165/14 obliga compulsivamente a informar y proteger los datos de las personas usuarias:

Art. 9 de la ley 4868/2013: “Obligación de los Proveedores de Servicios de Intermediación. Los Proveedores de Servicios de Intermediación consistentes en la prestación de servicios de acceso a Internet, estarán obligados, sin perjuicio de las disposiciones vigentes sobre los Servicios de Acceso a Internet y Transmisión de Datos establecidas por la Autoridad Competente, a: a) informar a sus clientes de forma permanente, fácil, directa y gratuita, sobre los diferentes medios de carácter técnico que aumenten los niveles de la seguridad de la información y permitan, entre otras cosas, la protección frente a virus informáticos y programas espía, y la restricción de los correos electrónicos no solicitados; b) informar sobre las herramientas existentes para el filtrado y restricción del acceso a determinados contenidos y servicios no deseados en Internet o que puedan resultar nocivos para la niñez y la adolescencia; Esta obligación de información se tendrá por cumplida si el correspondiente Proveedor incluye la información exigida en su página o sitio principal de Internet. a) suspender el acceso a un contenido o servicio cuando un órgano competente, en ejercicio de las competencias que legalmente tenga atribuidas, requiera que se interrumpa la prestación de un servicio o que se retire algún contenido que vulnere lo dispuesto en el Artículo 6°”.

Art. 11 del reglamento 1165/14: “Deber de Informar y Protección de Datos. El proveedor de bienes y servicios por vía electrónica a distancia, debe poner a conocimiento del consumidor o personas usuarias la finalidad y el tratamiento que se le daría sus datos personales, conforme a la ley vigente relativa a la materia. Así mismo, debe comunicar el destinatario de los datos suministrados y el responsable de custodiar o almacenar la información proporcionada. El proveedor de bienes y servicios empleará sistemas seguros para evitar la pérdida, alteración y acceso de terceros no autorizados a los datos suministrados por el consumidor o la persona usuaria.”

La Institución garante y responsable del cumplimiento de la ley de Comercio Electrónico es el Ministerio de Industria y Comercio, que tiene como atribución la coordinación de inspecciones y controles a los distintos proveedores de Internet. Inclusive debe aplicar sanciones por las faltas no previstas específicamente en la ley de defensa del consumidor y establecidas en la ley de Comercio Electrónico.

Por último, destacamos que además de la exposición de dicha información en sus contratos u otros documentos, también se pretende valorar la publicación de protocolos específicos destinados a la entrega de datos a los agentes del Estado, que se ocupan de determinar cuáles son las formas y condiciones de acceso a los datos personales en el ámbito de las investigaciones o actuaciones equivalentes. La existencia de protocolos claros y públicos, como hacen varias empresas tecnológicas, es una medida importante del compromiso público de la empresa con la privacidad y la protección de los datos de sus usuarios y usuarias. Nos enfocaremos específicamente en ello en el criterio 6 de esta investigación.

En este criterio, por tanto, al tratarse de una cuestión de controversia jurídica, la cuestión se desarrolla en diferentes puntos, que buscan discriminar diferentes niveles de protección, claridad y compromiso en cuanto al acceso a los datos para las investigaciones. Los criterios tratan de reflejar el compromiso de transparencia de la empresa con respecto a las autoridades consideradas competentes, las disputas normativas actuales y las limitaciones establecidas en la legislación (en particular en lo que respecta a cuya investigación estaría exenta de la necesidad de una orden judicial de acceso a los datos del registro) acceso a los datos del registro, además del compromiso expresado en sus directivas sobre datos de localización, conexión registros de conexión y la publicación de protocolos para la entrega de datos en las investigaciones judiciales.

2. Autorización judicial

La vigilancia sin consentimiento del afectado conlleva riesgos de abusos por las autoridades, por ello resulta imprescindible la autorización de un juez competente. Para solicitar información personal debe haber una autorización del juez competente tal como lo expresan las normas penales y la Constitución Nacional del Paraguay. La interceptación de la comunicación privada de las personas tiene carácter excepcional con pena de nulidad en el juicio. Este criterio implica verificar si la ISP cuenta con políticas que cumplan los protocolos para entregar la información a la autoridad judicial. Es decir, detalles del expediente penal, número de causa, datos de la persona, el tipo base penal que incurre el investigado, argumentación legal y firma del juez de la causa.

El poder judicial, tanto en los litigios individuales como en los colectivos, es un espacio importante para la defensa y consolidación de los derechos de las personas usuarias frente a los abusos e ilegalidades. Teniendo esto en cuenta, hemos tratado de evaluar la posición de las empresas en los juicios sobre privacidad y protección de datos.

La Constitucional Nacional en el artículo 36 sobre la inviolabilidad de las comunicaciones obliga a las autoridades del Estado a solicitar información a las ISP sólo a través de una orden judicial debidamente justificada.

El debido proceso para una interceptación de información

3. Notificación a la persona usuaria

La ISP deberá contar con una política de notificación a las personas usuarias afectadas por medidas de vigilancia estatal, en el primer momento permitido por la ley. Deberá demostrar que han litigado los impedimentos legales o regulatorios para llevar a cabo la notificación y publicar de forma accesible que ha promovido mecanismos de notificación a la persona usuaria al congreso o a otros entes regulatorios.

Cuando se notifica a las personas usuarias que sus datos personales o registros de conexión a Internet han sido solicitados por las autoridades administrativas o judiciales se proporcionan condiciones de amplia defensa contra los abusos e irregularidades.

El impacto de las notificaciones en la garantía de una defensa efectiva y amplia en un Estado de Derecho no es nuevo. A la luz del principio constitucional del debido proceso, muchas leyes establecen el deber de notificar a los afectados las medidas que afectan a sus derechos. Por su parte el Código Procesal Penal en su artículo 151 y Resolución de la Corte Suprema de Justicia de Paraguay disponen la obligación de notificar a la persona, cuando el Ministerio Público le ha imputado por un supuesto hecho punible.

En el contexto de las solicitudes de datos, las proveedoras de servicios de Internet adquieren un papel fundamental en la protección de garantías procesales para las personas usuarias afectadas. Esto se debe a que la notificación a las personas usuarias por parte de las empresas, permita a la persona usuaria, en la primera oportunidad, impugnar las solicitudes ilegales - tanto en forma de órdenes judiciales infundadas, así como las solicitudes de las autoridades administrativas que carecen de competencia y fundamento suficientes.

Sin notificación, la persona usuaria depende de que las propias empresas impugnen contra las solicitudes que consideran abusivas. Si son notificados por las empresas, las personas usuarias tienen la posibilidad de defenderse de posibles violaciones de su intimidad.

Esta práctica es una obligación legal en varias jurisdicciones. En Estados Unidos, por ejemplo, 8 USC § 2705(B) establece el requisito de notificación previa al cliente cuando los datos se solicitan por una citación administrativa autorizada por un gran jurado federal o estatal o una orden judicial. La orden judicial, sin embargo el tribunal puede exigir que la notificación se retrase hasta 90 días si hay razones para creer que el servicio puede interferir con la investigación.

Este derecho de notificación a las personas afectadas por medidas de vigilancia ha sido reconocido por especialistas en Derechos Humanos en Internet y fue plasmado en un documento llamado “Necesario y proporcionados” y dice lo siguiente:

“Es imposible que una persona impugne efectivamente la interferencia de un gobierno en su vida privada si no sabe si ha sido víctima. En líneas generales, la falta de transparencia 17 respecto a la aplicación de las leyes que rigen la vigilancia encubierta puede impedir el control democrático significativo de esas leyes”.

Por otro lado, la Relatoría Especial Sobre Derechos Humanos de la Organización de las Naciones Unidas expresó su opinión al respecto:

“Los individuos deben contar con el derecho a ser notificados que han sido sujetos de medidas de vigilancia de sus comunicaciones o que sus comunicaciones han sido accedidas por el Estado. Reconociendo que la notificación previa o concurrente puede poner en riesgo la efectividad de la vigilancia, los individuos deben ser notificados, en cualquier caso, una vez que la vigilancia ha sido completada y se cuenta con la posibilidad de buscar la reparación que proceda respecto del uso de medidas de vigilancia de las comunicaciones”.

Es decir, la notificación podría no llevarse a cabo de inmediato en tanto se podría frustrar el éxito de una investigación, pero debería al menos efectuarse cuando no esté en riesgo una investigación, no exista riesgo de fuga, de destrucción de evidencia o el conocimiento no genere un riesgo inminente de peligro a la vida o integridad de alguna persona. Actualmente existe un vacío legal sobre este punto en el Código Procesal Penal respecto a la protección de los Derechos Humanos en el marco del derecho a la intimidad y un juicio justo. Esto no invalida a la ISP del deber de actuar de buena fe para salvaguardar la intimidad de sus usuarios y usuarias, notificándoles sin poner en peligro el objetivo de la investigación penal.

En casos adversos a la implementación de la política de notificación de la empresa, la ISP deberá combatir judicialmente los impedimentos legales para notificar a las personas usuarias afectadas, al menos, luego de que haya transcurrido un tiempo razonable para que no se frustre el objeto de la medida de vigilancia. Otra medida, sería llevar a cabo acciones de incidencia legislativa o regulatoria para la implementación de mecanismos legales de notificación.

En el contexto de las solicitudes de datos personales, las proveedoras de Internet adquieren un papel esencial en la protección de las garantías procesales de las personas usuarias afectadas. Es decir, la notificación por la empresa permite a la persona usuaria desafiar las solicitudes ilegales: tanto órdenes judiciales sin fundamento, como solicitudes de las autoridades administrativas sin competencia ni justificación. En la situación actual, la persona usuaria depende de los retos realizados por las propias empresas contra las peticiones que consideran abusivas. Si la persona usuaria es notificada, obtiene a la mayor brevedad, la capacidad de defenderse de posibles violaciones de su privacidad.

Con esto en mente, creemos que es importante fomentar la práctica de la notificación a la persona usuaria a través del proyecto “¿Quién defiende tus datos?” (WHYB). En los casos en que las solicitudes de datos no van acompañadas de la obligación de confidencialidad, la notificación es permitida por la ley paraguaya (dada la ausencia de prescripción legal en contrario). La posibilidad de notificación de la persona usuaria puede ser necesaria, no sólo en los casos de solicitudes de datos en procesos civiles, sino también en relación con las solicitudes hechas por otras agencias gubernamentales, tales como el Hacienda o CONATEL. Se fortalece la posibilidad de desafío legal a la presentación de pruebas irrelevantes a los hechos del caso.

En esta edición, volvemos a poner a esta categoría como una “prima”, porque la notificación no es ni una obligación legal impuesta a las empresas ni una práctica generalizada en Paraguay. Es una medida vista como innovadora y en cierta medida costosa (debido a que requiere personal dedicado a las notificaciones). Por estas razones, su adopción revelaría un compromiso especial con el avance de la protección de los derechos de las personas usuarias, especialmente digno de ser observado. La notificación a la persona usuaria, a la primera oportunidad legalmente posible, y preferiblemente antes de la divulgación de los datos, colabora con los principios de defensa legal, y fomenta una cultura de protección de la privacidad.

4. Políticas de promoción y defensa de los derechos humanos

Es determinante para el respeto y protección de los derechos humanos de las personas usuarias y para generar confianza en torno al ecosistema de Internet el compromiso público y posicionamientos sobre políticas públicas, legislaciones nacionales que afecten la tecnología con perspectiva de Derechos Humanos.

