¿Quién defiende tus datos? • 2017

Un estudio de las políticas y prácticas de las empresas de telecomunicaciones sobre la protección de la privacidad y los datos personales de los usuarios. Evaluamos a los principales proveedores de servicios de Internet en Argentina para que los usuarios puedan tomar mejores decisiones informadas.

Contenidos

Contexto nacional
Metodología de análisis
- Criterios y evaluación
Empresas
- Cablevisión
- Telefónica
- Telecom
- Telecentro
- DIRECTV
- IPLAN
Notas al pie

En el año 2011, la Electronic Frontier Foundation (EFF) publicó Who Has Your Back?, una evaluación de las políticas de privacidad de las principales compañías de los Estados Unidos, con el fin de fomentar la privacidad y la protección de datos frente a la solicitudes de información realizadas por el Estado. El reporte es publicado anualmente por la EFF desde hace siete años, gracias a los cuales se ha ido notando la evolución de las gigantes empresas de tecnología en brindar mayor transparencia con relación a cómo y cuándo divulgan nuestros datos personales al gobierno estadounidense.

“¿Quién defiende tus datos?” es una serie de estudios llevado a cabo en Iberoamérica, inspirados en la iniciativa original de EFF, pero adaptados y contextualizados a la realidad local. La Asociación por los Derechos Civiles (ADC) fue convocada por la EFF para implementar este estudio en Argentina y de esta forma contribuir al proyecto regional coordinado por EFF. Los proyectos por país se llevan a cabo en México por R3D, en Colombia por Fundación Karisma, en Brasil por InternetLab, en Perú por Hiperderecho, en Paraguay por TEDIC, en Chile por Derechos Digitales y en España por la Fundación Eticas. En el 2018, IPANDETEC se suma a la iniciativa regional con informes en Panamá y Guatemala.

Los informes regionales tienen por objetivo evaluar cuáles son las empresas que defienden a sus clientes, analizando algunas preguntas como: ¿Cuáles son transparentes acerca de sus políticas con respecto a las solicitudes de entrega de datos? ¿Cuáles son las que requieren una orden judicial antes de entregar información personal? ¿Alguna de las empresas notifica a sus usuarios a la hora de cumplir con una orden judicial?

De esta forma, ¿Quién defiende tus datos? busca promover buenas prácticas entre las empresas, alentando la competencia entre ellas. El informe examina la información publicada en Internet por las propias empresas, incluyendo las políticas de privacidad y términos y condiciones, ayudando de esta manera a que las personas puedan tomar decisiones informadas al momento de decidir qué empresa promete una mejor protección de su privacidad.

En la edición argentina de ¿Quién defiende tus datos? evaluaremos las principales empresas proveedoras de servicios de Internet (ISP) fijo, las cuales en conjunto representan más del 90% de la cuota de mercado a nivel nacional. Dichas empresas son: Cablevisión (Fibertel), Telefónica (Speedy), Telecom (Arnet), Telecentro, IPLAN y DirecTV (AT&T). Cada compañía fue contactada en forma reiterada a fin de responder un cuestionario, para participar en una entrevista privada y enviar cualquier información adicional que considerasen necesaria, elementos que fueron incorporados en el informe final. Este enfoque se basa en los antecedentes de trabajo que la EFF realizó para sus informes anuales “Who Has Your Back?” en los Estados Unidos, aunque las preguntas específicas del estudio de ADC fueron adaptadas para coincidir con la realidad y el entorno legal de Argentina.

Contexto nacional

En Argentina, el derecho a la privacidad se encuentra reconocido en la Constitución Nacional por su artículo 19¹El Artículo 19 CN establece: Las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están sólo reservadas a Dios y exentas de la autoridad de los magistrados. Ningún habitante de la Nación será obligado a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe.” el cual sin hacer una mención literal del término utiliza la expresión «acciones privadas», interpretado por la jurisprudencia de la Corte Suprema como consagrando el derecho a la privacidad. Además, el artículo 18²El Artículo 18 CN establece: “El domicilio es inviolable, como también la correspondencia epistolar y los papeles privados; y una ley determinará en qué casos y con qué justificativos podrá procederse a su allanamiento y ocupación.” protege el domicilio, la correspondencia epistolar y los papeles privados, habiendo sido reconocido por la jurisprudencia nacional como extensible al ámbito digital para referir a las comunicaciones online y la información almacenada en los dispositivos. Por último, el artículo 43³El Artículo 43 CN recita: “Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística”. consagra el derecho de toda persona a conocer los datos sobre sí misma que se encuentren en poder de entidades públicas o privadas, así como también la finalidad para la cual los datos son destinados, habilitando a su vez a la persona que encuentre datos falsos o discriminatorios a exigir la supresión, rectificación, confidencialidad o actualización de los mismos.

Además, el artículo 75.22 equipara el nivel de jerarquía legal de los tratados internacionales de derechos humanos suscriptos por la República Argentina con la Constitución Nacional. De esta manera, el derecho a la privacidad también se encuentra reconocido en el marco normativo del país gracias a encontrarse contemplado en la Declaración Universal de Derechos Humanos (Artículo 12), Convención de Naciones Unidas sobre los Derechos del Niño (Artículo 16), Pacto Internacional sobre Derechos Civiles y Políticos (Artículo 17), Convención Americana sobre Derechos Humanos (Artículo 11), Declaración Americana de los Derechos y Deberes del Hombre (Artículo 5), por nombrar tan solo algunos.

El principal organismo regulador de telecomunicaciones en Argentina es el Ente Nacional de Comunicaciones (ENACOM), creado por decreto presidencial en diciembre de 2015 y más tarde validado por el Congreso en abril de 2016.⁴El Decreto disuelve los anteriores organismos reguladores: la Autoridad Federal de Servicios de Comunicación Audiovisual (AFSCA) y la Autoridad Federal de Tecnologías de la Información y las Comunicaciones (AFTIC). DNU 267/15: http://servicios.infoleg.gob.ar/infolegInternet/anexos/255000-259999/257461/norma.htm La composición del organismo ha generado cierta preocupación sobre la posible influencia del Poder Ejecutivo, ya que el ENACOM opera dentro del Ministerio de Comunicaciones y tiene una dirección integrada por cuatro directores elegidos por el presidente y tres propuestos por el Congreso. Las decisiones de ENACOM se pueden aprobar por mayoría simple y sus miembros pueden ser removidos por el presidente.

