¿Quién defiende tus datos? 2022

“¿Quién defiende tus datos?” tiene como objetivo promover la transparencia y las mejores prácticas en los ámbitos de la privacidad y la protección de datos por parte de las empresas que proporcionan acceso a Internet en Paraguay. Se lleva a cabo anualmente y cada nueva evaluación va precedida de un examen de la metodología, de modo que los resultados puedan reflejar con mayor precisión el marco jurídico existente, considerar las cuestiones que vayan surgiendo y abarcar las buenas prácticas en las esferas de la privacidad y la protección de los datos personales.

Quiénes somos

TEDIC es una organización sin fines de lucro que defiende y promueve los derechos humanos en entornos digitales al tiempo que avanza la tecnología con foco en desigualdades de género y sus intersecciones.

Electronic Frontier Foundation (EFF) es una organización internacional sin fines de lucro líder en la defensa de los derechos digitales. Trabaja con tecnólogos, activistas y abogados para defender la libertad de expresión en línea, combatir la vigilancia ilegal y abogar por las personas usuarias y la innovación.

Introducción

El proyecto “Quién defiende tus datos” está inspirado en “Who has your back” de EFF, aunque la metodología difiere de la aplicada en EEUU, ya que la realidad legal de Paraguay es bien diferente a la estadounidense.

En su tercera edición, el proyecto evaluó a las mismas empresas de telefonía y servicios de Internet que se habían evaluado en 2020: COPACO, VOX, PERSONAL, TIGO y CLARO.

La investigación se centra en responder las preguntas sobre ¿Cómo ISP protegen nuestra privacidad? ¿Cómo protegen nuestros datos personales? ¿Existen procedimientos claros? ¿Participan de forma activa en la defensa de nuestros derechos en las mesas de debate público?

La pandemia de COVID-19 nos obligó a depender aún más de los medios tecnológicos. Es por ello la importancia de evaluar la tecnología y las telecomunicaciones con perspectiva de derechos de manera recurrente porque son fundamentales en nuestra actual forma de interacción y comunicación.

Este año, se realizó un pequeño ajuste para que los criterios puedan compararse a nivel regional. Se ha habilitado una tabla de resultados para poder comparar el rendimiento de las empresas en las categorías y criterios de evaluación, basados en: su compromiso público con el cumplimiento de la ley; sus adopciones de buenas prácticas favorables a las personas usuarias de servicio de Internet; su transparencia sobre las prácticas y políticas; la accesibilidad en sus plataformas webs, entre otros.

Cada empresa fue evaluada con base en las 7 categorías señaladas y justificadas a continuación, cuya elaboración tuvo en cuenta los requisitos de la ley vigente en Paraguay y las buenas prácticas internacionales en materia de protección de la privacidad y tratamiento de datos personales. Para esta evaluación, se analizaron los acuerdos de servicio, informes de sostenibilidad y otros documentos que estuvieron disponibles en los sitios web de las empresas hasta enero de 2022. También se evaluaron noticias de prensa y medios especializados en la materia.

Con los resultados preliminares en mano, TEDIC contactó con las empresas y solicitó revisión y comentarios sobre los mismos, con especial énfasis en las metodologías y resultados obtenidos hasta enero de 2022. Finalmente estos comentarios y opiniones de las empresas fueron ajustados en la conclusión y en los puntajes correspondientes.

Cuadro general comparativo

Metodología

La investigación analizó a las principales empresas de telefonía y proveedoras de Internet: Claro, Copaco, Personal, Tigo, y Vox.

De un total de 105 proveedoras de Internet en Paraguay, se tomó el criterio de analizar solamente las empresas que tienen un mercado superior a 15.000 clientes a nivel nacional. La cantidad de usuarios por cada empresa fue extraída del informe indicador de mercados expuesto por la CONATEL en su página web.

Las tecnologías de acceso predominantes en banda ancha fija por cable son actualmente las conexiones HFC, seguidas por las conexiones FTTX y finalmente las conexiones ADSL.

La investigación se centró en extraer datos cualitativos de las políticas de privacidad —entre otros documentos— de cada empresa mencionada y analizarlas en el marco de las siete categorías definidas previamente por esta investigación. Posteriormente, se puntuó a las empresas conforme a los criterios expuestos por categoría.

Las empresas analizadas en esta oportunidad son firmas que proveen a sus usuarios servicios de internet, telefonía, televisión y algunas de ellas también billeteras electrónicas, más conocidas como mobile financial services.

Estas entidades proveedoras de los servicios citados, con fines comerciales y para el cumplimiento de normas legales, se encargan de la recopilación de datos sobre sus usuarios, el tratamiento y el uso de esta información es responsabilidad de estas empresas.

En ese orden, las políticas de privacidad analizadas constituyen marcos rectores en el tratamiento de información recolectada sobre sus usuarios. Consiguientemente, las políticas de privacidad son enunciadas con el fin de que el usuario posea información sobre el tratamiento de los datos personales. Específicamente enuncian qué o cuales datos se recopilan sobre sus usuarios, cómo se recopilan estos datos, la finalidad, los límites, los derechos y su forma de ejercerlos. Finalmente, con quiénes se comparte y cúal es el proceso de compartimiento.

Los datos recolectados fueron extraídos de las políticas de privacidad enunciadas por cada empresa en su página web. No obstante ello, también se analizaron informes de sustentabilidad publicados en el año 2021, basados en datos del año 2020. Estos informes fueron divulgados por Millicom International Cellular SA y por America Movil, propietarios de Tigo y Claro respectivamente.

Así también, se analizaron noticias de prensa y se recolectaron datos de organismos sectoriales o multisectoriales que promuevan el respeto y la protección de los derechos humanos desde el ámbito empresarial, tales como Global Network Initiative o Telecommunications Industry Dialogue o GSMA.

Finalmente, analizados y contextualizados los datos recolectados, con la correspondiente justificación a los criterios expuestos, las empresas fueron puntuadas en cada una de las categorías que más adelante se enuncian.