En este parámetro se analiza si la ISP tiene un posicionamiento institucional público en el que haya reconocido sus responsabilidades de respeto y protección de derechos humanos, incluyendo el derecho a la privacidad. Para este efecto, se analiza si existe algún posicionamiento que cumpla con las características señaladas por el Principio 16 de los Principios Rectores sobre las Empresas y los Derechos Humanos aprobados por el Consejo de Derechos Humanos de la Organización de las Naciones Unidas33 a través de la resolución 17/4, del 16 de junio de 2011 a saber:

“Compromiso Político 16. Para asumir su responsabilidad de respetar los derechos humanos, las empresas deben expresar su compromiso con esta responsabilidad mediante una declaración política que:

  • a. Sea aprobada al más alto nivel directivo de la empresa;
  • b. Se base en un asesoramiento especializado interno y/o externo;
  • c. Establezca lo que la empresa espera, en relación con los derechos humanos, de su personal, sus socios y otras partes directamente vinculadas con sus operaciones, productos o servicios;
  • d. Se haga pública y se difunda interna y externamente a todo el personal, los socios y otras partes interesadas;
  • e. Quede reflejada en las políticas y losprocedimientos operacionales necesarios para inculcar el compromiso asumido a nivel de toda la empresa.”

El posicionamiento político debe ser público y reflejar claramente el compromiso de la empresa de respetar los derechos humanos en el marco de sus actividades empresariales.

En este criterio se evalúa si la ISP ha participado, de manera individual o colectiva, en procesos públicos de incidencia legislativa o ante otros entes regulatorios en defensa del derecho a la privacidad, así como se ha defendido la privacidad de sus usuarios por la vía judicial.

También se evalúa, si participa en algún mecanismo sectorial o multi-sectorial para la promoción, respeto y protección de derechos humanos en el ámbito de sus responsabilidades empresariales (Ejemplos: Global Network Initiative o Telecommunications Industry Dialogue).

Por otro lado, es esencial que la ISP cuente con políticas de participación en las discusiones locales e Internacionales sobre el ecosistema de Internet; los Foros de Gobernanza de Internet (IGF)4 son espacios de debate público propiciados por Naciones Unidas, donde se discutan de forma abierta los principios compartidos, normas, reglas, procesos de toma de decisión y programas, que modelan la evolución y el uso de Internet.

5. Transparencia

El Principio 21 de los Principios Rectores sobre las Empresas y los Derechos Humanos de Naciones Unidas, exige buenas prácticas a las empresas sobre transparencia desde la perspectiva de los Derechos Humanos.

Los informes de transparencia del sector TIC en relación al impacto de la privacidad de las personas usuarias han sido más frecuentes en los últimos años. La publicación de un informe de transparencia sobre las solicitudes de acceso a datos por parte de autoridades de seguridad y justicia debe proveer suficiente información para evaluar el contenido y el alcance de las medidas de vigilancia por parte de las autoridades.

Los informes de transparencia son declaraciones emitidas por empresas que contienen una variedad de estadísticas relacionadas con las solicitudes de datos. Las empresas de Internet de todo el mundo han adoptado la práctica de publicar informes de transparencia activa para informar cómo y cuándo cooperan con el gobierno, en general, porque lo exige la ley, mediante la divulgación de información que puede ser utilizada como prueba en los casos civiles y penales. Esta ya es una buena práctica establecida entre empresas de contenidos como Google, Facebook, Twitter y Microsoft y los proveedores como Vodafone, Verizon y Telefónica.

Este criterio evalúa la publicación de estadísticas respecto a cuántas solicitudes de información han sido recibidas y cumplidas, así como la inclusión de detalles sobre el tipo de solicitudes, instituciones solicitantes y la motivación y fundamentación de las autoridades.

6. Guías para requerimiento de información personal

La ISP cuenta con lineamientos, guías o protocolos orientados a las fuerzas de seguridad y otros organismos gubernamentales que expliquen cómo deben solicitar la información personal de los clientes, cuáles son las condiciones para la entrega de dicha información personal.

Este parámetro se diferencia de la publicación de informes de transparencia ya que los informes de transparencia apelan a datos estadísticos de solicitudes recibidas y cumplidas mientras que en los lineamientos analizados buscan determinar cómo cada empresa establece la forma en la que las fuerzas policiales o de investigación deben solicitarle información y, en su caso, qué especificaciones deben cumplir a dicho efecto.

Además, se analiza si la empresa, al momento de establecer sus propias reglas para las autoridades locales, tiene en cuenta el contexto nacional o si los lineamientos preestablecidos responden a procedimientos foráneos, y en tal caso corroborar si los mismos son más rigurosos a favor de la privacidad de sus usuarios y usuarias.

Algunos buenos ejemplos son la de Telefónica, Entel, VTR y Comcast, que cuentan con una lista de requerimientos y procedimientos internos globales ante solicitudes de las autoridades locales.

7. Accesibilidad

La accesibilidad de la información encontrada en la web —no importa la discapacidad o diversidad funcional de las personas usuarias— es fundamental para la ampliación del compromiso con la transparencia y el respeto de los derechos humanos. La convención de los derechos de personas con discapacidad42, a través de su artículo 9, reconoce al acceso a las tecnologías de la información y comunicación, incluyendo a la web, como un derecho humano básico.

La accesibilidad de la Web consiste en disponibilizar el contenido a través de un diseño e infraestructura que funcione para todas las personas usuarias, sin importar el hardware, software, idioma, ubicación, habilidad cognitiva o sensorial. Esto remueve las barreras a la comunicación e interacción que muchas personas enfrentan de manera cotidiana, y contribuye a que los espacios digitales también sean más inclusivos para el uso de un rango diverso de las personas usuarias.

Que las proveedoras de Internet en Paraguay cuenten con datos que sean accesibles es parte de ampliar el compromiso con la transparencia y respetar los derechos humanos. El diseño de sitios y herramientas web que sean accesibles es crucial para empresas proveedoras de Internet, ya que habilita a que más personas puedan usar e informarse sobre sus productos y servicios de manera hábil y satisfactoria.

Desde un enfoque constructivo, esperamos que esta evaluación sirva como guía para sensibilizar, concientizar y generar mejoras en la accesibilidad web. Las empresas también deben promover la participación de las personas con discapacidad en la oferta de servicios TIC, asegurando su derecho a la plena participación ciudadana y social.

Para este criterio, se evalúan los sitios web oficiales de las proveedoras de Internet utilizando la guía de principios de Accesibilidad43 de la Web Accessibility Initiative (WAI), parte del W3C (World Wide Web Consortium).

Reporte por cada ISP

Criterio 1: Política de privacidad y protección de datos personales

Lo que precisamos saber es: ¿La ISP proporciona información clara y completa sobre la recopilación, uso, almacenamiento, procesamiento y protección de datos personales de la persona usuaria?

En esta categoría, se evalúan las políticas y avisos de protección de datos y privacidad de la ISP que se encuentren disponibles públicamente. Así también, se evalúa el tratamiento de los datos personales que la ISP obtiene al prestar a la persona usuaria el servicio de telecomunicaciones, sin que por ello se limite a los datos que la persona otorga voluntariamente al contratar el servicio.

¿Se establece de manera precisa qué información de la persona usuaria y de sus comunicaciones son obtenidas, almacenadas, así como la temporalidad con la que dichos datos son almacenados?

Criterios de evaluación

  • I.La ISP proporciona información y referencias legales claras sobre la recopilación de datos personales, incluyendo los datos personales que se recogen y en qué situaciones se produce la recogida;
  • II. La ISP proporciona información y referencias legales claras sobre el uso y/o procesamiento de datos personales, incluyendo los fines para los que se utilizan y cómo se produce este;
  • III. La ISP proporciona información y referencias legales claras en el almacenamiento de datos personales, incluyendo cuánto tiempo se almacenan los datos así como donde se almacenan y cuando se eliminan, si es que se eliminan;
  • IV. La ISP proporciona información y referencias legales claras sobre protección de datos personales, incluyendo las prácticas de seguridad que se observan en los procedimientos de retención de datos, si existe política de anonimización de datos y quiénes tendrían acceso a las bases de datos;
  • V. La ISP proporciona información y referencias legales claras en el uso de los datos personales por parte de terceros, incluyendo información sobre las circunstancias en que pasaría, y/o la necesidad de autorización del cliente para hacerlo;
  • VI. Es fácil acceder a esta información en el sitio web de la ISP.
Estándar de desempeño
Una estrella La ISP cumple 5 a 6 criterios
Media estrella La ISP cumple 3 a 4 criterios
Un cuarto de estrella La ISP cumple 1 a 2 criterios
Estrella vacía La ISP no cumple ninguno de los criterios

Reporte - Política de privacidad y datos personales

Claro - AMX Paraguay S.A.
Política de privacidad y datos personales
No
La ISP tiene una política de privacidad
La política de privacidad establece de manera precisa qué información de la persona usuaria y sus comunicaciones es obtenida y almacenada
La política de privacidad establece la temporalidad con la que los datos de la persona usuaria son almacenados
La política de privacidad establece las causas y procedimientos a través de los cuales los datos de las personas usuarias son transmitidos a terceros y a autoridades
La ISP proporciona información y referencias legales claras en el uso de los datos personales por parte de terceros, incluyendo información sobre las circunstancias y/o la necesidad de autorización del cliente para hacerlo
La política de privacidad utiliza un lenguaje sencillo, sin tecnicismos y comprensible para la persona usuaria. La política está disponible en la web de la empresa.

Claro cuenta con política de privacidad accesible desde la página web institucional.

La última modificación del citado texto data del 24 de junio de 2019. La política establece cuáles serán los datos recabados y almacenados, sin embargo, no especifica la temporalidad de dicho almacenamiento.

La ISP menciona específicamente que compartirá los datos almacenados con terceros por tres razones específicas, con el consentimiento de la persona usuaria, para el procesamiento externo de datos y por motivos legales.

Así también, instituye finalidades secundarias para el uso de datos. Dichas finalidades se cumplirán bajo tres razones; el marketing de la firma para con sus usuarios y usuarias, para estudios sobre el consumo y para actividades tendientes a mejorar los servicios ofrecidos.

En ese orden, la ISP dispone que compartirá la información con empresas fuera de Claro si es que la divulgación es necesaria para cumplir con leyes, garantizar el cumplimiento de sus obligaciones, entre otros.

Bajo esa tesitura, la ISP establece su obligación sobre notificar a la persona usuaria antes de que la información personal se transfiera. Sin embargo, esta notificación solo se daría en el marco de fusiones, adquisiciones o venta de activos de Claro.

Finalmente, la presente política de privacidad se rige por la legislación paraguaya, específicamente, la aplicable en la República del Paraguay sobre protección de datos personales.

Conforme al estándar de desempeño establecido, Claro cumple con 5 de los 6 criterios por lo que califica con una estrella.

Una estrella
Copaco - La Compañía Paraguaya de Comunicaciones S.A.
Política de privacidad y datos personales
No
La ISP tiene una política de privacidad
La política de privacidad establece de manera precisa qué información de la persona usuaria y sus comunicaciones es obtenida y almacenada
La política de privacidad establece la temporalidad con la que los datos de la persona usuaria son almacenados
La política de privacidad establece las causas y procedimientos a través de los cuales los datos de las personas usuarias son transmitidos a terceros y a autoridades
La ISP proporciona información y referencias legales claras en el uso de los datos personales por parte de terceros, incluyendo información sobre las circunstancias y/o la necesidad de autorización del cliente para hacerlo
La política de privacidad utiliza un lenguaje sencillo, sin tecnicismos y comprensible para la persona usuaria. La política está disponible en la web de la empresa.

Copaco es una empresa que brinda servicios de Internet y telefonía, sin embargo, la política de privacidad disponible en su web hace referencia solamente al uso de sus aplicaciones oficiales y no sobre la totalidad de los servicios que realmente ofrece a los usuarios.

De todas formas esta política, o las “condiciones de uso”, como las titula Copaco en su web, fue tomada en cuenta y por tanto analizada en esta investigación. No obstante ello, en la puntuación se tendrá en cuenta el limitado alcance que tiene esta política de privacidad.

Las condiciones de uso menciona escuetamente cuales serán los datos recabados y no hace mención a la temporalidad del almacenamiento.