La penetración a Internet en Argentina se encuentra entre las más altas de América Latina.⁵“Estado de la banda ancha en América Latina y el Caribe”, CEPAL, octubre 2016, disponible en: http://repositorio.cepal.org/bitstream/handle/11362/40528/S1601049_es.pdf A diciembre de 2016, el Instituto Nacional de Estadística y Censos (INDEC) registró un total de 17,3 millones de accesos residenciales a Internet.

Las velocidades de Internet en el país varían considerablemente, diversas fuentes confirman que la velocidad de la banda ancha se encuentra por debajo de los promedios a nivel regional y global. De acuerdo con la firma Ookla, dueña del sitio web Speedtest, Argentina se encuentra en el puesto 82 de 128 a nivel internacional, con una velocidad de descarga promedio de 16,21 Mbps. Respecto de la velocidad de conexiones móviles, específicamente 4G (LTE), según un estudio desarrollado por OpenSignal, a nivel regional Argentina se encuentra por debajo de Chile, México, Perú, Colombia y Brasil, con una velocidad de 11,82 Mbps.

En mayo de 2016, el presidente Mauricio Macri anunció que llevaría Internet de banda ancha de calidad a 29 millones de personas en un plazo de dos años, mediante la inversión en infraestructura bajo el denominado Plan Federal de Internet.⁶“En qué consiste el Plan Federal de Internet que presentó hoy Mauricio Macri”, La Nación, 17 de mayo de 2016, disponible en: http://www.lanacion.com.ar/1899595-que-es-el-plan-federal-de-internet-que-presento-hoy-mauricio-macri En abril de 2017, el gobierno reportó un total de 207 localidades conectadas correspondientes a 10 millones de personas, proyectando para 2018 un total de 1300 localidades alcanzadas en cobertura.⁷Plan Federal de Internet, Ministerio de Modernización: https://www.argentina.gob.ar/modernizacion/comunicaciones/planfederaldeinternet; Más información sobre los puntos de conexión disponibles en el sitio web de datos abiertos de ARSAT: http://datos.arsat.com.ar/dashboards/19767/plan-federal-de-internet/

Argentina opera dos satélites de telecomunicaciones, Arsat-1 y Arsat-2, los cuales fueron puestos en órbita en octubre de 2014 y septiembre de 2015 respectivamente.⁸“El Arsat-1 llegó a la órbita geoestacionaria”, La Nación, October 27, 2014, https://www.lanacion.com.ar/1739035-el-arsat-1-llego-a-la-orbita-geoestacionaria; “Lanzaron con éxito el Arsat-2 y ya está en órbita”, Clarín, October 30, 2015, https://www.clarin.com/sociedad/arsat-2-lanzamiento_0_BybgiBMYvml.html

El gobierno nacional no impone límites al ancho de banda, así como tampoco impone control sobre la infraestructura de telecomunicaciones. No se han reportado casos de que el gobierno corte la conectividad de Internet durante protestas o movimientos sociales. Actualmente hay 25 puntos de intercambio de Internet (IXP) en funcionamiento, que ayudan a administrar el tráfico de Internet de manera eficiente. Los IXP están estratégicamente distribuidos en las principales ciudades de todo el país.

Una compañía que busca ofrecer servicios de acceso a Internet debe obtener una licencia de ENACOM, proceso que sufrió modificaciones en mayo de 2016. A partir de la introducción del nuevo Reglamento de Registro de Servicios TIC por medio de la Resolución 2483/16, se simplificó el proceso de registro de licencias para ISPs, debiendo los interesados presentar únicamente documentación legal y tributaria, sin la obligación de presentar el plan técnico.⁹“ENACOM publicó el nuevo Reglamento de Registro de Servicios TIC”, Revista Fibra, May 18, 2016, http://revistafibra.info/enacom-publico-el-nuevo-reglamento-de-registro-de-servicios-tic/ El arancel de inscripción inicial aumentó de $ 5000 a $ 20.000 pesos,¹⁰Resolución 2483/2016, Boletín Oficial, 16 de mayo de 2016, disponible en: https://www.boletinoficial.gob.ar/#!DetalleNorma/145279/20160518 y los proveedores pueden realizar el trámite de registro en forma online.¹¹ENACOM “Inscripción online para proveedores de acceso a internet”, 19 de agosto de 2016, disponible en: https://www.enacom.gob.ar/institucional/inscripcion-online-para-proveedores-de-acceso-a-internet_n1353

El país cuenta con más de mil proveedores de Internet licenciados,¹²ENACOM, “Información de las prestadores”, disponible en: http://www.enacom.gob.ar/informacion-de-prestadores_p1307 sin embargo, un 90% del mercado ISP de banda ancha se encuentra concentrado en tres compañías: Telefónica, Telecom Argentina y Cablevisión (Grupo Clarín).¹³Martín Becerra, De la concentración a la convergencia, Buenos Aires: Paidós, 2015, 64; Leticia Pautasio, “Estadísticas: mercado de telecomunicaciones de Argentina”, Telesemana, 4 de agosto de 2015, disponible en: http://www.telesemana.com/blog/2015/08/04/estadisticas-mercado-de-telecomunicaciones-de-argentina/ En diciembre de 2017, el ENACOM aprobó la fusión de Cablevisión y Telecom,¹⁴Gustavo Fontanals, “Pariendo a Goliat”, Revista Fibra, 7 de septiembre de 2017, disponible en: http://papel.revistafibra.info/pariendo-a-goliat/ quedando habilitado para brindar servicios de radiodifusión, telefonía fija y móvil, e internet fija y móvil. Esto tiene como resultado la concentración del 68% del mercado de banda ancha fija en una única empresa, al sumar los servicios Fibertel y Arnet (de Cablevisión y Telecom, respectivamente).¹⁵¿Qué significa la fusión Cablevisión-Telecom?, Télam, 22 de diciembre de 2017, disponible en: http://www.telam.com.ar/notas/201712/233091-fusion-telecom-cablevision-internet-cuadruple-play-que-significa.html