Contexto Nacional

La metodología de la presente investigación tuvo en cuenta el contexto actual de nuestro país. A fin de imprimir un orden a las consideraciones, dividiremos en dos aspectos el presente apartado.

El primero de ellos son las estadísticas en cuanto al acceso al uso de servicios telecomunicacionales y las diferencias existentes con ediciones anteriores a esta investigación.

El segundo aspecto trata del análisis legal de las disposiciones vigentes relativas al uso y al tratamiento de datos en nuestro país.

Según el Plan Nacional de Telecomunicaciones Paraguay 2021-202520, elaborado por la Comisión Nacional de Telecomunicaciones —CONATEL— en octubre de 2021, el porcentaje de suscripciones a internet fijo aumentó 1% en el 2020, en comparación al año 2019.

En el punto 2.1.3.1.5 del Plan, conforme al gráfico expuesto, se verifica la cantidad de suscripciones a servicio de acceso a Internet en todo el país con relación a parámetros demográficos como población y cantidad de hogares. En términos de uso de internet por banda ancha fija, el porcentaje de penetración, por cada 100 habitantes, aumentó de 5,8% en el 2019 a 6,8% en el 2020.

Aumentar en 1% la suscripción por cada 100 habitantes equivale a aumentar el número de conexiones a Internet fijo en alrededor de 70.000 cuentas. Sin embargo, ello no es suficiente puesto que se observa, en el gráfico 2.1.3.1.7 del citado informe, que nuestro país se encuentra por debajo de la media del Mercosur y de los países de Sudamérica e inclusive si consideramos el promedio de América Latina y el Caribe (ALC).

Ahora bien, con respecto al análisis legal, tenemos variedad de normas vigentes y aplicables a la protección de datos personales en Paraguay.

En primer lugar nos referiremos al marco legal internacional entre los cuales se encuentra la Declaración Universal de los Derechos Humanos aprobada por la Asamblea General de las Naciones Unidas. 1948, la cual en su Art. 12 reza: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques” y Convención Americana de Derechos Humanos, ratificada por ley paraguaya 1/89, el cual en el artículo 11º especifica: “(...)2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. 3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques”.

En ese orden, no podemos dejar de mencionar la Jurisprudencia de la Corte Interamericana de Derechos Humanos en la cual se establece que al igual que los contenidos, también los metadatos asociados a una comunicación están protegidos por el derecho a la inviolabilidad de las comunicaciones y la igualdad en la protección legal a los datos y a los metadatos. Esta jurisprudencia es explicada con mayor alcance en el Criterio de evaluación nro. 1 y así también, utilizada para justipreciar a las empresas de telefonías estudiadas en la presente investigación.

En cuanto al marco legal nacional, tenemos en primer lugar a la Constitución Nacional, la cual en los artículos 25º, 33º y 36º establecen garantías a la libre expresión de la personalidad, el derecho a la intimidad y el derecho a la inviolabilidad del patrimonio documental y la comunicación privada.

Este último artículo gana especial relevancia al analizarlo en el marco del Criterio de evaluación N.º 2 “Autorización Judicial”. Conforme al Diario de sesiones sobre el artículo 36, N.° 14 29 de abril de 1992, entre los fundamentos del artículo 36º (En las palabras del Convencional Oscar Paciello) se encuentra “Una de las cuestiones más importantes de las que trata este artículo, es la relativa a las comunicaciones telefónicas, que realmente está contemplada y que constituye una permanente corruptela a la privacidad de las personas por obra de su ilegal interferencia. Esto, en otros países, se autoriza solamente en casos graves y excepcionales, pero, fundamentalmente, eso pertenece a la esfera privada, y es por eso, que este artículo, entre otras cosas vinculadas al patrimonio documental, considera que las comunicaciones telefónicas deben ser absolutamente privadas”

Siguiendo esa misma línea de interpretación, la ley 642/95 “De telecomunicaciones” establece en su Artículo 89: “Se establece la inviolabilidad del secreto de la correspondencia realizada por los servicios de telecomunicaciones y del patrimonio documental, salvo orden judicial. Esta disposición es aplicable tanto al personal de telecomunicaciones, como a toda persona o usuario que tenga conocimiento de la existencia o contenido de las mismas”. El Artículo 90 dispone, por su vez, que dicha inviolabilidad importa la prohibición de abrir, sustraer, interferir, cambiar texto, desviar curso, publicar, usar, tratar de conocer o facilitar que persona ajena al destinatario tenga conocimiento de la existencia o el contenido de comunicaciones confiadas a prestadores de servicios y la de dar ocasión para cometer tales actos.

Así también, la ley N° 4868. Comercio Electrónico contempla en su artículo 9o “Los Proveedores de Servicios de Intermediación consistentes en la prestación de servicios de acceso a Internet, estarán obligados, sin perjuicio de las disposiciones vigentes sobre los Servicios de Acceso a Internet y Transmisión de Datos establecidas por la Autoridad Competente, a: a) informar a sus clientes de forma permanente, fácil, directa y gratuita, sobre los diferentes medios de carácter técnico que aumenten los niveles de la seguridad de la información y permitan, entre otras cosas, la protección frente a virus informáticos y programas espía, y la restricción de los correos electrónicos no solicitados; b) informar sobre las herramientas existentes para el filtrado y restricción del acceso a determinados contenidos y servicios no deseados en Internet o que puedan resultar nocivos para la niñez y la adolescencia; Esta obligación de información se tendrá por cumplida si el correspondiente Proveedor incluye la información exigida en su página o sitio principal de Internet".