Con respecto a la transmisión de datos, si bien Copaco veda la cesión de datos a terceros, conforme a la cláusula que afirma: “Esta compañía no venderá, cederá ni distribuirá la información personal que es recopilada sin su consentimiento, salvo que sea requerido por un juez con un orden judicial” debemos tener en cuenta que los datos a ser obtenidos por sus aplicaciones es limitada, y no se encuadra a toda la información que podría llegar a recabar la ISP mediante los otros servicios ofrecidos como los de telefonía (línea fija, línea alta, línea IP, línea Móvil), Internet (Fiber Hogar, Fiber Country, Internet ADSL, 4G LTE) y televisión.

Esto es así en consecuencia a lo establecido al inicio de la política de privacidad, que dispone: “La presente Política de Privacidad establece los términos en que Copaco S.A. usa y protege la información que es proporcionada por sus usuarios, usuarias y/o clientes al momento de utilizar sus APPs oficiales”.

En estos términos, si bien la transmisión de datos podría entenderse prohibida a toda la compañía con la enunciación: “Esta compañía no venderá (...)” debemos tener en cuenta que el ámbito de aplicación está limitado al uso de las aplicaciones oficiales, tal como se especifica al inicio de la citada política de privacidad.

Así las cosas, a pesar de que las condiciones de uso enunciadas por esta ISP están limitadas a la utilización de las APPs, decidimos puntuar positivamente el primer y el último criterio, en el entendimiento de que es un pequeño avance en el tratamiento de datos de sus usuarios.

Conforme al estándar de desempeño establecido, Copaco cumple con 2 de los 6 criterios por lo que califica con un cuarto de estrella.

Un cuarto de estrella
Personal - Núcleo S.A.
Política de privacidad y datos personales
No
La ISP tiene una política de privacidad
La política de privacidad establece de manera precisa qué información de la persona usuaria y sus comunicaciones es obtenida y almacenada
La política de privacidad establece la temporalidad con la que los datos de la persona usuaria son almacenados
La política de privacidad establece las causas y procedimientos a través de los cuales los datos de las personas usuarias son transmitidos a terceros y a autoridades
La ISP proporciona información y referencias legales claras en el uso de los datos personales por parte de terceros, incluyendo información sobre las circunstancias y/o la necesidad de autorización del cliente para hacerlo
La política de privacidad utiliza un lenguaje sencillo, sin tecnicismos y comprensible para la persona usuaria. La política está disponible en la web de la empresa.

Personal cuenta con política de privacidad pero no está disponible en su página web institucional. La política se encuentra solo utilizando un motor de búsqueda en Internet.

En cuanto a los datos recolectados, la ISP no menciona específicamente cuál es la información recabada de la persona usuaria, solamente establece que se recopilarán datos de los clientes. A estos efectos, nombra a los datos como “información personal” sin detallar específicamente en qué consiste.

La forma en la que la “información personal” es obtenida tampoco está aclarada en la referida política de privacidad. En ese mismo sentido, la ISP tampoco hace mención a la temporalidad durante la cual almacenarán los datos.

Personal establece que no otorga información a terceros sin autorización expresa del cliente o sin requerimiento de ley y/o autoridad competente. Por lo tanto los datos no son o no deberían ser compartidos con terceros. No obstante dicho apartado se contradice con el párrafo inmediatamente anterior, que afirma: “La información personal de los clientes es utilizada por el Club Personal con el objeto (...)”.-

Del análisis de dicha oración se sustrae que el Club Personal sí tendrá acceso a los datos proveí- dos. Sin embargo, a los efectos jurídicos, Club Personal no es Personal. Esto encuentra sustento en el enunciado inicial de la presente política de privacidad, en la cual se establece: “NUCLEO S.A. (en adelante “Personal”) ha adoptado la presente política de privacidad (en adelante la “Política de Privacidad”) (...)”

Siguiendo ese orden, tenemos que, si bien Núcleo S.A. es Personal, Club Personal no lo es, ya que esto debería estar expresamente aclarado. Es decir, la política debería aclarar cuál es la existencia del Club Personal y si forma parte de Núcleo S.A. como nombre de fantasía para algún proyecto dentro de la firma. Sin dicha aclaración, el consumidor podría entender que se trata de una entidad distinta a la establecida al principio de la política de privacidad. La nula diferenciación podría deberse a una confusión en el momento de redactar la política, sin embargo, tal como está redactada, los datos sí son proveídos a terceros –aparte de las autoridades competentes.

Bajo estos argumentos, la ISP no logra el punto obtenido en el cuarto criterio. Ahora bien, con respecto al requisito enunciado en el quinto apartado, tenemos que la ISP tampoco proporciona referencias legales acerca de cómo usa la “información personal”, ya que se limita a establecer que aplicará la ley sin mencionar el país al cual se refiere.

Es importante recalcar que las políticas de privacidad deben estar aclaradas al máximo posible, ya que son el marco legal de protección de datos de la persona usuaria y serán aplicados a todos los servicios ofrecidos por la ISP.

Por último, la política de privacidad no está accesible en la página web, por lo que la empresa tampoco cumple con el criterio número 6.

Conforme al estándar de desempeño establecido, Personal cumple con 1 de los 6 criterios por lo que califica con un cuarto de estrella.

Un cuarto de estrella
Tigo - Telefónica Celular del Paraguay S.A. (Telecel S.A.)
Política de privacidad y datos personales
No
La ISP tiene una política de privacidad
La política de privacidad establece de manera precisa qué información de la persona usuaria y sus comunicaciones es obtenida y almacenada
La política de privacidad establece la temporalidad con la que los datos de la persona usuaria son almacenados
La política de privacidad establece las causas y procedimientos a través de los cuales los datos de las personas usuarias son transmitidos a terceros y a autoridades
La ISP proporciona información y referencias legales claras en el uso de los datos personales por parte de terceros, incluyendo información sobre las circunstancias y/o la necesidad de autorización del cliente para hacerlo
La política de privacidad utiliza un lenguaje sencillo, sin tecnicismos y comprensible para la persona usuaria. La política está disponible en la web de la empresa.

La política de privacidad es accesible desde la portada de la web de Tigo, en el pie de página y a un solo clic. La última modificación del texto data del 08 de septiembre de 2020.

Esta política establece específicamente la información recabada sobre los datos personales de las personas usuarias. Así también, menciona la forma en la que esta información es conseguida. Por ejemplo, a través de los diferentes canales de contacto disponibles y a través de las “cookies”.

De los 6 criterios evaluados, la temporalidad es el aspecto en el que falla. Si bien la nombra, no la establece específicamente ya que en el punto correspondiente afirma: “Tigo guarda sus datos personales únicamente por el período de tiempo que sea necesario para cumplir con la finalidad por la cual se recopilaron, y conforme a lo requerido por la regulación local vigente”.

Con respecto al criterio 5, la ISP no menciona la necesidad de autorización del cliente para compartir datos con terceros, sin embargo contempla la posibilidad de revocar dicha autori- zación. Las referencias legales si bien son mencionadas, se hace de forma genérica, ya que la política establece que las leyes paraguayas son aplicables al uso e interpretación de la misma.

Conforme al estándar de desempeño establecido, Tigo cumple con 5 de los 6 criterios por lo que califica con una estrella.

Una estrella
VOX - Hola Paraguay S.A.
Política de privacidad y datos personales
No
La ISP tiene una política de privacidad
La política de privacidad establece de manera precisa qué información de la persona usuaria y sus comunicaciones es obtenida y almacenada
La política de privacidad establece la temporalidad con la que los datos de la persona usuaria son almacenados
La política de privacidad establece las causas y procedimientos a través de los cuales los datos de las personas usuarias son transmitidos a terceros y a autoridades
La ISP proporciona información y referencias legales claras en el uso de los datos personales por parte de terceros, incluyendo información sobre las circunstancias y/o la necesidad de autorización del cliente para hacerlo
La política de privacidad utiliza un lenguaje sencillo, sin tecnicismos y comprensible para la persona usuaria. La política está disponible en la web de la empresa.

La ISP no cuenta con Política de privacidad, ni en su página web, ni pudo ser ubicada utilizando buscadores en Internet. Por lo tanto, no es posible calificar a la ISP en los demás criterios.

Conforme al estándar de desempeño establecido, Vox no cumple con ningún criterio, por lo que califica cero estrella.

Estrella vacía

Criterio 2: Autorización judicial

Precisamos saber: ¿la ISP se compromete a divulgar información del cliente, metadatos y contenidos de las comunicaciones únicamente en presencia de una orden judicial?

En esta categoría se evalúa si la ISP exige a las autoridades, la presentación de autorización judicial de manera previa a la entrega de datos sobre el contenido de las comunicaciones o sus metadatos. Si la empresa en su contrato o cualquier documento oficial a disposición del público deja claro a las personas usuarias las circunstancias en que las autoridades judiciales o administrativas pueden tener acceso a sus datos.

Criterios de evaluación

  • I. La ISP se compromete a entregar datos sobre el contenido de las comunicaciones de una persona usuaria a las autoridades de justicia, siempre que medie la existencia de una orden judicial previa;
  • II. Si diferencia la entrega de los datos con respecto a los metadatos y se compromete a hacerlo siempre que medie la existencia de una orden judicial previa.
Estándar de desempeño
Una estrella La ISP cumple todos los criterios
Media estrella La ISP cumple con uno de los criterios
Estrella vacía La ISP no cumple ninguno de los criterios

Reporte - Autorización judicial

Claro - AMX Paraguay S.A.
Autorización Judicial
No
La ISP se compromete a entregar datos sobre el contenido de las comunicaciones de una persona usuaria a las autoridades de justicia siempre que medie la existencia de una orden judicial previa.
Si diferencia la entrega de los datos con respecto a los metadatos y se compromete a hacerlo siempre que medie la existencia de una orden judicial previa.

Si bien la ISP menciona que la entrega de datos personales se realizará por motivos legales, no especifica si lo hará solo bajo orden judicial o no. A este respecto, la política de privacidad establece: “c) Por motivos legales. Compartiremos información personal con empresas, organizaciones e individuos fuera de Claro si creemos de buena fe que el acceso, el uso, la conservación o la divulgación de la información es razonablemente necesaria para: Cumplir con las leyes, las reglamentaciones, los procesos legales o las exigencias gubernamentales aplicables”.

Sin embargo, se destaca del informe de sustentabilidad del 2020, de América Móvil que en América del Sur han quedado sin ser respondidas poco más de 9.000 órdenes de autoridad recibidas, por no cumplir con criterios como fundación y motivación, provenir de autoridad competente, entre otros.

Del citado informe también se extrae un enlace que direcciona al Informe de transparencia en comunicaciones, en el cual informa la específica legislación que América Móvil se basa en la entrega de estos datos.

No obstante, tal como lo mencionamos al inicio, Claro declara que no es excluyente la orden judicial para la entrega de datos ante requerimientos estatales. En el citado informe de transparencia distribuye la legislación aplicable por país y en lo concerniente a Paraguay, manifiesta que, las autoridades competentes para la entrega de datos, localización geográfica y en la intervención de comunicaciones son los jueces y el Ministerio Público indistintamente, siendo este ultimo organo incompetente para dictar ordenes judiciales, por lo que la ISP queda sin puntuar en ambos criterios.

Conforme al estándar de desempeño establecido, Claro no cumple con ninguno de los criterios establecidos, por lo que no lleva estrella.

Estrella vacía
Copaco - La Compañía Paraguaya de Comunicaciones S.A.
Autorización Judicial
No
La ISP se compromete a entregar datos sobre el contenido de las comunicaciones de una persona usuaria a las autoridades de justicia siempre que medie la existencia de una orden judicial previa.
Si diferencia la entrega de los datos con respecto a los metadatos y se compromete a hacerlo siempre que medie la existencia de una orden judicial previa.