Con el fin de promover la convergencia y la competencia, el gobierno nacional firmó una serie de Decretos de Necesidad y Urgencia para introducir reformas sustanciales afectando los sectores de telecomunicaciones y de medios. A pedido de varias organizaciones de la sociedad civil, se llevó a cabo una audiencia pública ante la Comisión Interamericana de Derechos Humanos (CIDH) en abril de 2016 a los fines de discutir los efectos del Decreto 267 de diciembre de 2015, que modifica la categoría de la televisión por cable como un servicio TIC, liberando de determinadas obligaciones provistas por la Ley Audiovisual a los proveedores de televisión.¹⁶OBSERVACOM, “Sociedad civil denuncia ante la CIDH por cambios a Ley Audiovisual. Gobierno promete “nuevo marco regulatorio acorde con el derecho internacional”, 8 de abril de 2016, disponible en: https://us3.campaign-archive.com/?u=460098614e2e18abf939ad0ea&id=8bf2e9487c&e=061a0396cc El decreto 267 fue criticado por socavar el pluralismo, la diversidad y el contenido de producción local, a la vez que se alienta una mayor concentración del mercado.

El Decreto 1340 de diciembre de 2016 habilita a las empresas de telecomunicaciones a ofrecer televisión por cable, servicios de telefonía y acceso a Internet, comenzando en 2018.¹⁷Decreto 1340/16, 20 de diciembre de 2016, disponible en: http://servicios.infoleg.gob.ar/infolegInternet/anexos/270000-274999/270115/norma.htm Por otra parte, el decreto también benefició a la empresa DirecTV, conocida operadora de televisión satelital, permitiéndole brindar servicios de Internet satelital. La Internet satelital hoy en día es ofrecida como una alternativa para aquellos territorios alejados de los principales centros urbanos que no cuentan con redes cableadas o cobertura de telefonía celular con datos móviles.

Metodología de análisis

Las empresas seleccionadas¹⁸La fusión de las empresas Cablevisión (Grupo Clarín) y Telecom Argentina fue aprobada a fines de 2017, quedando habilitadas a brindar servicios en conjunto a partir de 2018. Debido a que el presente estudio fue realizado en base a las políticas llevadas a cabo por las empresas durante el 2017, mantendremos la evaluación de cada una de las empresas en forma separada, quedando para una próxima edición de este reporte la actualización de la evaluación como una única empresa. para la primera edición de este proyecto fueron:

Cablevisión (Fibertel)
Telefónica de Argentina (Speedy)
Grupo Telecom (Arnet)
IPLAN
DIRECTV
Telecentro

La evaluación de los parámetros pertenecientes a cada criterio se llevó a cabo analizando la información disponible públicamente en los sitios web de cada una de las empresas, de acuerdo a lo que los usuarios de sus servicios podrían encontrar sin tener conocimientos técnicos sobre las temáticas abordadas.

El análisis de la información detallada a lo largo de los diversos criterios, llevado a cabo por investigadores de ADC, fue realizado durante el 2017 con una última revisión y actualización realizada en febrero de 2018, fecha que fue establecida como el cierre de este primer estudio.

En tal sentido, se llevó a cabo una evaluación preliminar con el fin de obtener un primer puntaje para cada una de las empresas y comprender en qué parámetros de cada criterio debe mejorar cada una para alcanzar una mayor puntuación.

Luego de la evaluación preliminar nos pusimos en contacto con las empresas para solicitarles una reunión con el propósito de explicar en qué consiste el estudio «Quién Defiende Tus Datos?» y presentar los resultados obtenidos en esa primera valoración, para que de esta manera las empresas pudieran brindar información precisa sobre su trabajo por el resguardo de la privacidad de los usuarios, así como también complementar la información que se encuentra públicamente disponible o incluso aclarar cualquier ambigüedad que pudiera surgir a partir de la misma.

En principio, todas las empresas fueron contactadas vía email, dando un período prudente de tiempo para su contestación. Debido a que a través de este medio no obtuvimos respuesta alguna, procedimos a formalizar el pedido de entrevistas mediante cartas en papel firmadas y presentadas en las respectivas mesas de entrada de sus oficinas centrales. Esta última reiteración tampoco obtuvo respuesta por parte de las empresas.

Criterios y evaluación

La evaluación consta en seis criterios, cada uno con sus correspondientes parámetros que permiten analizar la medida en que la empresa cumple con el criterio en cuestión: (1) Política de privacidad; (2) Informe de transparencia; (3) Notificación al usuario; (4) Requerimiento de autorización judicial; (5) Guías para requerimiento de información personal; (6) Políticas de promoción y defensa de los derechos humanos.

Los criterios sobre «política de privacidad» y «requerimiento de autorización judicial» son los únicos que evalúan el cumplimiento de leyes específicas, pues para el resto de los criterios no existe un marco normativo que contemple todos los parámetros evaluados. En tal sentido, los criterios examinarán la implementación de buenas prácticas que se han ido desarrollando a nivel internacional –principalmente a partir de la iniciativa de la EFF– y que las empresas están dispuestas a incorporar a sus políticas.

A continuación, explicaremos cada uno de ellos.

1. Política de privacidad

Una política de privacidad es un documento legal o una declaración que informa la manera en la cual la empresa recolecta, utiliza, divulga y gestiona los datos personales de sus clientes o usuarios.

En este criterio analizamos si los ISP cuentan con una política de privacidad y si la misma se encuentra disponible públicamente en su sitio web, con un lenguaje claro –evitando utilizar jerga legal sumamente técnica– y si la misma es independiente o se encuentra incorporada a los Términos y Condiciones.

Además, debido a que Argentina cuenta con una Ley de Protección de Datos Personales Nº 25.326 (en adelante LPDP), también se evaluará el cumplimiento de los requisitos establecidos en la ley, particularmente se analizará: si las empresas y sus bases de datos se encuentran registradas ante la Agencia de Acceso a la Información Pública (ex Dirección Nacional de Protección de Datos personales),¹⁹A fines de 2017, a partir de la Decisión Administrativa 1002/17 http://servicios.infoleg.gob.ar/infolegInternet/anexos/285000-289999/287325/norma.htm, la Dirección Nacional de Protección de Datos Personales, que se encontraba bajo la órbita del Ministerio de Justicia de la Nación, pasó a funcionar bajo la órbita de la Agencia de Acceso a la Información Pública, la cual depende de la Jefatura de Gabinete de Ministros de la Nación. Más información sobre la AAIP https://www.argentina.gob.ar/aaip y el comunicado oficial de la DNPDP aquí: http://www.jus.gob.ar/datos-personales/comunicados/2017/11/15/comunicacion.aspx si cumplen con los derechos pertenecientes al titular de los datos y si dan cumplimiento con las obligaciones legales.