En ese mismo sentido, tenemos el DECRETO No 1.165/14 “POR EL CUAL SE APRUEBA EL REGLAMENTO DE LA LEY No 4868 DEL 26 DE FEBRERO DE 2013 “DE COMERCIO ELECTRÓNICO” el cual establece en su Art. 11.- “Deber de Informar y Protección de Datos. El proveedor de bienes y servicios por vía electrónica a distancia, debe poner a conocimiento del consumidor o usuario la finalidad y el tratamiento que se le dará a sus datos personales, conforme a la ley vigente relativa a la materia. Así mismo, debe comunicar el destinatario de los datos suministrados y el responsable de custodiar o almacenar la información proporcionada. El proveedor de bienes y servicios empleará sistemas seguros para evitar la pérdida, alteración y acceso de terceros no autorizados a los datos suministrados por el consumidor o usuario.”

Finalmente, tenemos las disposiciones del Código Procesal Penal, cuerpo normativo que en su artículo 200º establece “El juez podrá ordenar por resolución fundada, bajo pena de nulidad, la intervención de las comunicaciones del imputado, cualquiera sea el medio técnico utilizado para conocerlas. El resultado sólo podrá ser entregado al juez que lo ordenó, quien procederá según lo indicado en el artículo anterior; podrá ordenar la versión escrita de la grabación o de aquellas partes que considere útiles y ordenará la destrucción de toda la grabación o de las partes que no tengan relación con el procedimiento, previo acceso a ellas del Ministerio Público, del imputado y su defensor. La intervención de comunicaciones será excepcional”.

Este mismo cuerpo normativo dispone en el artículo 228º que “El juez y el Ministerio Público podrán requerir informes a cualquier persona o entidad pública o privada. Los informes se solicitarán verbalmente o por escrito, indicando el procedimiento en el cual se requieren, el nombre del imputado, el lugar donde debe ser entregado el informe, el plazo para su presentación y las consecuencias previstas para el incumplimiento del deber de informar.”

De buenas a primeras, estos últimos dos artículos parecieran no contradecirse. No obstante, la Sala Penal de la Corte Suprema de Justicia ha dictado el Acuerdo y Sentencia CSJ 674/2010, resolución en la que interpretó que el acceso -sin orden judicial- a información tal como titulares de línea, la fecha, hora, número de teléfono entrante y saliente, y el lugar geográfico no implica la vulneración del derecho a la inviolabilidad a la comunicación.

La citada interpretación se dió a pesar de que el sistema normativo paraguayo establece la excepcionalidad en la intervención de las comunicaciones y la protección de que personas ajenas no tengan conocimiento tanto del contenido como de la existencia de una comunicación. También, a pesar de la jurisprudencia de la Corte Interamericana, en la cual se establece que la protección de la vida privada en relación a las comunicaciones alcanza también los datos y metadatos a ella asociados, que constituyen parte integral de la comunicación, tanto como el contenido (aquellos citados en el párrafo precedente).

En estos términos se encuentra el marco jurídico legal nacional en materia de protección de datos personales. Como se verifica, la normativa es difusa y existen lagunas que con el marco legal actual no están cubiertas. No obstante, también fueron usadas como referencias en los criterios de evaluación que a continuación se explican.

Criterios de evaluación

En la presente investigación, la evaluación consta de siete criterios, cada uno con sus correspondientes parámetros que permiten analizar la medida en que la empresa cumple con el criterio en cuestión.

Los criterios sobre «política de privacidad» y «requerimiento de autorización judicial» son los únicos que contemplan legislación aplicable actualmente, para el resto de los criterios no existe un marco normativo que aborde todos los parámetros evaluados. En tal sentido, los criterios examinarán la implementación de buenas prácticas que se han ido desarrollando a nivel internacional —principalmente a partir de la iniciativa de la EFF— y que las empresas están dispuestas a incorporar a sus políticas.

Para esta evaluación se revisaron los contratos de prestación de servicios, informes de sostenibilidad y otros documentos que estaban disponibles en los sitios web de las empresas hasta el 10 de marzo de 2022. También buscamos noticias que circularon en la prensa y los medios especializados. También revisamos el informe de Quién Defiende tus datos de años anteriores para verificar actualizaciones y avances cualitativos.

La primera etapa de la evaluación se llevó a cabo una evaluación preliminar con el fin de obtener un primer puntaje para cada una de las empresas y comprender en qué parámetros de cada criterio debe mejorar cada una para alcanzar una mayor puntuación. Este proceso duró 3 meses y abarcó hasta el 5 de enero del 2022.

Luego de la evaluación preliminar TEDIC se puso en contacto con las empresas para solicitarles una reunión, con el propósito de explicar en qué consiste el estudio y presentar los resultados obtenidos, para que de esta manera las empresas pudieran brindar información precisa sobre su trabajo por el resguardo de la privacidad de las personas usuarias, así como también complementar la información que se encuentra disponible públicamente o incluso aclarar cualquier ambigüedad que pudiera surgir a partir de la misma.

Todas las empresas fueron contactadas vía email. Este primer paso es fundamental para conocer la perspectiva de la empresa y dar la oportunidad para esclarecer cualquier tipo de dudas respecto a sus políticas de privacidad.

A continuación se desarrollan cada uno de los criterios:

1. Políticas de privacidad y protección de datos personales

La ISP cuenta con una política de privacidad y de protección de datos personales, utilizando un lenguaje claro y libre de tecnicismos. Informa a las personas sobre la recolección, uso, almacenamiento, procesamiento de sus datos personales. En particular, este instrumento debe ser visto como una oportunidad para informar de manera clara a las personas usuarias respecto de sus derechos y no debería ser visto como un mero formalismo legal. La ISP también cuenta con políticas de privacidad frente a las autoridades gubernamentales. La misma describe cual es el procedimiento legal para entregar a la justicia los datos de sus usuarios y usuarias en el caso que haya una investigación criminal bajo solicitud del juez competente.

Al respecto, tanto la Constitución de la República en su artículo 33 —Sobre la intimidad de las personas— como los Tratados Internacionales protegen el derecho a la intimidad como uno de los pilares de las democracias modernas. Asimismo organismos internacionales de protección de Derechos Humanos han señalado que las empresas deben establecer e implementar condiciones de servicio que sean transparentes, claras, accesibles, así como apegarse a las normas y principios internacionales de Derechos Humanos; incluyendo las condiciones en las que pueden generarse interferencias con el derecho a la privacidad de las personas usuarias.29. Es indispensable que la ISP cuente con políticas que cumplan estos protocolos a la hora de entregar información personal y datos personales a las autoridades.