Es la única ISP que en su política de privacidad específicamente instituye: “Esta compañía no venderá, cederá ni distribuirá la información personal que es recopilada sin su consentimiento, salvo que sea requerido por un juez con una orden judicial”.

No hace mención ni diferencia sobre el contenido de las comunicaciones y los metadatos. Sin embargo, debemos tener en cuenta que las condiciones que sirven como objeto para el presente análisis de esta ISP están limitadas al uso de las apps oficiales, no así a los servicios de telefonía que también es ofrecido por la empresa.

Bajo esta aclaración, debemos calificar negativamente a la ISP, puesto que si bien dispone la entrega de datos solo bajo orden judicial, ello se limita solo al uso de las apps y no así a la intervención de las comunicaciones, servicio que también es ofrecido por la firma.

Conforme al estándar de desempeño establecido, Copaco no cumple con ninguno de los criterios por lo que califica sin estrella.

Estrella vacía
Personal - Núcleo S.A.
Autorización Judicial
No
La ISP se compromete a entregar datos sobre el contenido de las comunicaciones de una persona usuaria a las autoridades de justicia siempre que medie la existencia de una orden judicial previa.
Si diferencia la entrega de los datos con respecto a los metadatos y se compromete a hacerlo siempre que medie la existencia de una orden judicial previa.

La ISP no menciona sobre la entrega de Información Personal bajo orden judicial. No obstante, menciona que: “No será revelada a terceras personas sin el consentimiento expreso de los titulares de los mismos, salvo:

  • i) requerimiento de ley
  • ii) autoridad competente”

En ese sentido, la empresa no diferencia sobre el contenido de las comunicaciones y metadatos por lo que falla en ambos criterios.

Conforme al estándar de desempeño establecido, Personal no cumple con ninguno de los criterios establecidos, por lo que no lleva estrella.

Estrella vacía
Tigo - Telefónica Celular del Paraguay S.A. (Telecel S.A.)
Autorización Judicial
No
La ISP se compromete a entregar datos sobre el contenido de las comunicaciones de una persona usuaria a las autoridades de justicia siempre que medie la existencia de una orden judicial previa.
Si diferencia la entrega de los datos con respecto a los metadatos y se compromete a hacerlo siempre que medie la existencia de una orden judicial previa.

La ISP declara que podrá entregar datos ante el “requerimiento de una entidad gubernamental o administrativa en el ejercicio de sus funciones o por orden de autoridad judicial competente”. Esto quiere decir que lo hará en cualquiera de los 3 casos, no es requerimiento excluyente la orden judicial.

Sin embargo, se destaca del informe anual de Millicom, que la ISP solo entrega datos sobre el contenido de las comunicaciones bajo orden judicial en Paraguay. A este respecto, debemos saber que la ISP estudiada en este punto es una subsidiaria operativa de Millicom International Cellular SA, conforme se extrae de la misma página WEB de TIGO.

La dificultad que se ha encontrado para acceder a este documento, es que no se encuentra accesible desde la web de Tigo Paraguay, sino solo desde la página web de Millicom.

Ahora bien, en el citado informe Millicom, se diferencian tres tipos de requerimientos por autoridad: la intercepción a las comunicaciones (por llamadas, mensajes, fax), MFS o Mobile Financial Services (servicios financieros ofrecidos por la ISP, datos sobre las transacciones y actividad de cuentas de las personas usuarias) y metadatos (direcciones IP, tráfico de mensajes, email, navegación en internet, información sobre la ubicación de la usuaria).

Así las cosas, si bien Millicom informa positivamente sobre el primer aspecto estudiado, Tigo no establece expresamente que el contenido de las comunicaciones lo hará solo con orden judicial.

Por otra parte, la entrega de metadatos se realiza sin orden judicial, bastando un requerimiento fiscal a dicho efecto. Este proceso, si bien es comúnmente practicado en nuestro país, deberíamos como mínimo, debatir acerca de la legalidad de la entrega de metadatos sin orden judicial.

Lo expuesto es traido a consideración en virtud a lo establecido en el Artículo 36o de la Constitucion Nacional, que forma parte de nuestro marco legal, que afirma: “Los registros, cualquiera sea su técnica, los impresos, la correspondencia, los escritos, las comunicaciones telefónicas, telegráficas o de cualquier otra especie (...) no podrán ser examinados, reproducidos, interceptados o secuestrados sino por orden judicial para casos específicamente previstos en la ley (...) Las pruebas documentales obtenidas en violación o lo prescripto anteriormente carecen de valor en juicio”.

Del estudio del artículo propuesto se extrae que el fin principal es establecer que el patrimonio documental de las personas es inviolable. Dicha inviolabilidad es exceptuada sólo con orden judicial.

En este marco y en el entendimiento de que los metadatos son registros de las comunicaciones —excepto el contenido de las mismas— tenemos que: los registros cualquiera sea su técnica, no deberían ser examinados sino por orden judicial, conforme lo establece la Constitución Nacional.

Ahora bien, la entrega de metadatos sin orden judicial adquiere ropaje legal gracias al artículo 228o del Código Procesal Penal, también parte de nuestro marco legal, establece que: “El juez y el Ministerio Público podrán requerir informes a cualquier persona o entidad pública o privada”.

Entonces tenemos que el Ministerio Público, a pesar de que no puede dictar resoluciones judiciales, sí puede requerir informes a entidades privadas, como por ejemplo las ISP.

Empero, como contrapeso a la facultad otorgada al Ministerio Público, es necesario admitir el principio jurídico que establece prioridad a la especialidad sobre la generalidad. En ese orden, a pesar de la facultad otorgada en forma genérica, tenemos los artículos 198º, 199º y 200º del mismo cuerpo legal que establecen abundantemente sobre la necesidad de resolución judicial para intervención comunicacional. Además la ley de Telecomunicaciones protege de personas ajenas no solamente el contenido sino también la propia existencia de la comunicaciones. Es decir, que también a los metadatos como parte de la existencia de esta comunicación.

Como último punto, pero no por ello menos importante, a tener en cuenta en el presente debate es una sentencia de la Corte Interamericana de Derechos Humanos56 que establece la protección de conversaciones y que esta protección incluso, puede comprender el destino de las llamadas, la identidad, la frecuencia, la hora y duración, entre otros.

De lo expuesto se desprende que la finalidad ulterior de la legislación paraguaya es proteger la intimidad de las personas. Específicamente los metadatos, conforme a lo expuesto en este criterio. Sin embargo, coexisten en esta misma legislación disposiciones legales que contrarían dicho fin, conjugadas con malas prácticas estatales.

Como resultado de lo expuesto, esta investigación estableció el criterio de la enunciación de la entrega de metadatos solo con orden judicial.

No obstante, tal como lo mencionamos al inicio, Tigo declara que no es excluyente la orden judicial para la entrega de datos ante requerimientos estatales.

Conforme al estándar de desempeño establecido, Tigo cumple solamente con el primer de los criterios establecidos, por lo que lleva media estrella.

Media estrella
VOX - Hola Paraguay S.A.
Autorización Judicial
No
La ISP se compromete a entregar datos sobre el contenido de las comunicaciones de una persona usuaria a las autoridades de justicia siempre que medie la existencia de una orden judicial previa.
Si diferencia la entrega de los datos con respecto a los metadatos y se compromete a hacerlo siempre que medie la existencia de una orden judicial previa.

No se encontró información a la que podamos acceder para saber si la ISP entrega datos, sea con orden judicial o de otra forma. También se remarca que la ISP no ha accedido a dialogar con TEDIC durante la investigación, por tanto no se puede brindar puntos por una información que la ISP no comparte públicamente.

Conforme al estándar de desempeño establecido, Vox no cumple con ninguno de los criterios por lo que califica sin estrella.

Estrella vacía

Criterio 3: Notificación a la persona usuaria

Queremos saber: ¿Las ISP notifican a las personas usuarias afectadas por solicitudes de obtención de datos personales por parte de autoridades o si han promovido el retiro de obstáculos para llevar a cabo la notificación?

Para obtener una estrella en esta categoría, las empresas deben tener una política de notificación a las personas usuarias afectadas por medidas de vigilancia estatal en el primer momento permitido por la ley o, en su caso, demostrar que han combatido legalmente los impedimentos legales o regulatorios para llevar a cabo la notificación o, alternativamente, demostrar que han promovido mecanismos de notificación a la persona usuaria al Congreso o a otros entes regulatorios.

Criterio de evaluación

  • I. La empresa se compromete a notificar a las personas usuarias antes de cumplir con las solicitudes de datos de información de cuentas y registros de conexión en los casos no prohibidos por la confidencialidad legal, o para emitir una notificación tan pronto como sea legalmente posible.
Estándar de desempeño
Una estrella La ISP cumple el criterio
Estrella vacía La ISP no cumple con el criterio

Reporte - Notificación a la persona usuaria

Claro - AMX Paraguay S.A.
Notificación a la persona usuaria
No
¿Notifica a la persona usuaria sobre la entrega a terceros de datos personales? La empresa se compromete a notificar a las personas usuarias antes de cumplir con las solicitudes de datos de información de cuentas y registros de conexión en los casos no prohibidos por la confidencialidad legal, o para emitir una notificación tan pronto como sea legalmente posible

La política de privacidad de Claro no establece en forma genérica, mecanismo alguno para la transmisión de datos personales a terceros.

No obstante ello, en el último párrafo perteneciente al apartado de transferencia de datos personales, establece que si la ISP se involucra en alguna fusión, adquisición o venta de activos, notificarán a la persona usuaria afectada antes de que la información personal se transfiera.

Es de destacar este punto, sin embargo, ello no es suficiente puesto que la transferencia de la información personal no solo se efectuaría en virtud a la fusión de la firma, sino de otras formas tal como la propia política de privacidad lo especifica.

Conforme al estándar de desempeño establecido, Claro no cumple con el criterio por lo que no califica con estrella alguna.

Estrella vacía
Copaco - La Compañía Paraguaya de Comunicaciones S.A.
Notificación a la persona usuaria
No
¿Notifica a la persona usuaria sobre la entrega a terceros de datos personales? La empresa se compromete a notificar a las personas usuarias antes de cumplir con las solicitudes de datos de información de cuentas y registros de conexión en los casos no prohibidos por la confidencialidad legal, o para emitir una notificación tan pronto como sea legalmente posible

La ISP en cuestión no hace referencias de notificaciones a la persona usuaria. Consiguientemente, conforme al estándar de desempeño establecido, Copaco no cumple con el criterio por lo que no califica con estrella alguna.

Estrella vacía
Personal - Núcleo S.A.
Notificación a la persona usuaria
No
¿Notifica a la persona usuaria sobre la entrega a terceros de datos personales? La empresa se compromete a notificar a las personas usuarias antes de cumplir con las solicitudes de datos de información de cuentas y registros de conexión en los casos no prohibidos por la confidencialidad legal, o para emitir una notificación tan pronto como sea legalmente posible

Del estudio de la política de privacidad de la ISP no surge que exista referencia alguna de notificación a la persona usuaria.

Conforme al estándar de desempeño establecido, Personal no cumple con el criterio por lo que no califica con estrella alguna.

Estrella vacía
Tigo - Telefónica Celular del Paraguay S.A. (Telecel S.A.)
Notificación a la persona usuaria
No
¿Notifica a la persona usuaria sobre la entrega a terceros de datos personales? La empresa se compromete a notificar a las personas usuarias antes de cumplir con las solicitudes de datos de información de cuentas y registros de conexión en los casos no prohibidos por la confidencialidad legal, o para emitir una notificación tan pronto como sea legalmente posible

Del análisis de la política de privacidad de la presente ISP, se extrae que no existen referencias de notificación a la persona usuaria antes, ni después, de la entrega de datos personales a terceros.

Conforme al estándar de desempeño establecido, Tigo no cumple con el criterio por lo que no califica con estrella alguna.