Parámetros:

Si la política de privacidad es accesible, clara y sencilla;
Si determina qué información va a recolectar y por cuánto tiempo la almacenará;
Si refiere a las obligaciones de la LPDP (Art. 4: Calidad de los datos; Art. 5: Consentimiento; Art.6: Información; Art. 21: Inscripción en Registro);
Si identifica los derechos del titular;
Si publica la leyenda que prevé la LPDP (Art. 6.e) respecto del derecho de acceso a los datos personales (Art. 14) –en este caso si prevé de qué manera puede ejercerse el derecho de acceso, por email, por nota escrita, etc.;
Si establece una notificación al usuario en caso de modificación de la política, evaluando el tiempo establecido, si la notificación es anterior o posterior a la modificación, así como también la modalidad de la notificación.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con la mitad de los parámetros de evaluación.
¼ de estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

2. Informe de transparencia

En este criterio se verificará si las empresas analizadas publican en sus sitios web informes de transparencia, es decir, la cantidad de solicitudes que reciben de parte de fuerzas de seguridad y organismos gubernamentales requiriendo información personal de sus clientes, a cuántas se le da curso, a qué organismos se les entrega la información solicitada, y si la empresa también informa cuántas solicitudes rechaza.

Parámetros:

Si publica informes de transparencia;
Si éstos son accesibles al público en general;
Si lo hace por períodos;
Si informa sólo los pedidos recibidos, o también los cumplidos y los rechazados.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con la mitad de los parámetros de evaluación.
¼ de estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

3. Notificación al usuario

Se evaluará si las empresas informan a los usuarios los pedidos de información que respecto de ellos se realizan y/o si les notifican cuándo proceden a la entrega de sus datos.

Este criterio es importante toda vez que la notificación al usuario es lo que posibilita el ejercicio de sus derechos como sujeto de investigación, ya que si no conoce que se ha requerido acceso a su información no podrá ejercitar su derecho de defensa ni de un recurso efectivo, es decir su garantía al debido proceso. Si bien el estándar más garantista determina que la notificación debe realizarse con anterioridad a la entrega de la información, si la solicitud se da en el marco de una investigación que requiere que el usuario no conozca la intromisión para no perjudicar la investigación o poner en riesgo la vida del usuario, la notificación debiera realizarse dentro de un plazo prudente que permita el ejercicio de los derechos descriptos anteriormente, en caso contrario podrían encontrarse vulnerados los derechos y garantías constitucionales que consagra nuestra Constitución en su artículo 18.

Parámetros:

Si la empresa establece una notificación al usuario ante un requerimiento de información;
Si se compromete a notificar antes de entregar la información solicitada.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

4. Requerimiento de autorización judicial

Aquí se investigará si las empresas requieren autorización judicial para la entrega de la información solicitada o si acceden ante un simple pedido de las autoridades.

Desde el año 2016, el único organismo autorizado legalmente para llevar a cabo la interceptación de comunicaciones y captaciones telefónicas, es la Oficina de Captación de Comunicaciones (OCC) dentro de la Dirección de Asistencia Judicial en Delitos Complejos y Crimen Organizado del Poder Judicial de la Nación, bajo la órbita de la Corte Suprema de Justicia.²⁰En diciembre de 2015 a través del decreto 256/15, el gobierno de Mauricio Macri dispuso la transferencia del Departamento de Interceptación y Captación de las Comunicaciones (DICOM) de la Procuración General de la Nación, hacia la Corte Suprema de Justicia. Este sería la segunda transferencia sufrida por dicho organismo en menos de 6 meses, pues el gobierno de Fernández de Kirchner había transferido el DICOM de la Secretaría de Inteligencia a la PGN. En septiembre de 2016 tuvo lugar una reestructuración institucional que dio lugar a la creación de la Dirección de Asistencia Judicial y dentro de ella a la OCC (ex DICOM). ADC, 2017, más información disponible en: https://adcdigital.org.ar/wp-content/uploads/2017/05/El-cambio-que-no-llega.pdf Una vez recibida la solicitud de interceptación por la OCC, el organismo le da curso a la empresa correspondiente para que la misma, bajo su propia infraestructura, lleve a cabo la recolección de la información solicitada y la entregue finalmente a la OCC para ser presentada formalmente en la causa judicial.

Hemos podido corroborar que si bien en la práctica los fiscales, valiéndose de un área de la legislación que aún no se encuentra adaptada al contexto digital, pueden requerir a las empresas que aseguren determinados datos, para acceder a su contenido deben requerir la autorización del juez competente.²¹Esta temática fue debatida en la jornada de trabajo «Evidencia Digital, Investigación de Cibercrimen y Garantías del Proceso Penal» organizada por la ADC en marzo de 2017, la cual contó con la participación de integrantes de los equipos y laboratorios forenses de las fuerzas policiales federales y provinciales, fiscales y miembros del poder judicial y reconocidos abogados penalistas. Un resumen de las discusiones sostenidas en la jornada se encuentra disponible en el siguiente enlace: https://adcdigital.org.ar/portfolio/evidencia-digital-investigacion-cibercrimen-garantias-del-proceso-penal/

En tal sentido, el estándar promovido en el presente estudio, con el fin de salvaguardar las garantías constitucionales, establece que toda solicitud de información, tanto datos de tráfico (metadatos) como de contenido, debería llevarse a cabo luego de haber sido previamente analizada y autorizada por el juez competente en el marco de un proceso judicial.

Parámetros:

Si la empresa exige una autorización judicial o no para proceder a la entrega de los datos;
Si diferencia la entrega de los datos con respecto a los metadatos;
Si la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con la mitad de los parámetros de evaluación.
¼ de estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

5. Guías para requerimiento de información personal

En este criterio se analiza si las empresas establecen lineamientos, guías o protocolos orientados a las fuerzas de seguridad y otros organismos gubernamentales que expliquen cómo deben solicitar la información personal de los clientes, cuáles son las condiciones para la entrega de dicha información personal.