Por otra parte, los metadatos forman parte de la comunicación y tienen el carácter de inviolabilidad tal como se desprende del artículo 36 de la Constitución Nacional:

“No podrán ser examinados, reproducidos, interceptados o secuestrados sino por orden judicial para casos específicamente previstos en la ley...”.

Las empresas deben almacenar los metadatos de las personas usuarias por un mínimo de 6 meses según el artículo 10 de la ley de Comercio Electrónico 4868/2013. En este escenario, es imprescindible que las ISPs describan y den a conocer qué información personal está siendo retenida, así como las medidas para salvaguardar dichos datos ante posibles ataques o riesgos que puedan afectar dicha información.

El art. 10 de la ley 4858/2013 dice:

“Los Proveedores de Servicios de Intermediación y los Proveedores de Servicios de Alojamiento de Datos deberán almacenar los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio, por un período mínimo de 6 (seis) meses, en los términos establecidos en este artículo. Para el cumplimiento de lo dispuesto en este artículo, los datos serán almacenados únicamente a los efectos de facilitar la localización del equipo terminal empleado por la persona usuaria para la transmisión de la información.

Los Proveedores de Servicios de Alojamiento de Datos deberán almacenar sólo aquéllos datos imprescindibles para identificar el origen de los datos alojados y el momento en que se inició la prestación del servicio.

No podrán utilizar los datos almacenados para fines distintos a los que estén permitidos por la ley, y deberán adoptar medidas de seguridad apropiadas para evitar su pérdida o alteración y el acceso no autorizado a los mismos”.

En un caso contencioso en el que se condenó al Brasil por el uso ilegal de escuchas telefónicas en un proceso penal, la Corte Interamericana señaló que el derecho a la privacidad protege tanto al contenido de la comunicación electrónica como a otros datos propios del proceso técnico de la comunicación, como ser los metadatos o datos de tráfico. Esta jurisprudencia vinculante a la jurisdicción nacional paraguaya, sitúa a estos datos en una instancia de protección constitucional y de derechos humanos.

Por otro lado, la ley 4868/2013 de Comercio Electrónico y su decreto reglamentario 1165/14 obliga compulsivamente a informar y proteger los datos de las personas usuarias:

Art. 9 de la ley 4868/2013: “Obligación de los Proveedores de Servicios de Intermediación. Los Proveedores de Servicios de Intermediación consistentes en la prestación de servicios de acceso a Internet, estarán obligados, sin perjuicio de las disposiciones vigentes sobre los Servicios de Acceso a Internet y Transmisión de Datos establecidas por la Autoridad Competente, a: a) informar a sus clientes de forma permanente, fácil, directa y gratuita, sobre los diferentes medios de carácter técnico que aumenten los niveles de la seguridad de la información y permitan, entre otras cosas, la protección frente a virus informáticos y programas espía, y la restricción de los correos electrónicos no solicitados; b) informar sobre las herramientas existentes para el filtrado y restricción del acceso a determinados contenidos y servicios no deseados en Internet o que puedan resultar nocivos para la niñez y la adolescencia; Esta obligación de información se tendrá por cumplida si el correspondiente Proveedor incluye la información exigida en su página o sitio principal de Internet. a) suspender el acceso a un contenido o servicio cuando un órgano competente, en ejercicio de las competencias que legalmente tenga atribuidas, requiera que se interrumpa la prestación de un servicio o que se retire algún contenido que vulnere lo dispuesto en el Artículo 6°”.

Art. 11 del reglamento 1165/14: “Deber de Informar y Protección de Datos. El proveedor de bienes y servicios por vía electrónica a distancia, debe poner a conocimiento del consumidor o personas usuarias la finalidad y el tratamiento que se le daría sus datos personales, conforme a la ley vigente relativa a la materia. Así mismo, debe comunicar el destinatario de los datos suministrados y el responsable de custodiar o almacenar la información proporcionada. El proveedor de bienes y servicios empleará sistemas seguros para evitar la pérdida, alteración y acceso de terceros no autorizados a los datos suministrados por el consumidor o la persona usuaria.”

La Institución garante y responsable del cumplimiento de la ley de Comercio Electrónico es el Ministerio de Industria y Comercio, que tiene como atribución la coordinación de inspecciones y controles a los distintos proveedores de Internet. Inclusive debe aplicar sanciones por las faltas no previstas específicamente en la ley de defensa del consumidor y establecidas en la ley de Comercio Electrónico.

Por último, destacamos que además de la exposición de dicha información en sus contratos u otros documentos, también se pretende valorar la publicación de protocolos específicos destinados a la entrega de datos a los agentes del Estado, que se ocupan de determinar cuáles son las formas y condiciones de acceso a los datos personales en el ámbito de las investigaciones o actuaciones equivalentes. La existencia de protocolos claros y públicos, como hacen varias empresas tecnológicas, es una medida importante del compromiso público de la empresa con la privacidad y la protección de los datos de sus usuarios y usuarias. Nos enfocaremos específicamente en ello en el criterio 6 de esta investigación.

En este criterio, por tanto, al tratarse de una cuestión de controversia jurídica, la cuestión se desarrolla en diferentes puntos, que buscan discriminar diferentes niveles de protección, claridad y compromiso en cuanto al acceso a los datos para las investigaciones. Los criterios tratan de reflejar el compromiso de transparencia de la empresa con respecto a las autoridades consideradas competentes, las disputas normativas actuales y las limitaciones establecidas en la legislación (en particular en lo que respecta a cuya investigación estaría exenta de la necesidad de una orden judicial de acceso a los datos del registro) acceso a los datos del registro, además del compromiso expresado en sus directivas sobre datos de localización, conexión registros de conexión y la publicación de protocolos para la entrega de datos en las investigaciones judiciales.