Estrella vacía
VOX - Hola Paraguay S.A.
Notificación a la persona usuaria
No
¿Notifica a la persona usuaria sobre la entrega a terceros de datos personales? La empresa se compromete a notificar a las personas usuarias antes de cumplir con las solicitudes de datos de información de cuentas y registros de conexión en los casos no prohibidos por la confidencialidad legal, o para emitir una notificación tan pronto como sea legalmente posible

La ISP en cuestión no hace referencia sobre notificaciones a la persona usuaria. Consiguientemente, conforme al estándar de desempeño establecido, Vox no cumple con el criterio por lo que no califica con estrella alguna.

Estrella vacía

Criterio 4: Políticas de promoción y defensa de los derechos humanos

Precisamos saber: ¿ha iniciado la ISP un posicionamiento público sobre el respeto y la promoción de los derechos humanos en Internet, en especial contra la vigilancia masiva o vigilancia sin control de las comunicaciones?

En esta categoría se evalúa si posee una política institucional en la que reconoce la responsabilidad de respeto y protección de los derechos humanos, incluyendo el derecho a la privacidad; y si participa en algún foro o mecanismo para el respeto de derechos humanos en el ámbito de sus responsabilidades empresariales.

También se evalúa si la empresa ha participado, de manera individual o colectiva, en procesos públicos de incidencia legislativa o ante otros entes regulatorios en defensa del derecho a la privacidad, así como sí ha defendido la privacidad de sus usuarios, usuarias por la vía judicial.

Asimismo, se evalúa si realizan algún tipo de actividad publicitaria, campaña de concientización, realización de jornadas.

Criterios de evaluación

  • I. Si la ISP promueve iniciativas políticas o legales para proteger la privacidad de sus usuarios, usuarias en el Congreso, por ejemplo, a través de proyectos legislativos o participación en audiencias, o en los Tribunales;
  • II. Si la ISP lleva a cabo actividades, jornadas, publicidades o publica informes con el fin de generar conciencia en la sociedad sobre el derecho a la privacidad y/o la protección de los datos personales;
  • III. Si la empresa resiste a través de la vía judicial las solicitudes de información que sean exce- sivas y no cumplan con los requisitos legales;
  • IV. Participa en algún mecanismo sectorial o multi-sectorial para la promoción, respeto y protección de derechos humanos en el ámbito de sus responsabilidades empresariales. (Ejemplos: Global Network Initiative, Telecommunications Industry Dialogue, Pacto Global).
Estándar de desempeño
Una estrella La ISP cumple con todos los criterios
Media estrella La ISP cumple con dos criterios
Un cuarto de estrella La ISP cumple con un criterio
Estrella vacía La ISP no cumple ninguno de los criterios

Reporte - Políticas de promoción y defensa de los derechos humanos

Claro - AMX Paraguay S.A.
Políticas de promoción y defensa de los derechos humanos
No
Si la ISP promueve iniciativas políticas o legales para proteger la privacidad de sus usuarios, usuarias en el Congreso, por ejemplo, a través de proyectos legislativos o participación en audiencias, o en los Tribunales.
Si la ISP lleva a cabo actividades, jornadas, publicidades o publica informes con el fin de generar conciencia en la sociedad sobre el derecho a la privacidad y/o la protección de los datos personales.
Si la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.
Participa en algún mecanismo sectorial o multi-sectorial para la promoción, respeto y protección de derechos humanos en el ámbito de sus responsabilidades empresariales. (Ejemplos: Global Network Initiative, Telecommunications Industry Dialogue, Pacto Global).

No se encontraron iniciativas políticas ni legales por parte de Claro referentes a la protección de la privacidad de sus usuarios, usuarias ante el Poder Legislativo o Ejecutivo. Tampoco se evidenciaron resistencias a través de la vía judicial, en caso de abusos de la autoridad competente o que no cumplan con los requisitos legales.

Con respecto al segundo requisito, en la página web de la empresa, no se encontró referencia a actividades o artículos que informen acerca de la protección de datos personales.

Ahora bien, en el Informe de Sustentabilidad de América Móvil se informa que se realizaron jornadas de capacitación referentes a la seguridad de la información, en la cual tuvo participación la subsidiaria de Paraguay. Sin embargo, dicha actividad no es propia de Claro sino de América Móvil.

Por otro lado, la subsidiaria en Paraguay ha lanzado una campaña de “Seguridad Digital” en su perfil de la red social Instagram en la que expone una Guía de Seguridad Digital para usuarios.

Por último, la ISP participa de la iniciativa GSMA, por lo que puntúa también en este criterio.

Conforme a lo expresado, Claro cumple con dos de los cuatro criterios establecidos en el estándar de desempeño.

Media estrella
Copaco - La Compañía Paraguaya de Comunicaciones S.A.
Políticas de promoción y defensa de los derechos humanos
No
Si la ISP promueve iniciativas políticas o legales para proteger la privacidad de sus usuarios, usuarias en el Congreso, por ejemplo, a través de proyectos legislativos o participación en audiencias, o en los Tribunales.
Si la ISP lleva a cabo actividades, jornadas, publicidades o publica informes con el fin de generar conciencia en la sociedad sobre el derecho a la privacidad y/o la protección de los datos personales.
Si la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.
Participa en algún mecanismo sectorial o multi-sectorial para la promoción, respeto y protección de derechos humanos en el ámbito de sus responsabilidades empresariales. (Ejemplos: Global Network Initiative, Telecommunications Industry Dialogue, Pacto Global).

COPACO cuenta con iniciativas promovidas sobre temas de ciberseguridad, el derecho a la privacidad a través de talleres de capacitaciones y difusión en redes sociales. Sin embargo no se encontraron referencias acerca de iniciativas promovidas por la ISP, sean estas políticas, legislativas o bien en sede judicial, comúnmente llamados litigios estratégicos.

Conforme a lo expresado, Copaco cumple con uno de los cuatro criterios establecidos en el estándar de desempeño.

Estrella vacía
Personal - Núcleo S.A.
Políticas de promoción y defensa de los derechos humanos
No
Si la ISP promueve iniciativas políticas o legales para proteger la privacidad de sus usuarios, usuarias en el Congreso, por ejemplo, a través de proyectos legislativos o participación en audiencias, o en los Tribunales.
Si la ISP lleva a cabo actividades, jornadas, publicidades o publica informes con el fin de generar conciencia en la sociedad sobre el derecho a la privacidad y/o la protección de los datos personales.
Si la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.
Participa en algún mecanismo sectorial o multi-sectorial para la promoción, respeto y protección de derechos humanos en el ámbito de sus responsabilidades empresariales. (Ejemplos: Global Network Initiative, Telecommunications Industry Dialogue, Pacto Global).

No se encontraron iniciativas políticas ni legales por parte de Personal referentes a la protección de la privacidad de sus usuarios, usuarias ante el Poder Legislativo o Ejecutivo. Tampoco se evidenciaron resistencias a través de la vía judicial, en caso de abusos de la autoridad competente o que no cumplan con los requisitos legales.

No obstante, sobre el segundo requisito se identifica que la ISP cuenta con actividades y artículos que informan sobre protección de datos personales, seguridad digital y ciberseguridad en general.

Por último, la ISP participa de la iniciativa GSMA, por lo que este es el único criterio en el que consigue puntuar.

Conforme a lo expresado, Personal cumple con uno de los cuatro criterios establecidos en el estándar de desempeño.

Un cuarto de estrella
Tigo - Telefónica Celular del Paraguay S.A. (Telecel S.A.)
Políticas de promoción y defensa de los derechos humanos
No
Si la ISP promueve iniciativas políticas o legales para proteger la privacidad de sus usuarios, usuarias en el Congreso, por ejemplo, a través de proyectos legislativos o participación en audiencias, o en los Tribunales.
Si la ISP lleva a cabo actividades, jornadas, publicidades o publica informes con el fin de generar conciencia en la sociedad sobre el derecho a la privacidad y/o la protección de los datos personales.
Si la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.
Participa en algún mecanismo sectorial o multi-sectorial para la promoción, respeto y protección de derechos humanos en el ámbito de sus responsabilidades empresariales. (Ejemplos: Global Network Initiative, Telecommunications Industry Dialogue, Pacto Global).

No se encontraron iniciativas políticas ni legales por parte de Tigo en lo referente a protección de la privacidad de sus usuarios, usuarias ante el Poder Legislativo o Ejecutivo. Tampoco se evidenciaron resistencias a través de la vía judicial, en caso de abusos de la autoridad competente o que no cumplan con los requisitos legales.

Con respecto al segundo criterio, la ISP informa en su página web, en el sector de responsabili- dad empresarial, que una de sus metas es proteger el derecho de sus clientes a la privacidad y la libertad de expresión, según lo establecido en los Principios de la Iniciativa de RedGlobal (GNI, por sus siglas en inglés). Así también, informa que para alcanzar dicha meta, desarrolló un centro de privacidad único, pero no localizamos dicho centro ni encontramos más referencias que la citada. No obstante lo mencionado, con estos informes Tigo demuestra la perspectiva que tiene con respecto a la protección de datos como derecho humano.

Sobre el cuarto criterio, se observa que la empresa forma parte de Global Compact, un espacio de diálogo sobre los derechos humanos y de los mecanismos para afrontar responsabilidad en materia de derechos humanos. También forma parte del grupo GSMA.

Por último encontramos que Millicom también forma parte de Global Network Initiative, como una ICT company. Además, es menester mencionar que los principios de esta última iniciativa, son adoptados específicamente en la página web de Tigo Paraguay.

Conforme a lo expresado, Tigo cumple con dos de los cuatro criterios establecidos en el estándar de desempeño.

Media estrella
VOX - Hola Paraguay S.A.
Políticas de promoción y defensa de los derechos humanos
No
Si la ISP promueve iniciativas políticas o legales para proteger la privacidad de sus usuarios, usuarias en el Congreso, por ejemplo, a través de proyectos legislativos o participación en audiencias, o en los Tribunales.
Si la ISP lleva a cabo actividades, jornadas, publicidades o publica informes con el fin de generar conciencia en la sociedad sobre el derecho a la privacidad y/o la protección de los datos personales.
Si la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.
Participa en algún mecanismo sectorial o multi-sectorial para la promoción, respeto y protección de derechos humanos en el ámbito de sus responsabilidades empresariales. (Ejemplos: Global Network Initiative, Telecommunications Industry Dialogue, Pacto Global).

No se encontraron referencias acerca de iniciativas promovidas por la ISP, sean estas políticas, legislativas o bien en sede judicial, comúnmente llamados litigios estratégicos.

En ese orden, tampoco se encontraron informes, publicidades, jornadas ni actividades en las que la empresa promueva la generación de conciencia sobre el derecho a la privacidad.

Con respecto al cuarto criterio, la ISP participa de la iniciativa GSMA, por lo que éste es el único criterio en el que consigue puntuar.

Conforme a lo expresado, Vox cumple con uno de los cuatro criterios establecidos en el estándar de desempeño.

Un cuarto de estrella

Criterio 5: Transparencia

Precisamos saber: ¿la ISP publica informes de transparencia que contienen información sobre cuántas veces los gobiernos han solicitado datos del usuario, usuarias y la frecuencia con que la empresa proporcionó esos datos a los gobiernos?

Se evalúa si el informe de transparencia detalla los tipos de datos solicitados y las autoridades gubernamentales requirentes.

El informe de transparencia notifica el origen de las solicitudes para el bloqueo o retiro de conte- nidos de Internet —incluyendo pornografía infantil, infracción al derecho de autor, cumplimiento de sus propias políticas, etc.. Si bien las ISP en Paraguay no están bajo ninguna obligación de producir informes de transparencia activa, esto podría ser una ventana de oportunidad para mostrar que están preocupadas por la construcción de confianza en sus relaciones con los clientes, basadas en la transparencia.