Este criterio se diferencia de la publicación de informes de transparencia ya que los informes de transparencia apelan a datos estadísticos de solicitudes recibidas y cumplidas mientras que en los lineamientos analizados buscan determinar cómo cada empresa establece la forma en la que las fuerzas policiales o de investigación deben solicitarle información y, en su caso, qué especificaciones deben cumplir a dicho efecto.

Además, se analiza si la empresa, al momento de establecer sus propias reglas para las autoridades locales, tiene en cuenta el contexto nacional o si los lineamientos preestablecidos responden a procedimientos foráneos, y en tal caso corroborar si los mismos son más rigurosos a favor de la privacidad de sus usuarios.

Parámetros:

Si el ISP tiene lineamientos, guías o protocolos que determinen cómo recibirán las solicitudes de información de sus clientes;
Si los lineamientos, guías o protocolos se encuentran disponibles públicamente;
Si dichos lineamientos, guías o protocolos explican detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con la mitad de los parámetros de evaluación.
¼ de estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

6. Políticas de promoción y defensa de los derechos humanos

En este criterio se evalúa si las empresas informan en sus páginas web, o a través de otros medios, sobre la promoción y defensa de los derechos humanos de los usuarios, particularmente el derecho a la privacidad.

Asimismo, se evaluará si realizan algún tipo de actividad publicitaria, campaña de concientización, realización de jornadas, participación en el Congreso mediante la presentación de proyectos de ley, asesoramiento legislativo o en audiencias públicas, en torno a la protección y difusión de derechos humanos como la privacidad, así como también otros derechos como los de los usuarios.

Parámetros:

Si la empresa promueve iniciativas políticas o legales para proteger la privacidad de sus usuarios en el Congreso, por ejemplo, a través de proyectos legislativos o participación en audiencias, o en los Tribunales.
Si la empresa lleva a cabo actividades, jornadas, publicidades o publica informes con el fin de generar conciencia en la sociedad sobre el derecho a la privacidad y/o la protección de los datos personales.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

Empresas

Cablevisión (Fibertel)

a) Política de privacidad

En el pie de la página web se encuentra el botón “Protección de datos personales”, el mismo dirige a la sección donde se detalla la política de privacidad de la empresa. La información provista por Cablevisión es clara, sencilla y se encuentra bien individualizada por secciones.²²A fines de febrero de 2018, el sitio web con la política de privacidad de Fibertel ya reflejaba la fusión de Cablevisión con Telecom Argentina S.A., indicando el nombre de esta última como subtítulo de la página. No obstante, de la última revisión (a fines de febrero de 2018) del análisis realizado a lo largo del 2017, surge que la política no ha sufrido modificaciones sustanciales más allá del cambio de nombre de la empresa y el domicilio físico.

El primer capítulo contempla diversas definiciones traídas de la Ley 25.326 de protección de datos personales (LPDP), lo cual ayuda al lector de la política a comprender mejor sus cláusulas. El texto aclara qué significa datos personales, datos sensibles, base de datos, tratamiento de datos, responsable de archivo o base, cesión de datos, derecho de acceso, información, rectificación, supresión y actualización, entre otros.
En el segundo capítulo refleja los principios establecidos en la LPDP, haciendo una reproducción prácticamente literal de la misma. Cabe aclarar que mencionar los principios en la política de privacidad no implica necesariamente que la empresa los cumpla en la práctica, aunque esto representa un avance en la información a la que acceden los clientes para reclamar por una adecuada rendición de cuentas del uso de sus datos personales.

En el apartado “Información y consentimiento en el tratamiento de datos” la empresa explica: “Usted podrá oponerse a cualquier tratamiento de datos que se oponga a esta política de privacidad y/o a la legislación vigente”. Aquí puede advertirse una formulación ambigua y que puede inducir a error del lector, ya que el titular de los datos no debería tener que oponerse a un tratamiento contrario a la legislación vigente, sino que la empresa no debería llevar adelante tratamientos de datos contrarios a su propia política y/o a la legislación vigente.

Respecto de la seguridad de los datos recolectados, Cablevisión manifiesta que hará “sus mejores esfuerzos para evitar el acceso no autorizado a la información personal de sus clientes”.

En cuanto a la confidencialidad, la política determina que “El obligado a mantener el deber de confidencialidad podrá ser relevado de dicha obligación por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o a la salud pública”. Si bien la resolución judicial es el estándar esperable y deseable para el presente estudio, la expresión “razones fundadas” ponen en duda la rigurosidad de la justificación frente a la cual la empresa accedería al relevamiento de la confidencialidad debido a su carácter subjetivo, lo que lleva a preguntarnos ¿cualquier razonamiento que se encuentre fundado en motivos de seguridad pública, defensa nacional o salud pública es suficiente para cumplir con ese requisito?

Respecto del derecho de acceso, rectificación, supresión, actualización, bloqueo, retiro o confidencialidad, cabe resaltar que Cablevisión detalla expresamente los derechos del titular y de qué forma deben tramitarse, lo cual determina el primer paso en la garantía del ejercicio de dichos derechos.

En el tercer y cuarto capítulo, la política expresa qué tipo de información recolecta Cablevisión y para qué, es decir su finalidad. Cumpliendo de esta manera con lo establecido en los artículos 4 y 6 de la LPDP.

En cuanto al tratamiento de datos realizados por terceros contratados por la empresa y la duración del almacenamiento de la información, de acuerdo a la política el plazo será hasta la finalización de la prestación contractual, debiendo destruir los datos posteriormente, “salvo que medie autorización expresa de la Empresa cuando se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con debidas condiciones de seguridad por períodos de hasta dos años”.

En la política también se aclara que Cablevisión realiza transferencia internacional de los datos de sus clientes en virtud de la contratación del servicio de Cloud Computing. Al respecto la misma expresa que “la Empresa (a) realiza transferencia internacional de datos personales y (b) deja constancia que la transferencia de datos se efectúa a un país que cumple con los niveles de protección adecuados conforme lo establecido por el artículo 12 de la ley 25.326 y normas complementarias y que el proveedor del servicio de Cloud Computing cumple adecuadamente con los niveles de protección y seguridad pertinentes en materia de datos personales conforme la legislación vigente”.