2. Autorización judicial

La vigilancia sin consentimiento del afectado conlleva riesgos de abusos por las autoridades, por ello resulta imprescindible la autorización de un juez competente. Para solicitar información personal debe haber una autorización del juez competente tal como lo expresan las normas penales y la Constitución Nacional del Paraguay. La interceptación de la comunicación privada de las personas tiene carácter excepcional con pena de nulidad en el juicio. Este criterio implica verificar si la ISP cuenta con políticas que cumplan los protocolos para entregar la información a la autoridad judicial. Es decir, detalles del expediente penal, número de causa, datos de la persona, el tipo base penal que incurre el investigado, argumentación legal y firma del juez de la causa.

El poder judicial, tanto en los litigios individuales como en los colectivos, es un espacio importante para la defensa y consolidación de los derechos de las personas usuarias frente a los abusos e ilegalidades. Teniendo esto en cuenta, hemos tratado de evaluar la posición de las empresas en los juicios sobre privacidad y protección de datos.

La Constitucional Nacional en el artículo 36 sobre la inviolabilidad de las comunicaciones obliga a las autoridades del Estado a solicitar información a las ISP sólo a través de una orden judicial debidamente justificada.

3. Notificación a la persona usuaria

La ISP deberá contar con una política de notificación a las personas usuarias afectadas por medidas de vigilancia estatal, en el primer momento permitido por la ley. Deberá demostrar que han litigado los impedimentos legales o regulatorios para llevar a cabo la notificación y publicar de forma accesible que ha promovido mecanismos de notificación a la persona usuaria al congreso o a otros entes regulatorios.

Cuando se notifica a las personas usuarias que sus datos personales o registros de conexión a Internet han sido solicitados por las autoridades administrativas o judiciales se proporcionan condiciones de amplia defensa contra los abusos e irregularidades.

El impacto de las notificaciones en la garantía de una defensa efectiva y amplia en un Estado de Derecho no es nuevo. A la luz del principio constitucional del debido proceso, muchas leyes establecen el deber de notificar a los afectados las medidas que afectan a sus derechos. Por su parte el Código Procesal Penal en su artículo 151 y Resolución de la Corte Suprema de Justicia de Paraguay disponen la obligación de notificar a la persona, cuando el Ministerio Público le ha imputado por un supuesto hecho punible.

En el contexto de las solicitudes de datos, las proveedoras de servicios de Internet adquieren un papel fundamental en la protección de garantías procesales para las personas usuarias afectadas. Esto se debe a que la notificación a las personas usuarias por parte de las empresas, permita a la persona usuaria, en la primera oportunidad, impugnar las solicitudes ilegales - tanto en forma de órdenes judiciales infundadas, así como las solicitudes de las autoridades administrativas que carecen de competencia y fundamento suficientes.

Sin notificación, la persona usuaria depende de que las propias empresas impugnen contra las solicitudes que consideran abusivas. Si son notificados por las empresas, las personas usuarias tienen la posibilidad de defenderse de posibles violaciones de su intimidad.

Esta práctica es una obligación legal en varias jurisdicciones. En Estados Unidos, por ejemplo, 8 USC § 2705(B) establece el requisito de notificación previa al cliente cuando los datos se solicitan por una citación administrativa autorizada por un gran jurado federal o estatal o una orden judicial. La orden judicial, sin embargo el tribunal puede exigir que la notificación se retrase hasta 90 días si hay razones para creer que el servicio puede interferir con la investigación.

Este derecho de notificación a las personas afectadas por medidas de vigilancia ha sido reconocido por especialistas en Derechos Humanos en Internet y fue plasmado en un documento llamado “Necesario y proporcionados” y dice lo siguiente:

“Es imposible que una persona impugne efectivamente la interferencia de un gobierno en su vida privada si no sabe si ha sido víctima. En líneas generales, la falta de transparencia 17 respecto a la aplicación de las leyes que rigen la vigilancia encubierta puede impedir el control democrático significativo de esas leyes”.

Por otro lado, la Relatoría Especial Sobre Derechos Humanos de la Organización de las Naciones Unidas expresó su opinión al respecto:

“Los individuos deben contar con el derecho a ser notificados que han sido sujetos de medidas de vigilancia de sus comunicaciones o que sus comunicaciones han sido accedidas por el Estado. Reconociendo que la notificación previa o concurrente puede poner en riesgo la efectividad de la vigilancia, los individuos deben ser notificados, en cualquier caso, una vez que la vigilancia ha sido completada y se cuenta con la posibilidad de buscar la reparación que proceda respecto del uso de medidas de vigilancia de las comunicaciones”.

Es decir, la notificación podría no llevarse a cabo de inmediato en tanto se podría frustrar el éxito de una investigación, pero debería al menos efectuarse cuando no esté en riesgo una investigación, no exista riesgo de fuga, de destrucción de evidencia o el conocimiento no genere un riesgo inminente de peligro a la vida o integridad de alguna persona. Actualmente existe un vacío legal sobre este punto en el Código Procesal Penal respecto a la protección de los Derechos Humanos en el marco del derecho a la intimidad y un juicio justo. Esto no invalida a la ISP del deber de actuar de buena fe para salvaguardar la intimidad de sus usuarios y usuarias, notificándoles sin poner en peligro el objetivo de la investigación penal.

En casos adversos a la implementación de la política de notificación de la empresa, la ISP deberá combatir judicialmente los impedimentos legales para notificar a las personas usuarias afectadas, al menos, luego de que haya transcurrido un tiempo razonable para que no se frustre el objeto de la medida de vigilancia. Otra medida, sería llevar a cabo acciones de incidencia legislativa o regulatoria para la implementación de mecanismos legales de notificación.