Criterios de evaluación

  • I. La ISP publica informes de transparencia para que la persona usuaria pueda enterarse de la colaboración con las autoridades gubernamentales sobre los datos proveídos;
  • II. La ISP publica informes de transparencia informando acerca de la colaboración con las autoridades gubernamentales, indicando:
    • a) la cantidad de solicitudes y divulgaciones clasificadas por tipo de datos –si se trata de información de cuenta o de conexión de registros;
    • b) la cantidad de solicitudes y divulgaciones clasificadas por el cual la autoridad gubernamental hizo la solicitud;
    • c) la cantidad de solicitudes y divulgaciones clasificados por la motivación alegada por la autoridad gubernamental –presentación de pruebas en materia civil, penal, o los casos administrativos, etc.
Estándar de desempeño
Una estrella La ISP cumple con ambos criterios
Media estrella La ISP cumple con uno de los criterios
Estrella vacía La ISP no cumple ninguno de los criterios

Reporte - Transparencia

Claro - AMX Paraguay S.A.
Transparencia
No
La ISP publica informes de transparencia para informar de la colaboración con las autoridades gubernamentales.
La ISP publica informes de transparencia informando acerca de la colaboración con las autoridades gubernamentales, indicando: (a) la cantidad de solicitudes y divulgaciones clasificados por tipo de datos –si se trata de información de cuenta o de conexión de registros; (b) la cantidad de solicitudes y divulgaciones clasificadas por el cual la autoridad gubernamental hizo la solicitud; (c) la cantidad de solicitudes y divulgaciones clasificados por la motivación alegada por la autoridad gubernamental –presentación de pruebas en materia civil, penal, o los casos administrativos, etc.

La ISP no publica informes sobre la colaboración con las autoridades gubernamentales. Sin embargo, se encontró de manera genérica en el Informe de Sustentabilidad de América Móvi. Del documento se extrae que las subsidiarias de América Móvil han recibido 311.282 requerimientos de información sobre las personas usuarias en América del Sur (Argentina, Brasil, Paraguay y Uruguay). De la totalidad de estas solicitudes, fueron procesadas 302.101. Nuevamente, el obstáculo con el que este informe tropieza es que dichos datos no se encuentran diferenciados por países. En cuanto al segundo criterio propuesto, la empresa falla puesto que el único informe localizado, en referencia a la colaboración con el gobierno, es el citado más arriba.

Conforme a lo expresado, Claro cumple con uno de los dos criterios establecidos en el estándar de desempeño.

Media estrella
Copaco - La Compañía Paraguaya de Comunicaciones S.A.
Transparencia
No
La ISP publica informes de transparencia para informar de la colaboración con las autoridades gubernamentales.
La ISP publica informes de transparencia informando acerca de la colaboración con las autoridades gubernamentales, indicando: (a) la cantidad de solicitudes y divulgaciones clasificados por tipo de datos –si se trata de información de cuenta o de conexión de registros; (b) la cantidad de solicitudes y divulgaciones clasificadas por el cual la autoridad gubernamental hizo la solicitud; (c) la cantidad de solicitudes y divulgaciones clasificados por la motivación alegada por la autoridad gubernamental –presentación de pruebas en materia civil, penal, o los casos administrativos, etc.

La ISP no cuenta en su página web con informes relacionados a su colaboración con el gobierno.

Conforme a lo expresado, Copaco no cumple con ninguno de los criterios establecidos en el estándar de desempeño.

Estrella vacía
Personal - Núcleo S.A.
Transparencia
No
La ISP publica informes de transparencia para informar de la colaboración con las autoridades gubernamentales.
La ISP publica informes de transparencia informando acerca de la colaboración con las autoridades gubernamentales, indicando: (a) la cantidad de solicitudes y divulgaciones clasificados por tipo de datos –si se trata de información de cuenta o de conexión de registros; (b) la cantidad de solicitudes y divulgaciones clasificadas por el cual la autoridad gubernamental hizo la solicitud; (c) la cantidad de solicitudes y divulgaciones clasificados por la motivación alegada por la autoridad gubernamental –presentación de pruebas en materia civil, penal, o los casos administrativos, etc.

La ISP no cuenta en su página web con informes relacionados a su colaboración con el gobierno.

Conforme a lo expresado, Personal no cumple con ninguno de los criterios establecidos en el estándar de desempeño.

Estrella vacía
Tigo - Telefónica Celular del Paraguay S.A. (Telecel S.A.)
Transparencia
No
La ISP publica informes de transparencia para informar de la colaboración con las autoridades gubernamentales.
La ISP publica informes de transparencia informando acerca de la colaboración con las autoridades gubernamentales, indicando: (a) la cantidad de solicitudes y divulgaciones clasificados por tipo de datos –si se trata de información de cuenta o de conexión de registros; (b) la cantidad de solicitudes y divulgaciones clasificadas por el cual la autoridad gubernamental hizo la solicitud; (c) la cantidad de solicitudes y divulgaciones clasificados por la motivación alegada por la autoridad gubernamental –presentación de pruebas en materia civil, penal, o los casos administrativos, etc.

La ISP paraguaya publica informes sobre la colaboración con las autoridades gubernamentales, a través de los informes globales de Millicom. En el documento se describe la información detallada de las solicitudes de interceptación de las comunicaciones, acceso a metadatos y a datos de servicios de pago por móvil (MFS)

El obstáculo con el que tropieza el citado informe es que los datos no están diferenciados por país. En ese sentido, se observa que América del Sur (Bolivia, Colombia y Paraguay) han recibido en el 2020, 749 órdenes sobre intervención en las comunicaciones, 177 sobre datos MFS y 19.333 solicitudes de informe sobre metadatos de las personas usuarias.

En cuanto al segundo criterio propuesto, la ISP falla puesto que el único informe localizado, en referencia a la colaboración con el gobierno, es el citado más arriba.

Conforme a lo expresado, Tigo cumple con uno de los dos criterios establecidos en el estándar de desempeño.

Media estrella
VOX - Hola Paraguay S.A.
Transparencia
No
La ISP publica informes de transparencia para informar de la colaboración con las autoridades gubernamentales.
La ISP publica informes de transparencia informando acerca de la colaboración con las autoridades gubernamentales, indicando: (a) la cantidad de solicitudes y divulgaciones clasificados por tipo de datos –si se trata de información de cuenta o de conexión de registros; (b) la cantidad de solicitudes y divulgaciones clasificadas por el cual la autoridad gubernamental hizo la solicitud; (c) la cantidad de solicitudes y divulgaciones clasificados por la motivación alegada por la autoridad gubernamental –presentación de pruebas en materia civil, penal, o los casos administrativos, etc.

La ISP no cuenta en su página web con informes relacionados a su colaboración con el gobierno.

Conforme a lo expresado, Vox no cumple con ninguno de los criterios establecidos en el estándar de desempeño.

Estrella vacía

Criterio 6: Guías para la solicitud de información personal

Precisamos saber: ¿la ISP proporciona información clara y completa sobre los lineamientos, guías o protocolos orientados a las fuerzas de seguridad y otros organismos gubernamentales que expliquen cómo deben solicitar la información personal de los clientes?, ¿cuáles son las condiciones para la entrega de dicha información personal?

Se evaluará si la ISP cuenta con los lineamientos, guías y protocolos que buscan determinar cómo cada empresa establece la forma en colaboración con el Estado. Ya sea por entregar información al sistema de persecución penal u otro tipo de investigación y, en su caso, qué especificaciones deben cumplir a dicho efecto.

También se evalúa si la empresa, al momento de establecer sus propias reglas para las autorida- des locales, tiene en cuenta el contexto nacional o si los lineamientos preestablecidos responden a procedimientos foráneos, y en tal caso corroborar si los mismos son más rigurosos a favor de la privacidad de sus usuarios y usuarias.

Criterios de evaluación

  • I. Si la ISP tiene lineamientos, guías o protocolos que determinen cómo recibirán las solicitudes de información de sus clientes;
  • II. Si los lineamientos, guías o protocolos se encuentran disponibles públicamente;
  • III. Si dichos lineamientos, guías o protocolos explican detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente.
Estándar de desempeño
Una estrella La ISP cumple con todos los criterios
Media estrella La ISP cumple con dos criterios
Un cuarto de estrella La ISP cumple con un criterio
Estrella vacía La ISP no cumple ninguno de los criterios

Reporte - Guías para la solicitud de información personal

Claro - AMX Paraguay S.A.
Guías para la solicitud de información personal
No
Si la ISP tiene lineamientos, guías o protocolos que determinen cómo recibirán las solicitudes de información de sus clientes.
Si los lineamientos, guías o protocolos se encuentran disponibles públicamente.
Si dichos lineamientos, guías o protocolos explican detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente.

La ISP cuenta con lineamientos a seguir para el recibimiento de solicitudes de datos personales sobre sus usuarios y usuarias. Estos lineamientos no se encuentran en la web oficial local sino en la página de la casa matriz: América Móvil.

En el documento se resalta el Informe de transparencia de las comunicaciones que detalla las políticas y marcos legales, obligaciones aplicables relativas a requisiciones de autoridades en los países en que la empresa actúa. Entre algunas de las obligaciones a entregar a las autoridades competentes, se detallan estos tres puntos: 1) Entrega de datos conservados a las autoridades competentes, 2) Localización geográfica en tiempo real de equipos móviles, 3) Intervención de comunicaciones privadas.

Además, América Móvil sí posee una política de privacidad, aplicable a todas sus subsidiarias, en la que establece como facultad de los titulares el derecho a acceder a sus datos, incluyendo la obtención de una copia en formato físico y/o electrónico, de forma gratuita. Así también, establece lineamientos generales para los requerimientos recibidos por parte de los gobiernos. En ese sentido, dicha política de privacidad explica que por razones de colaboración con el gobierno, entregarán metadatos previa solicitud mediante un mandamiento de autoridad competente, por escrito o medios electrónicos.

Por tanto, se considera que la ISP cumple con los tres requisitos propuestos en el presente criterio.

Una estrella
Copaco - La Compañía Paraguaya de Comunicaciones S.A.
Guías para la solicitud de información personal
No
Si la ISP tiene lineamientos, guías o protocolos que determinen cómo recibirán las solicitudes de información de sus clientes.
Si los lineamientos, guías o protocolos se encuentran disponibles públicamente.
Si dichos lineamientos, guías o protocolos explican detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente.

No se encontraron lineamientos ni protocolos que determinen cómo recibirán las solicitudes de información sobre las personas usuarias de la ISP.

Estrella vacía
Personal - Núcleo S.A.
Guías para la solicitud de información personal
No
Si la ISP tiene lineamientos, guías o protocolos que determinen cómo recibirán las solicitudes de información de sus clientes.
Si los lineamientos, guías o protocolos se encuentran disponibles públicamente.
Si dichos lineamientos, guías o protocolos explican detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente.

No se encontraron lineamientos ni protocolos que determinen cómo recibirán las solicitudes de información sobre las personas usuarias de la ISP.

Estrella vacía
Tigo - Telefónica Celular del Paraguay S.A. (Telecel S.A.)
Guías para la solicitud de información personal
No
Si la ISP tiene lineamientos, guías o protocolos que determinen cómo recibirán las solicitudes de información de sus clientes.
Si los lineamientos, guías o protocolos se encuentran disponibles públicamente.
Si dichos lineamientos, guías o protocolos explican detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente.

La ISP en su página web local no cuenta con lineamientos a seguir para el recibimiento de solicitudes de datos personales sobre sus usuarios y usuarias. Sin embargo, en el informe sobre Law Enforcement de Millicom se encuentran lineamientos generales sobre cómo reciben requerimientos de información por parte de autoridades públicas. Estos lineamientos cuentan con protocolos y actualmente están disponibles en la versión en inglés.

Sin embargo, no puede considerarse como cumplido el tercer criterio puesto que las solicitudes de información pueden ser efectuadas tanto desde el gobierno, como de la propia persona usuaria de la ISP.

Así las cosas, consideramos que la empresa cumple con dos de los requisitos propuestos en el presente criterio.