Respecto de las modificaciones y actualización a la política de privacidad, ésta aclara que se realizará desde la página web oficial de la empresa, diciendo: “Esta política de privacidad puede modificarse en algunas oportunidades. Cualquier cambio le será comunicado mediante su publicación en nuestra página web (www.cablevisionfibertel.com.ar) modificándose la fecha de ‘última actualización’ en la parte superior de la misma. Los cambios se harán efectivos y entrarán en vigencia transcurridos 30 días corridos desde la fecha de su publicación”.

Si bien corresponde que la empresa otorgue publicidad a los cambios efectuados en las políticas de privacidad, lo cierto es que una vez que el titular las leyó y contrató el servicio, probablemente no las verifique posteriormente. Consecuentemente, la empresa debería remitirle las modificaciones vía correo electrónico o mediante copia al domicilio al cual se le realiza la factura, de lo contrario se desvirtúa el consentimiento expresado por el titular al contratar ya que puede no tomar conocimiento de las nuevas políticas y la empresa con la sola publicación -y pasados los 30 días- entiende que hay un consentimiento tácito.

Por otra parte, la versión actual de la política debería individualizarse de acuerdo con la fecha de “última actualización” en la parte superior de la página, junto con el historial de las políticas precedentes para ver cuáles han sido los cambios existentes a través del tiempo, información que no se encontraba visible al momento de escribir este informe a fines de febrero 2018. Asimismo, refiere a la posibilidad de observar las políticas anteriores pero el vínculo remite a un centro de ayuda que no está relacionado con el tema.

Finalmente, la empresa se encuentra registrada como responsable ante la Dirección Nacional de Protección de Datos Personales como “Cablevisión S.A.” y declara varias bases de datos, a saber: Publicidad; Clientes; Empleados; y Proveedores. Individualiza los datos del responsable de acceso, las finalidades de las bases de datos y el domicilio físico de la empresa.

Resultado: Cablevisión obtiene una estrella completa, aunque alentamos a la empresa a que introduzca algunas mejoras en su política, particularmente: que la empresa asuma un rol proactivo en la protección de datos personales, evitando permitir que se lleven adelante tratamientos de datos contrarios a su propia política y/o a la legislación vigente, actualizando el texto de la política de privacidad para evitar ambigüedades en tal sentido. Asimismo, la página web de la política de privacidad debería individualizarse de acuerdo con la fecha de “última actualización” en la parte superior de la página y mostrar el historial de las políticas anteriores. Por su parte, las modificaciones en dichas políticas deberían ser comunicadas a los usuarios en forma activa, por ejemplo vía email, para evitar desvirtuar el consentimiento prestado por el titular al contratar el servicio.

b) Informe de transparencia

A pesar de la exhaustiva búsqueda realizada en el sitio web de la empresa, no fue posible encontrar referencias a la publicación de informes de transparencia bajo el concepto que es evaluado en este criterio.

En la sección referida a la información institucional de Cablevisión, hay un apartado identificado como “Res 173/10” en la cual la ENACOM (ex Autoridad Federal de Servicios de Comunicación Audiovisual) estableció que deberá incorporarse a una “Carpeta de Acceso Público” las personas físicas y jurídicas públicas y privadas, que sean titulares de licencias, autorizaciones y permisos. Esto podría verse como un acto de transparencia vinculado a la información disponible sobre la composición de las empresas en miras a la competencias, pero no tiene relación con los informes de transparencia que se busca analizar y fomentar en el presente estudio, los cuales deben referir a la cantidad de solicitudes que recibe la empresa por parte de organismos estatales requiriendo información personal de sus clientes, a cuántas de dichas peticiones les dan curso y finalmente a cuáles se les entrega la información solicitada.

Resultado: Cablevisión no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

c) Notificación al usuario

En el sitio web de la empresa no surgen menciones sobre la notificación al usuario frente al requerimiento de su información personal por parte de autoridades gubernamentales.

Resultado: Cablevisión no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

d) Autorización judicial

En su política de privacidad, Cablevisión expresa que no revela la información de los clientes –más allá de los terceros empleados de la misma que mantienen contratos de confidencialidad– salvo que: “(a) … le sea requerido judicialmente; (b) cuando entienda de buena fe que resulta necesario para cumplir con la ley aplicable o responder a un proceso legal válido por parte de autoridades competentes (incluyendo agencias gubernamentales); (c) cuando sea necesario para proteger a nuestros clientes (por ejemplo para prevenir el spam o los intentos de fraude a otros usuarios de los Servicios o para ayudar a prevenir la pérdida de la vida o lesiones graves en cualquier persona); (d) cuando sea necesario para operar y mantener la seguridad e integridad de nuestros Servicios, incluyendo la prevención o detención de ataques a nuestros servidores y sistemas informáticos, cualquiera sea su modalidad o alcance; (e) cuando sea necesario para proteger los derechos y/o bienes de la Empresa y (f) cuando ello pueda ser apropiado o necesario para hacer cumplir los Términos y Condiciones de nuestros Servicios e investigar y/o defendernos de reclamos de terceros.”

En primer lugar, vemos que requiere una solicitud judicial para entregar información, con lo cual cumplimenta -en principio- el criterio analizado. Sin embargo, posteriormente contempla otras causales que son muy abiertas. Lo cierto es que no expresa concretamente ante qué causales procedería la entrega de información y no identifica a qué sujetos se les brindaría esa información, pudiéndose desvirtuar fácilmente el requisito de autorización judicial mediante la implementación de los puntos b) a f).

Finalmente, la empresa informa que dado que la empresa PRIMA S.A. es la que prevé el servicio de telefonía brindado por CABLEVISIÓN/ FIBERTEL, la información es compartida con aquélla.

En las comunicaciones deben contemplarse tanto los datos como los metadatos (información de tráfico). En este sentido la empresa no los diferencia (no cumpliendo con el segundo parámetro de este criterio).

Resultado: Cablevisión obtiene 1/2 estrella ya que, si bien prevé la solicitud judicial, establece muchas otras causales que no protegen los derechos de los titulares de la información revelada y no prevé la diferencia entre datos y metadatos.

e) Guías para requerimiento de información personal

Con relación a este criterio la empresa en su Política de Privacidad y Protección de datos personales no informa de qué manera recibe las solicitudes de información, cómo es su política de acción para evaluar si las concede o no y las condiciones establecidas para la entrega de la información de sus clientes.

f) Políticas de promoción y defensa de los DDHH

En el sitio web de la empresa no se ha encontrado información que permita concluir que alguna de las actividades evaluadas en este criterio haya tenido lugar.