En el contexto de las solicitudes de datos personales, las proveedoras de Internet adquieren un papel esencial en la protección de las garantías procesales de las personas usuarias afectadas. Es decir, la notificación por la empresa permite a la persona usuaria desafiar las solicitudes ilegales: tanto órdenes judiciales sin fundamento, como solicitudes de las autoridades administrativas sin competencia ni justificación. En la situación actual, la persona usuaria depende de los retos realizados por las propias empresas contra las peticiones que consideran abusivas. Si la persona usuaria es notificada, obtiene a la mayor brevedad, la capacidad de defenderse de posibles violaciones de su privacidad.

Con esto en mente, creemos que es importante fomentar la práctica de la notificación a la persona usuaria a través del proyecto “¿Quién defiende tus datos?” (WHYB). En los casos en que las solicitudes de datos no van acompañadas de la obligación de confidencialidad, la notificación es permitida por la ley paraguaya (dada la ausencia de prescripción legal en contrario). La posibilidad de notificación de la persona usuaria puede ser necesaria, no sólo en los casos de solicitudes de datos en procesos civiles, sino también en relación con las solicitudes hechas por otras agencias gubernamentales, tales como el Hacienda o CONATEL. Se fortalece la posibilidad de desafío legal a la presentación de pruebas irrelevantes a los hechos del caso.

En esta edición, volvemos a poner a esta categoría como una “prima”, porque la notificación no es ni una obligación legal impuesta a las empresas ni una práctica generalizada en Paraguay. Es una medida vista como innovadora y en cierta medida costosa (debido a que requiere personal dedicado a las notificaciones). Por estas razones, su adopción revelaría un compromiso especial con el avance de la protección de los derechos de las personas usuarias, especialmente digno de ser observado. La notificación a la persona usuaria, a la primera oportunidad legalmente posible, y preferiblemente antes de la divulgación de los datos, colabora con los principios de defensa legal, y fomenta una cultura de protección de la privacidad.

4. Políticas de promoción y defensa de los derechos humanos

Es determinante para el respeto y protección de los derechos humanos de las personas usuarias y para generar confianza en torno al ecosistema de Internet el compromiso público y posicionamientos sobre políticas públicas, legislaciones nacionales que afecten la tecnología con perspectiva de Derechos Humanos.

En este parámetro se analiza si la ISP tiene un posicionamiento institucional público en el que haya reconocido sus responsabilidades de respeto y protección de derechos humanos, incluyendo el derecho a la privacidad. Para este efecto, se analiza si existe algún posicionamiento que cumpla con las características señaladas por el Principio 16 de los Principios Rectores sobre las Empresas y los Derechos Humanos aprobados por el Consejo de Derechos Humanos de la Organización de las Naciones Unidas33 a través de la resolución 17/4, del 16 de junio de 2011 a saber:

“Compromiso Político 16. Para asumir su responsabilidad de respetar los derechos humanos, las empresas deben expresar su compromiso con esta responsabilidad mediante una declaración política que:

• a. Sea aprobada al más alto nivel directivo de la empresa;
• b. Se base en un asesoramiento especializado interno y/o externo;
• c. Establezca lo que la empresa espera, en relación con los derechos humanos, de su personal, sus socios y otras partes directamente vinculadas con sus operaciones, productos o servicios;
• d. Se haga pública y se difunda interna y externamente a todo el personal, los socios y otras partes interesadas;
• e. Quede reflejada en las políticas y losprocedimientos operacionales necesarios para inculcar el compromiso asumido a nivel de toda la empresa.”

El posicionamiento político debe ser público y reflejar claramente el compromiso de la empresa de respetar los derechos humanos en el marco de sus actividades empresariales.

En este criterio se evalúa si la ISP ha participado, de manera individual o colectiva, en procesos públicos de incidencia legislativa o ante otros entes regulatorios en defensa del derecho a la privacidad, así como se ha defendido la privacidad de sus usuarios por la vía judicial.

También se evalúa, si participa en algún mecanismo sectorial o multi-sectorial para la promoción, respeto y protección de derechos humanos en el ámbito de sus responsabilidades empresariales (Ejemplos: Global Network Initiative o Telecommunications Industry Dialogue).

Por otro lado, es esencial que la ISP cuente con políticas de participación en las discusiones locales e Internacionales sobre el ecosistema de Internet; los Foros de Gobernanza de Internet (IGF)4 son espacios de debate público propiciados por Naciones Unidas, donde se discutan de forma abierta los principios compartidos, normas, reglas, procesos de toma de decisión y programas, que modelan la evolución y el uso de Internet.

5. Transparencia

El Principio 21 de los Principios Rectores sobre las Empresas y los Derechos Humanos de Naciones Unidas, exige buenas prácticas a las empresas sobre transparencia desde la perspectiva de los Derechos Humanos.

Los informes de transparencia del sector TIC en relación al impacto de la privacidad de las personas usuarias han sido más frecuentes en los últimos años. La publicación de un informe de transparencia sobre las solicitudes de acceso a datos por parte de autoridades de seguridad y justicia debe proveer suficiente información para evaluar el contenido y el alcance de las medidas de vigilancia por parte de las autoridades.

Los informes de transparencia son declaraciones emitidas por empresas que contienen una variedad de estadísticas relacionadas con las solicitudes de datos. Las empresas de Internet de todo el mundo han adoptado la práctica de publicar informes de transparencia activa para informar cómo y cuándo cooperan con el gobierno, en general, porque lo exige la ley, mediante la divulgación de información que puede ser utilizada como prueba en los casos civiles y penales. Esta ya es una buena práctica establecida entre empresas de contenidos como Google, Facebook, Twitter y Microsoft y los proveedores como Vodafone, Verizon y Telefónica.

Este criterio evalúa la publicación de estadísticas respecto a cuántas solicitudes de información han sido recibidas y cumplidas, así como la inclusión de detalles sobre el tipo de solicitudes, instituciones solicitantes y la motivación y fundamentación de las autoridades.

6. Guías para requerimiento de información personal

La ISP cuenta con lineamientos, guías o protocolos orientados a las fuerzas de seguridad y otros organismos gubernamentales que expliquen cómo deben solicitar la información personal de los clientes, cuáles son las condiciones para la entrega de dicha información personal.