Media estrella
VOX - Hola Paraguay S.A.
Guías para la solicitud de información personal
No
Si la ISP tiene lineamientos, guías o protocolos que determinen cómo recibirán las solicitudes de información de sus clientes.
Si los lineamientos, guías o protocolos se encuentran disponibles públicamente.
Si dichos lineamientos, guías o protocolos explican detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente.

No se encontraron lineamientos ni protocolos que determinen cómo recibirán las solicitudes de información sobre las personas usuarias de la ISP.

Estrella vacía

Criterio 7: Accesibilidad

¿La ISP posee un sitio web con una interfaz de la persona usuaria con información perceptible y comprensible, navegación funcional y operable en relación a políticas de privacidad y términos y condiciones de sus productos y servicios?

Se evalúa si la ISP cuenta con información perceptible y con alternativas equivalentes para mostrar contenido, tenga una interfaz navegable y funcional, con información comprensible y compatible con herramientas de la persona usuaria en relación al contenido sobre políticas de privacidad y términos y condiciones de sus productos y servicios.

Criterios de evaluación

  • I. La ISP tiene una interfaz de sitio web que cuenta con información perceptible y con alter- nativas equivalentes para mostrar contenido, propósito o función;
  • II. La ISP tiene un sitio web con una interfaz navegable, funcional y que cuenta con soporte para teclado;
  • III. La ISP tiene un sitio web con información comprensible, que aparece y opera de forma predecible;
  • IV. El contenido en el sitio web de la ISP es compatible con las herramientas actuales de la per- sona usuaria. (diferentes navegadores, tecnologías de apoyo y otros agentes de la persona usuaria).
Estándar de desempeño
Una estrella La ISP cumple con todos los criterios
Media estrella La ISP cumple con dos o tres de los criterios
Un cuarto de estrella La ISP cumple con uno de los criterios
Estrella vacía La ISP no cumple ninguno de los criterios

Reporte - Accesibilidad

Claro - AMX Paraguay S.A.
Accesibilidad
No
La compañía tiene un sitio web que cuenta con información perceptible y con alternativas equivalentes para mostrar contenido, propósito o función.
La ISP tiene un sitio web con una interfaz navegable, funcional y que cuenta con soporte para teclado.
La ISP tiene un sitio web con información comprensible, que aparece y opera de forma predecible.
El contenido en el sitio web de la compañía está diseñado contemplando una diversidad de herramientas (diferentes navegadores, tecnologías de apoyo y otros agentes de usuario).

Claro posee un documento de “Términos y condiciones de uso” para cada uno de varios servicios (Cable distribución IPTV, Factura Braille, Prepago y Telefonía móvil) así como un documento de “Políticas de privacidad”. Todos esos documentos están bastante difíciles de acceder, principalmente para quienes utilicen lectores de pantalla: para acceder a ellos hay que hacer clic en un enlace de portada y luego paginar más de 10 veces o utilizar un “filtro”.

Una vez accedida a las mencionadas páginas, se abre una “ventana modal” con un orden de tabulación de orden muy alto, lo que provoca que haya que tabular más de 10 veces para poder leer un documento. Además, el contenido de dichas páginas posee un buen contraste de colores, y buen redimensionamiento de texto, por lo cual presenta información perceptible y adaptable, cumpliendo con el primer criterio.

Cabe mencionar que Claro es la única ISP que disponibiliza el servicio de Factura Braille a través de su sitio web.

En lo que refiere a la página principal y portada de Claro, se puede hacer desplazamiento sin dificultad con las teclas de dirección, y ampliación de texto con el teclado, pero la navegación con teclado se vuelve muy dificultosa. Carece de “Saltar al contenido” y el orden de navegación (con tabulador) es extremadamente largo para acceder al contenido principal.

El sitio no posee una estructura que sea predecible o enteramente accesible. Esto es debido a que los textos no están bien estructurados, los enlaces no poseen nombres adecuados y hay muchas imágenes sin texto alternativo. Las personas no pueden utilizar diversidad de modalidades de entrada además del teclado. Por todo lo anterior, la empresa no cumple el segundo criterio.

En lo que refiere al tercer criterio, el texto es legible y comprensible, se identifica al español como idioma primario, desde el principio, y se utilizan explicaciones para hacer que el lenguaje sea sencillo de entender. Pero los enlaces no son predecibles, no se encuentran mecanismos de navegación funcional, ni etiquetas accesibles que hagan más fácil encontrar la información. Por tanto, tampoco cumple el tercer criterio.

Si bien se contemplan diferentes navegadores y diversidad de dispositivos, el sitio no es adecuado para el uso de tecnologías de apoyo como lectores de pantalla: la utilización de un lector de pantalla se vuelve extremadamente difícil. Aplicando la herramienta Wave, se encuentran más de 17 errores y 53 problemas de contraste. Por lo tanto no cumple con el cuarto criterio.

La ISP cumple con un criterio.

Un cuarto de estrella
Copaco - La Compañía Paraguaya de Comunicaciones S.A.
Accesibilidad
No
La compañía tiene un sitio web que cuenta con información perceptible y con alternativas equivalentes para mostrar contenido, propósito o función.
La ISP tiene un sitio web con una interfaz navegable, funcional y que cuenta con soporte para teclado.
La ISP tiene un sitio web con información comprensible, que aparece y opera de forma predecible.
El contenido en el sitio web de la compañía está diseñado contemplando una diversidad de herramientas (diferentes navegadores, tecnologías de apoyo y otros agentes de usuario).

En el sitio de Copaco, existe un documento de “Condiciones de uso – Sitio Web” cuyo texto puede ser redimensionado y adaptado para no perder de vista información. Esta página web puede ser redimensionada, y su texto puede ser adaptado utilizando ampliación, sin mayores inconvenientes. Por todo lo anterior, cumple el primer criterio.

En cuanto al segundo criterio, el sitio puede ser navegado con teclado sin mayor dificultad (salvo en algunas páginas, ver cuarto criterio). El orden de navegación con tabulador es relativamente sencillo y solamente presenta un pequeño problema en el carrusel de portada. Entonces se puede hacer desplazamiento y acercamiento sin dificultad. Además el sitio no tiene contenido parpadeante que pueda causar convulsiones o reacciones físicas. En sus páginas internas, el sitio cuenta con un indicador jerárquico de navegación (breadcrumbs). Lamentablemente este indicador no está disponible en todo el sitio. Por todo lo anterior, sí cumple el segundo criterio.

En lo referente al tercer criterio, llama la atención el primer elemento del sitio llamado “Acceso(top2)” que puede llegar a confundir a las personas y no aporta información sustancial. El resto del texto es legible y comprensible, aunque no se identifica el idioma primario de la web (de modo visual). Además el contenido aparece y opera de forma predecible. Por lo anterior, establecemos que sí cumple el criterio.

Hay muchísimas imágenes que no cuentan con texto alternativo, por ejemplo el banner principal del sitio. Aplicando la herramienta WAVE en la portada aparecen 21 errores (principalmente textos alternativos, etiquetas y encabezados).

Además existen páginas dentro del sitio que son totalmente inaccesibles como las páginas de recargas y promociones.

Por todo lo anterior, la ISP no cumple el cuarto criterio. La ISP cumple con 3 criterios.

Media estrella
Personal - Núcleo S.A.
Accesibilidad
No
La compañía tiene un sitio web que cuenta con información perceptible y con alternativas equivalentes para mostrar contenido, propósito o función.
La ISP tiene un sitio web con una interfaz navegable, funcional y que cuenta con soporte para teclado.
La ISP tiene un sitio web con información comprensible, que aparece y opera de forma predecible.
El contenido en el sitio web de la compañía está diseñado contemplando una diversidad de herramientas (diferentes navegadores, tecnologías de apoyo y otros agentes de usuario).

En su sitio web Personal presenta una página sobre “Términos y condiciones”que cuenta con contenido cuyo tamaño puede ser redimensionado y adaptado para no perder de vista información. El documento se encuentra a 1 clic de distancia en el pie de página de la portada. Dicha página cuenta con un menú a la izquierda y un texto corto de copyright que hace un poco más difícil llegar al texto central del documento. El contenido es fácil de ver y escuchar, por lo que cumple el primer criterio.

En relación al segundo criterio, el sitio puede ser navegado con teclado sin mayor dificultad, aunque al igual que en otros casos, el carrusel de portada dificulta un poco esa navegación. Las personas tienen tiempo suficiente para leer y utilizar el contenido, y no aparece contenido parpadeante que pueda causar convulsiones o reacciones físicas. Sin embargo, nuevamente el carrusel de portada no tiene mecanismos para detener y pausar su funcionamiento. En algunas partes del sitio se cuenta con un indicador de navegación jerarquizada (breadcrumb) pero lamentablemente no está disponible en todo el sitio. A pesar de ello, consideramos que sí cumple el segundo criterio.

Sobre el tercer criterio podemos afirmar que el texto es legible y comprensible, aunque no se identifica al español como idioma primario desde la interfaz. El contenido además aparece de forma predecible y no se visualizan asistencias específicas a los usuarios. Por todo lo anterior, consideramos que la ISP cumple este criterio.

Sobre el último criterio, observamos muchas imágenes que no cuentan con texto alternativo y tampoco parece tener una estructura de encabezados coherente y jerárquica por lo que dificulta bastante la lectura mediante tecnologías de asistencia. La evaluación de la portada mediante WAVE arrojó 40 errores, la mitad relacionada a la falta de textos alternativos en las imágenes. Además mediante esta evaluación se encontraron 28 errores de contraste. Todo esto, nos hace determinar que el sitio no cumple con el cuarto criterio.

Cabe mencionar que se encontraron numerosas faltas de ortografía y errores de “tipeo”, lo que hace pensar en alguna carencia en el control de calidad del sitio institucional de la empresa

La ISP cumple con 3 criterios.

Media estrella
Tigo - Telefónica Celular del Paraguay S.A. (Telecel S.A.)
Accesibilidad
No
La compañía tiene un sitio web que cuenta con información perceptible y con alternativas equivalentes para mostrar contenido, propósito o función.
La ISP tiene un sitio web con una interfaz navegable, funcional y que cuenta con soporte para teclado.
La ISP tiene un sitio web con información comprensible, que aparece y opera de forma predecible.
El contenido en el sitio web de la compañía está diseñado contemplando una diversidad de herramientas (diferentes navegadores, tecnologías de apoyo y otros agentes de usuario).

Tigo tiene un sitio web cuyo documento de “Términos y condiciones” al igual que “Políticas de privacidad” se encuentran a un clic de distancia en el pie de página de su portada. Ambos documentos cuentan con textos cuyos tamaños pueden ser redimensionados y adaptados para no perder de vista información y puede ser presentado de diferentes maneras. Por ello, se consideramos que la compañía cumple el primer criterio.

Sobre el segundo criterio, vemos que el sitio se puede navegar con teclado y su portada funciona perfectamente. Se puede hacer desplazamiento y acercamiento con el teclado sin mayor inconveniente. Las personas tienen tiempo suficiente para leer y utilizar el contenido, no aparece contenido parpadeante que pueda causar convulsiones o reacciones físicas. Haría falta estructurar un poco mejor los encabezados y revisar el orden de tabulación. Por lo anterior, consideramos que el sitio cumple con el segundo criterio.

El texto del sitio web es legible y comprensible, y además el contenido aparece y opera de forma predecible. Por lo tanto, cumple con el tercer criterio.

La navegación del sitio con lector de pantalla se realizó sin mayores inconvenientes encontrando alternativas textuales en la amplia mayoría de los contenidos multimedia. Aplicando la herramienta WAVE, se encontraron solamente 3 errores, lo que significa un muy buen resultado. Un elemento a mejorar es el contraste, ya que WAVE arrojó 30 problemas a resolver. Otro tema a considerar es los textos alternativos de los íconos de la portada, por ejemplo “Centro de ayuda” y “Mi Tigo”. En ambos casos la propiedad “alt” aparece sin definir y hace que el lector diga “undefined”.