Telefónica (Speedy)

a) Política de privacidad

En el pie de la página web se encuentra un vínculo identificado como “Políticas de privacidad” el cual dirige al sitio institucional de Telefónica Argentina. La información se encuentra clasificada en diversas secciones: Condiciones de uso de la web; condiciones de privacidad de uso de la web; política de uso de cookies; condiciones de privacidad de telefonía móvil; condiciones de privacidad del servicio de telefonía fija; otros productos y servicios; cómo gestionar mi privacidad; seguridad de datos personales; y uso de responsable de la tecnología.

En el apartado «Condiciones de privacidad del servicio de telefonía fija» se incluyen aquellas del servicio de Internet correspondiente a la evaluación del presente estudio, bajo el nombre comercial Speedy. Respecto de los datos que la empresa recolecta, tan solo se limita a mencionar que al momento de contratar con Telefónica, el cliente “brinda a ésta sus datos personales, tales como nombre y apellido, documento de identidad, domicilio, número de abonado, correo electrónico, necesarios para prestar el servicio”, además de autorizar a la empresa a utilizar sus datos personales para “realizar análisis de mercados, y con el objeto de enviarle propuestas comerciales relacionadas con sus servicios y/o productos” y a “transferir información relativa a sus datos personales a todas y cada una de las empresas del Grupo Telefónica con fines de atención al cliente, y para que éstas envíen propuestas comerciales relacionadas con sus servicios y/o productos.”

En el apartado “Cómo gestionar mi privacidad” se da una explicación sucinta sobre el derecho de acceso del titular de los datos personales, así como de la solicitud del retiro o bloqueo de su nombre de las bases de datos de la empresa.

En el apartado “Seguridad de datos personales”, en cumplimiento con la Disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales, la política especifica que “En consonancia con la normativa vigente en materia de datos personales, queremos hacerle conocer a nuestros clientes las medidas a adoptar para garantizar la privacidad de la información que nos suministren (en adelante la «Información»), las cuales detallamos a continuación:

Proteger la información de acuerdo con estándares de seguridad y confidencialidad.
Limitar la obtención y el uso de la información al mínimo necesario para administrar y brindarles un servicio adecuado a nuestros clientes, lo que incluye asesorarlos sobre nuestros productos, servicios y demás oportunidades.
Permitir el acceso a la información únicamente a personas autorizadas por nuestra empresa (sean dependientes o no), las que estarán debidamente capacitadas en el manejo apropiado de la misma y serán pasibles de sanciones en caso de incumplimiento.
No revelar la información (cuando legalmente se requiera consentimiento previo) a terceras personas, a menos que hayamos informado previamente al cliente y éste nos haya autorizado o lo hagamos en virtud de una obligación legal.
Exigir a aquellos que nos provean algún servicio que se adecuen a nuestros estándares de seguridad y confidencialidad.
Mantener los archivos de nuestros clientes completos, actualizados y exactos, conforme a la información que nos suministre el propio cliente. Indicar cómo y dónde acceder a los mismos (exceptuando cuando la ley lo prohíba) y cómo notificarnos de posibles errores que corregiremos a la brevedad.
Ofrecer a los clientes la posibilidad de ejercer los derechos de acceso, rectificación y supresión de sus datos, cuando corresponda.”

También en el pie de página del sitio de Speedy se encuentra un vínculo identificado como “Avisos Legales” que igualmente dirigen al sitio institucional de Telefónica en donde se encuentran los términos generales de la contratación y uso de sus servicios, con las secciones: Reglamento General, Ley de defensa del Consumidor, Aviso de Vencimiento, Débito Automático, SVA para Líneas, Términos y Condiciones, Política de cookies, Protección de Datos Personales, Datos Personales y Factura Digital.

En dichos apartados se encuentra repetida la información analizada previamente que se encontraba en la sección Políticas de privacidad. Así en sus Términos y Condiciones encontramos referencias a la Ley 25.326, los derechos de acceso y supresión, la transferencia de datos y cuestiones sobre las medidas de seguridad adoptadas por la empresa para la protección de los datos.

Asimismo, los Términos y Condiciones determinan que sus cláusulas pueden ser sustituidas o sufrir modificaciones en cualquier momento determinado exclusivamente por Telefónica, sin requerirse el consentimiento de los clientes. El único medio de notificación mencionado para anoticiar a los clientes es un aviso en el sitio web “durante un plazo razonable”, aclarando además que los mismos son responsables de leer los términos cada vez que visitan el sitio web para enterarse de las modificaciones implementadas.

La empresa se encuentra registrada como responsable ante la Dirección Nacional de Protección de Datos Personales como “Telefónica de Argentina S.A.” y declara diversas bases de datos, a saber: Clientes; Marketing; y Recursos Humanos. Individualiza las finalidades de las bases de datos y el domicilio físico de la empresa, pero brinda información parcial sobre el responsable de acceso.

Resultado: Telefónica recibe 1/4 de estrella dado que, si bien la Política de privacidad es accesible, la misma no está explicada en forma clara y sencilla para que cualquier persona sin conocimientos legales pueda comprenderla, no se determina qué información recolecta la empresa ni por cuánto tiempo es almacenada, además de encontrarse mezclada con los Términos y Condiciones. Por otra parte, si bien identifica los derechos del titular de datos personales y publica la información pertinente sobre el derecho de acceso, la información brindada es escueta. Las referencias brindadas sobre las obligaciones de la Ley 25.326 no son suficientes respecto de las previsiones establecidas en la Ley. La notificación al usuario sobre las modificaciones a la política podría mejorarse, pues la simple publicación en el sitio web no basta, se debe entonces revertir la carga de la revisión constante en el sitio web de la empresa por el cliente a una más proactiva, por ejemplo, anoticiando al mismo por email.

b) Informe de transparencia

Si bien Telefónica de Argentina no publica informes de transparencia directamente, la casa matriz desarrolla y publica informes elaborados a nivel global en donde se brinda información sobre la situación en Argentina, siendo el último perteneciente al período 2017. Esto ya presenta un inconveniente respecto de la facilidad del acceso a dicha información por los clientes argentinos, pues tampoco hay referencias a la existencia de este documento en el sitio web de Speedy o Telefónica.