Este parámetro se diferencia de la publicación de informes de transparencia ya que los informes de transparencia apelan a datos estadísticos de solicitudes recibidas y cumplidas mientras que en los lineamientos analizados buscan determinar cómo cada empresa establece la forma en la que las fuerzas policiales o de investigación deben solicitarle información y, en su caso, qué especificaciones deben cumplir a dicho efecto.

Además, se analiza si la empresa, al momento de establecer sus propias reglas para las autoridades locales, tiene en cuenta el contexto nacional o si los lineamientos preestablecidos responden a procedimientos foráneos, y en tal caso corroborar si los mismos son más rigurosos a favor de la privacidad de sus usuarios y usuarias.

Algunos buenos ejemplos son la de Telefónica, Entel, VTR y Comcast, que cuentan con una lista de requerimientos y procedimientos internos globales ante solicitudes de las autoridades locales.

7. Accesibilidad

La accesibilidad de la información encontrada en la web —no importa la discapacidad o diversidad funcional de las personas usuarias— es fundamental para la ampliación del compromiso con la transparencia y el respeto de los derechos humanos. La convención de los derechos de personas con discapacidad42, a través de su artículo 9, reconoce al acceso a las tecnologías de la información y comunicación, incluyendo a la web, como un derecho humano básico.

La accesibilidad de la Web consiste en disponibilizar el contenido a través de un diseño e infraestructura que funcione para todas las personas usuarias, sin importar el hardware, software, idioma, ubicación, habilidad cognitiva o sensorial. Esto remueve las barreras a la comunicación e interacción que muchas personas enfrentan de manera cotidiana, y contribuye a que los espacios digitales también sean más inclusivos para el uso de un rango diverso de las personas usuarias.

Que las proveedoras de Internet en Paraguay cuenten con datos que sean accesibles es parte de ampliar el compromiso con la transparencia y respetar los derechos humanos. El diseño de sitios y herramientas web que sean accesibles es crucial para empresas proveedoras de Internet, ya que habilita a que más personas puedan usar e informarse sobre sus productos y servicios de manera hábil y satisfactoria.

Desde un enfoque constructivo, esperamos que esta evaluación sirva como guía para sensibilizar, concientizar y generar mejoras en la accesibilidad web. Las empresas también deben promover la participación de las personas con discapacidad en la oferta de servicios TIC, asegurando su derecho a la plena participación ciudadana y social.

Para este criterio, se evalúan los sitios web oficiales de las proveedoras de Internet utilizando la guía de principios de Accesibilidad43 de la Web Accessibility Initiative (WAI), parte del W3C (World Wide Web Consortium).

Reporte por cada ISP

Conclusión

Al igual que años anteriores, existe una diferencia sustancial entre las proveedoras de internet nacionales y aquellas que son subsidiarias de matrices extranjeras. Desde el punto de vista general, la única ISP con un escueto cumplimiento de los criterios, a pesar de ser subsidiaria de una internacional, es Personal.

Con respecto a los puntajes globales, se verifica que Copaco ha puntuado mejor en ciertos aspectos, a diferencia de ediciones anteriores. Claro y Tigo mantienen la delantera en relación a las demás empresas estudiadas. Se estima que esta diferencia se debe a la existencia de estándares y prácticas promovidas por las empresas internacionales de comunicaciones.

En atención a los resultados de la investigación, se rescatan las siguientes conclusiones:

Política de privacidad y datos personales

Las empresas Claro y Tigo completan una estrella en este criterio puesto que el único elemento faltante en ambas políticas de privacidad es la enunciación de la temporalidad del almacenamiento de datos.

La firma Personal, si bien tiene una política de privacidad, la misma no es lo suficientemente clara y tiende a confundir al usuario en cuanto a la transferencia de datos.

Las empresas estatales, Vox y Copaco no tienen una política de privacidad como tal. No obstante, esta última ISP puntúa con cuarto de estrella en esta edición puesto que ha lanzado una política de privacidad clara y tajante en cuanto al uso de sus APPs oficiales. Si bien esta política no resulta del todo suficiente por no cubrir otros servicios ofrecidos, estimamos que ha sido un pequeño avance en la implementación de prácticas para la protección de datos.

Autorización judicial

En este criterio se estudiaron dos aspectos bien diferentes. El primero de ellos si es que la ISP se compromete a entregar datos sobre el contenido de la comunicaciones de un usuario solo con orden judicial y el segundo, si la ISP hace explícita semejante garantía también para los metadatos.

Se destaca que la única empresa que cumple con uno de los criterios es Tigo. Las demás empresas estudiadas hasta aquí cumplen ninguno de los dos aspectos. También se destaca que Claro y Tigo, en virtud a sus respectivas casas matrices —Millicom y America Movil— informan sobre la entrega de datos al gobierno y en dicho informe anual, sí brindan información sobre la entrega de datos sobre el contenido y la entrega de metadatos de sus usuarios y usuarias.

Otro aspecto a tener en cuenta, es la Política de Privacidad de Copaco, la cual cumpliría con el primer aspecto si no fuera porque el ámbito de aplicación de su política se limita al uso de las Apps oficiales.

Notificación a la persona usuaria

En este criterio tampoco ha logrado puntuación ninguna de las empresas telefónicas estudiadas. Ello, debido a que ninguna de las empresas se obliga a notificar al usuario la transferencia de datos a terceros, que no sean confidenciales.

Sin embargo, se ha notado que Claro al menos enuncia en su política de privacidad que, en el caso dado de una fusión con otra empresa o compra de activos, se notificará al usuario la transferencia de datos personales. Si bien creemos que aún resulta insuficiente puesto que existen otras situaciones en las cuales pueden darse la transferencia de datos a terceros, estimamos que ha sido un pequeño avance en la implementación de buenas prácticas.