Mientras esos dos mismos iconos en el sitio de ayuda se leen correctamente. Alentamos a la empresa a continuar el trabajo de mejoramiento, incluyendo las etiquetas “alt” en todos los sitios. Dicho lo anterior, consideramos que la compañía cumple con el cuarto criterio.

La ISP cumple con los cuatro criterios.

Una estrella
VOX - Hola Paraguay S.A.
Accesibilidad
No
La compañía tiene un sitio web que cuenta con información perceptible y con alternativas equivalentes para mostrar contenido, propósito o función.
La ISP tiene un sitio web con una interfaz navegable, funcional y que cuenta con soporte para teclado.
La ISP tiene un sitio web con información comprensible, que aparece y opera de forma predecible.
El contenido en el sitio web de la compañía está diseñado contemplando una diversidad de herramientas (diferentes navegadores, tecnologías de apoyo y otros agentes de usuario).

En el sitio de la empresa, no se encontraron páginas con información sobre “Política de privacidad” ni “Términos y condiciones”. Se realizó una inspección manual y se utilizaron las herramientas de búsqueda avanzada de Google, lo cual permitió encontrar un documento PDF sobre términos y condiciones de uso del sitio, pero correspondiente a un subdominio, no a la web principal. Por lo tanto no cumple el primer criterio.

En lo que refiere al segundo criterio, en los momentos de escribir un informe, la web tiene una pequeña ventana emergente con título “Nos mudamos” que dificulta enormemente la navegación con teclado: provoca que se entre en un bucle que pasa de la barra de navegación al emergente. Dicho emergente aparece cada vez que se cambia de página dentro del sitio y si bien puede ser desactivada, hay que hacerlo cada vez. Además de ello el orden de tabulación con teclado no es adecuado. También hay que saltearse 3 botones emergentes que aparecen en la parte inferior derecha de la página. Por estos problemas, consideramos que no cumple el segundo criterio.

El tercer criterio tampoco se cumple, ya que no se identifica el idioma primario, y tampoco se brindan definiciones de palabras no comunes, ni a algunas palabras del idioma guaraní que se utilizan. No se brinda asistencia a los usuarios para ciertos desplegables no estándares, ni para prevenir, ni corregir errores. Hay páginas que directamente no están terminadas, aunque estén vinculadas en el menú principal del sitio.

El último criterio tampoco se cumple. El testeo con WAVE en la portada arrojó 6 errores, 31 problemas de contraste y 37 alertas. La navegación con tecnologías de asistencia falla debido al emergente, pero tampoco funciona bien con los botones emergentes de abajo a la derecha. Las marcas “alt” de las imágenes no son descriptivas. La estructura de encabezados tampoco es correcta.

La ISP no cumple ninguno de los criterios.

Estrella vacía

Conclusión

Al igual que años anteriores, existe una diferencia sustancial entre las proveedoras de internet nacionales y aquellas que son subsidiarias de matrices extranjeras. Desde el punto de vista general, la única ISP con un escueto cumplimiento de los criterios, a pesar de ser subsidiaria de una internacional, es Personal.

Con respecto a los puntajes globales, se verifica que Copaco ha puntuado mejor en ciertos aspectos, a diferencia de ediciones anteriores. Claro y Tigo mantienen la delantera en relación a las demás empresas estudiadas. Se estima que esta diferencia se debe a la existencia de estándares y prácticas promovidas por las empresas internacionales de comunicaciones.

En atención a los resultados de la investigación, se rescatan las siguientes conclusiones:

Política de privacidad y datos personales

Las empresas Claro y Tigo completan una estrella en este criterio puesto que el único elemento faltante en ambas políticas de privacidad es la enunciación de la temporalidad del almacenamiento de datos.

La firma Personal, si bien tiene una política de privacidad, la misma no es lo suficientemente clara y tiende a confundir al usuario en cuanto a la transferencia de datos.

Las empresas estatales, Vox y Copaco no tienen una política de privacidad como tal. No obstante, esta última ISP puntúa con cuarto de estrella en esta edición puesto que ha lanzado una política de privacidad clara y tajante en cuanto al uso de sus APPs oficiales. Si bien esta política no resulta del todo suficiente por no cubrir otros servicios ofrecidos, estimamos que ha sido un pequeño avance en la implementación de prácticas para la protección de datos.

Autorización judicial

En este criterio se estudiaron dos aspectos bien diferentes. El primero de ellos si es que la ISP se compromete a entregar datos sobre el contenido de la comunicaciones de un usuario solo con orden judicial y el segundo, si la ISP hace explícita semejante garantía también para los metadatos.

Se destaca que la única empresa que cumple con uno de los criterios es Tigo. Las demás empresas estudiadas hasta aquí cumplen ninguno de los dos aspectos. También se destaca que Claro y Tigo, en virtud a sus respectivas casas matrices —Millicom y America Movil— informan sobre la entrega de datos al gobierno y en dicho informe anual, sí brindan información sobre la entrega de datos sobre el contenido y la entrega de metadatos de sus usuarios y usuarias.

Otro aspecto a tener en cuenta, es la Política de Privacidad de Copaco, la cual cumpliría con el primer aspecto si no fuera porque el ámbito de aplicación de su política se limita al uso de las Apps oficiales.

Notificación a la persona usuaria

En este criterio tampoco ha logrado puntuación ninguna de las empresas telefónicas estudiadas. Ello, debido a que ninguna de las empresas se obliga a notificar al usuario la transferencia de datos a terceros, que no sean confidenciales.

Sin embargo, se ha notado que Claro al menos enuncia en su política de privacidad que, en el caso dado de una fusión con otra empresa o compra de activos, se notificará al usuario la transferencia de datos personales. Si bien creemos que aún resulta insuficiente puesto que existen otras situaciones en las cuales pueden darse la transferencia de datos a terceros, estimamos que ha sido un pequeño avance en la implementación de buenas prácticas.

Políticas de promoción y defensa de los derechos humanos

Como resultado de la investigación en este criterio, se verifica que Claro y Tigo nuevamente son abanderados en relación a las otras empresas estudiadas. Estas firmas han logrado la puntuación en dos de los cuatro aspectos de esta categoría, demostrando la perspectiva que tienen con res- pecto a la protección de datos como derecho humano.

Las empresas Vox y Personal solo puntúan por ser parte de organismos multisectoriales que promueven la implementación de buenas prácticas para la protección de los derechos humanos desde la perspectiva empresarial.

Transparencia

Como resultado de esta categoría, nuevamente vuelven a puntuar con media estrella solo Claro y Tigo puesto que fueron las únicas ISP que, a través de los informes de sustentabilidad de sus respectivas matrices extranjeras, informan sobre la colaboración con autoridades gubernamentales.

Guías para la solicitud de información personal

En esta categoría se ha identificado que la empresa Tigo cumple con 2 criterios que lo puntúan con media estrella. El cumplimiento de estos criterios lo hace en virtud al informe publicado por su casa matriz, Millicom. De la misma forma, encontramos que Claro puntúa con estos criterios, haciéndolo en virtud a la política de privacidad publicada por su casa matriz, America Movil.

Son las únicas que cuentan con procedimiento, lineamientos y protocolos de solicitud y accesible en la página de la casa matriz. No se ha encontrado resultados que logren puntuación para las demás empresas.

Accesibilidad

En esta categoría se reconoce el importante esfuerzo de Copaco, Personal y Tigo en mejorar la accesibilidad de sus ofertas de servicios TIC para promover la participación de personas con discapacidad en sus espacios virtuales.

Se observa que Tigo lidera con el cumplimiento total del criterio, y le siguen Copaco y Personal con medias estrellas. Por tanto, a diferencia de la investigación QDTD 2020, hay avances significativos para el cumplimiento de este criterio por parte de las ISP.

Recomendación

Política de privacidad y datos personales

Las recomendaciones que serán vertidas en este apartado, resultado de la investigación en esta edición, no distan mucho de las manifestadas en la edición del año 2020. Las ISP estudiadas todavía deben mejorar en la transparencia en el tratamiento de datos a sus clientes.

La transparencia en el citado tratamiento de datos comenzaría por la adecuación de las políticas de privacidad y datos personales a los estándares de economía digital que promueven los reportes de la OECD –desde este 2017, Paraguay es miembro del Centro de Desarrollo de la OECD86.

Autorización judicial

Las ISP deben establecer en sus correspondientes políticas de privacidad, explícitamente la forma de colaboración con el gobierno y la forma en entrega de datos de usuarios al estado.

Ello quiere decir, la especificación de si los datos serán entregados solo bajo orden judicial o cuáles serán los presupuestos requeridos para la colaboración con el gobierno. En ese sentido, recomendamos que las empresas hagan explícitas también las garantías aseguradas cuando de la entrega de los metadatos de las comunicaciones de usuarios a las autoridades.

Notificación a la persona usuaria

Es deseable que las ISP tengan una política pública de notificación a usuarios afectados por medidas de vigilancia. Si bien, pueden existir impedimentos legales para efectuar la notificación de manera previa o simultánea a la medida de vigilancia —por ejemplo por poner en riesgo la efectividad de una investigación o comprometer físicamente la integridad de una persona— no se detectó una política de notificación para cuando la medida se haya agotado o haya transcurrido un periodo de tiempo razonable después de la conclusión.

Políticas de promoción y defensa de los derechos humanos

Es deseable que las ISP formen parte de foros internacional y nacionales sobre los asuntos de Internet (Foro de Gobernanza de Internet) y participen en mecanismos para afrontar sus responsabilidades en materia de derechos humanos como US Global Compact (Pacto global – capítulo nacional o internacional) GSMA -Lamentamos la salida de Millicom de este espacio- y Telecommunications Industry Dialogue.

Asimismo, es clave la participación y opinión pública sobre acontecimientos que involucren a Internet para mejorar la transparencia en el cabildeo político, intereses que afectan a las personas usuarias.

Se recomienda que las ISP realicen de manera proactiva actividades, jornadas, publicaciones, campañas sobre la importancia de seguridad digital, derechos a la privacidad y protección de datos personales de sus usuarios y usuarias.

Se sugiere a las ISP a realizar litigios estratégicos en el Poder Judicial para fortalecer y mejorar las interpretaciones legales que se dan en artículos de normativas vigentes ambiguas o confusas que tienen que ver con los derechos humanos en Internet.

Transparencia

El informe de transparencia es un elemento positivo para el resguardo de los derechos humanos. Conocer el número global de solicitudes realizadas por las autoridades de persecución penal, estadísticas respecto a las solicitudes realizadas por otras autoridades, identificación de las instituciones solicitantes, tipos de solicitudes y razones que fueron otorgadas para hacer la solicitud, son claves para hacer un seguimiento de la vigilancia estatal de las comunicaciones. Un ejemplo a seguir es TELIA Company de Suecia y Finlandia, que además de clasificar y divulgar los datos de interceptación legal de datos de sus usuarios, también publica informes de sostenibilidad donde expone todos los casos en que ellos defendieron la privacidad y otros derechos humanos de sus usuarios.

Es importante recalcar que empresas intermediarias como Facebook, Google, Twitter divulgan en sus páginas web informes de transparencia donde se especifican las solicitudes de los gobiernos.

Guías para requerimiento de información personal

Será necesario que cada ISP elabore políticas públicas disponibles en la web que establezcan protocolos o guías sobre la actitud respecto a solicitudes de información de organismos gubernamentales o fuerzas de seguridad.

Accesibilidad

Se sugiere utilizar la guía de principios de la iniciativa Accesibilidad de la Web (WAI), parte del W3C (World Wide Web Consortium) para disponibilizar el contenido a través de un diseño e infraestructura que funcione para todos los usuarios, sin importar el hardware, software, idioma, ubicación, habilidad cognitiva o sensorial.