Políticas de promoción y defensa de los derechos humanos

Como resultado de la investigación en este criterio, se verifica que Claro y Tigo nuevamente son abanderados en relación a las otras empresas estudiadas. Estas firmas han logrado la puntuación en dos de los cuatro aspectos de esta categoría, demostrando la perspectiva que tienen con res- pecto a la protección de datos como derecho humano.

Las empresas Vox y Personal solo puntúan por ser parte de organismos multisectoriales que promueven la implementación de buenas prácticas para la protección de los derechos humanos desde la perspectiva empresarial.

Transparencia

Como resultado de esta categoría, nuevamente vuelven a puntuar con media estrella solo Claro y Tigo puesto que fueron las únicas ISP que, a través de los informes de sustentabilidad de sus respectivas matrices extranjeras, informan sobre la colaboración con autoridades gubernamentales.

Guías para la solicitud de información personal

En esta categoría se ha identificado que la empresa Tigo cumple con 2 criterios que lo puntúan con media estrella. El cumplimiento de estos criterios lo hace en virtud al informe publicado por su casa matriz, Millicom. De la misma forma, encontramos que Claro puntúa con estos criterios, haciéndolo en virtud a la política de privacidad publicada por su casa matriz, America Movil.

Son las únicas que cuentan con procedimiento, lineamientos y protocolos de solicitud y accesible en la página de la casa matriz. No se ha encontrado resultados que logren puntuación para las demás empresas.

Accesibilidad

En esta categoría se reconoce el importante esfuerzo de Copaco, Personal y Tigo en mejorar la accesibilidad de sus ofertas de servicios TIC para promover la participación de personas con discapacidad en sus espacios virtuales.

Se observa que Tigo lidera con el cumplimiento total del criterio, y le siguen Copaco y Personal con medias estrellas. Por tanto, a diferencia de la investigación QDTD 2020, hay avances significativos para el cumplimiento de este criterio por parte de las ISP.

Recomendación

Política de privacidad y datos personales

Las recomendaciones que serán vertidas en este apartado, resultado de la investigación en esta edición, no distan mucho de las manifestadas en la edición del año 2020. Las ISP estudiadas todavía deben mejorar en la transparencia en el tratamiento de datos a sus clientes.

La transparencia en el citado tratamiento de datos comenzaría por la adecuación de las políticas de privacidad y datos personales a los estándares de economía digital que promueven los reportes de la OECD –desde este 2017, Paraguay es miembro del Centro de Desarrollo de la OECD86.

Autorización judicial

Las ISP deben establecer en sus correspondientes políticas de privacidad, explícitamente la forma de colaboración con el gobierno y la forma en entrega de datos de usuarios al estado.

Ello quiere decir, la especificación de si los datos serán entregados solo bajo orden judicial o cuáles serán los presupuestos requeridos para la colaboración con el gobierno. En ese sentido, recomendamos que las empresas hagan explícitas también las garantías aseguradas cuando de la entrega de los metadatos de las comunicaciones de usuarios a las autoridades.

Notificación a la persona usuaria

Es deseable que las ISP tengan una política pública de notificación a usuarios afectados por medidas de vigilancia. Si bien, pueden existir impedimentos legales para efectuar la notificación de manera previa o simultánea a la medida de vigilancia —por ejemplo por poner en riesgo la efectividad de una investigación o comprometer físicamente la integridad de una persona— no se detectó una política de notificación para cuando la medida se haya agotado o haya transcurrido un periodo de tiempo razonable después de la conclusión.

Políticas de promoción y defensa de los derechos humanos

Es deseable que las ISP formen parte de foros internacional y nacionales sobre los asuntos de Internet (Foro de Gobernanza de Internet) y participen en mecanismos para afrontar sus responsabilidades en materia de derechos humanos como US Global Compact (Pacto global – capítulo nacional o internacional) GSMA -Lamentamos la salida de Millicom de este espacio- y Telecommunications Industry Dialogue.

Asimismo, es clave la participación y opinión pública sobre acontecimientos que involucren a Internet para mejorar la transparencia en el cabildeo político, intereses que afectan a las personas usuarias.

Se recomienda que las ISP realicen de manera proactiva actividades, jornadas, publicaciones, campañas sobre la importancia de seguridad digital, derechos a la privacidad y protección de datos personales de sus usuarios y usuarias.

Se sugiere a las ISP a realizar litigios estratégicos en el Poder Judicial para fortalecer y mejorar las interpretaciones legales que se dan en artículos de normativas vigentes ambiguas o confusas que tienen que ver con los derechos humanos en Internet.

Transparencia

El informe de transparencia es un elemento positivo para el resguardo de los derechos humanos. Conocer el número global de solicitudes realizadas por las autoridades de persecución penal, estadísticas respecto a las solicitudes realizadas por otras autoridades, identificación de las instituciones solicitantes, tipos de solicitudes y razones que fueron otorgadas para hacer la solicitud, son claves para hacer un seguimiento de la vigilancia estatal de las comunicaciones. Un ejemplo a seguir es TELIA Company de Suecia y Finlandia, que además de clasificar y divulgar los datos de interceptación legal de datos de sus usuarios, también publica informes de sostenibilidad donde expone todos los casos en que ellos defendieron la privacidad y otros derechos humanos de sus usuarios.

Es importante recalcar que empresas intermediarias como Facebook, Google, Twitter divulgan en sus páginas web informes de transparencia donde se especifican las solicitudes de los gobiernos.

Guías para requerimiento de información personal

Será necesario que cada ISP elabore políticas públicas disponibles en la web que establezcan protocolos o guías sobre la actitud respecto a solicitudes de información de organismos gubernamentales o fuerzas de seguridad.

Accesibilidad

Se sugiere utilizar la guía de principios de la iniciativa Accesibilidad de la Web (WAI), parte del W3C (World Wide Web Consortium) para disponibilizar el contenido a través de un diseño e infraestructura que funcione para todos los usuarios, sin importar el hardware, software, idioma, ubicación, habilidad cognitiva o sensorial.