El informe de transparencia brinda el total de requerimientos por años sobre: interceptaciones de las comunicaciones, acceso a metadatos, bloqueo y filtrado de contenidos, y suspensiones geográficas o temporales de servicio. En la edición 2017, el informe introduce también las peticiones rechazadas por la empresa al no cumplir con los estándares legales requeridos, sin embargo, en el caso de Argentina, Telefónica aclara que “Actualmente no se registran las peticiones rechazadas a órdenes de intervenciones requeridas por jueces competentes solicitadas a través de la DaJuDeCo (Dirección de Asistencia Judicial en Delitos Complejos y Crimen Organizado del Poder Judicial de la Nación)”, aclarando que ciertas peticiones de intervención no se pueden realizar debido a imposibilidades técnicas de dicho organismos y que por su parte Telefónica se encuentra trabajando para resolver este inconveniente.

Además, respecto de cada categoría, el informe detalla el marco jurídico correspondiente y las autoridades competentes para solicitar dichos requerimientos. En todos los casos el estándar para dar curso al requerimiento es la autorización judicial por el juez competente, aclarando en el caso de metadatos, bloqueo y filtrado de contenido que también procederá ante requerimiento de fiscales y los cuerpos y fuerzas de seguridad del Estado a los que se haya delegado la investigación.

En ningún caso establece si se procedió o no a lo requerido, si todas las solicitudes recibidas emanaban de autoridades competentes o no.

Asimismo, en el sitio web de Telefónica de Argentina, la empresa publica informes de sostenibilidad, en donde se detallan los esfuerzos de la empresa en mejorar su responsabilidad con la sociedad, siendo el último perteneciente al año 2016, también de difícil acceso desde el sitio web de Speedy ya que hay que navegar por los vínculos correctos hasta llegar al sitio institucional, luego de 5 clicks, para acceder al PDF con el informe.

Estos informes incluyen los datos de la compañía, directores a cargo, accesos (de telefonía fija, móvil y de Internet), ingresos, inversiones, entre otros.

Resultado: Telefónica obtiene 1/2 estrella ya que, si bien publica informes de transparencia, los mismos son accesibles únicamente desde el sitio web institucional de la casa matriz, lo cual dificulta su acceso al público argentino que puede desconocer su existencia. Los informes contienen información desagregada por períodos anuales, sin embargo el mismo no discrimina la cantidad de solicitudes respecto de cada servicio brindado por la empresa (internet fija/móvil o telefonía fija/móvil).

c) Notificación al usuario

En el punto 7 de los Términos y Condiciones, la empresa establece que: “En caso de que los datos sean requeridos por la vía legal, administrativa o judicial correspondiente, TELEFÓNICA DE ARGENTINA S.A. se verá compelida a revelar los mismos a la autoridad solicitante. En la medida en que la legislación y normas de procedimiento lo permitan, TELEFÓNICA DE ARGENTINA S.A. informará a los Usuarios sobre estos requerimientos.”

Si bien no prevé los casos concretos y la forma en la que notificará a los usuarios, al menos contempla que conforme a la legislación vigente y las normas de procedimiento, informará a los usuarios del requerimiento.

Ahora bien, no establece si será antes o después de la entrega de los datos o si una vez evacuado el requerimiento hará saber al usuario qué información se brindó.

Resultado: Telefónica obtiene 1/2 estrella, ya que, si bien la empresa establece que notificará al usuario, la información sobre dicha notificación no se encuentra explicada en forma detallada, aclarando si se hará antes o después de la entrega de la información solicitada y si se le avisará al usuario qué información se brindó específicamente.

d) Autorización judicial

Dentro de la sección Avisos Legales en el apartado sobre Protección de Datos personales, en el punto 4, se establece “No revelar la información (cuando legalmente se requiera consentimiento previo) a terceras personas, a menos que hayamos informado previamente al cliente y éste nos haya autorizado o lo hagamos en virtud de una obligación legal.”

Como consecuencia se desprende que se revelará la información si el titular de los datos lo autoriza o en virtud de una obligación legal. Asimismo, en los Términos y Condiciones se habla de “autoridad solicitante”, este lenguaje amplio da lugar a ambigüedades en su interpretación, permitiendo, por ejemplo, inferir que la empresa admite tanto requerimientos judiciales como administrativos.
Finalmente, no contempla la diferencia entre la solicitud de datos de contenido o metadatos.

Resultado: Telefónica obtiene 1/4 de estrella, ya que exige autorización judicial ante el requerimiento de información de sus clientes, aunque deja la puerta abierta a otros medios como la vía administrativa, lo cual baja el estándar que guía el presente estudio. La empresa no establece si diferencia el requerimiento de datos de contenido y metadatos. Asimismo, no surge información del sitio web que permita concluir que la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

e) Guías para requerimiento de información personal

A partir de la búsqueda en el sitio web de la empresa, tanto el de Speedy como el institucional de Telefónica, no se encontró información sobre la forma en la cual debe recibir las solicitudes de información por parte de las autoridades, cómo es su política de acción para evaluar si las concede o no y las condiciones establecidas para la entrega de la información de sus clientes.

Sin embargo, el informe de transparencia analizado anteriormente establece en la página 4 la existencia de un procedimiento global de requerimientos de autoridad competentes aprobado en 2016, el cual “define el procedimiento interno global ante requerimientos de las autoridades de acuerdo con cada legislación nacional. Los Principios que rigen el proceso son: Confidencialidad, Exhaustividad, Fundamentación, Respuesta Diligente y Seguridad”.

Resultado: Telefónica recibe 1/4 de estrella, ya que cuenta con un procedimiento que determina cómo recibirán las solicitudes de información de sus clientes, pero los mismos no se encuentran publicados en el sitio web de Speedy o Telefónica de Argentina sino en el sitio institucional de la casa matriz, además de que la información sobre el procedimiento se limita a informar una serie de principios seguidos por la empresa pero no los lineamientos per se, que expliquen detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente.

f) Políticas de promoción y defensa de los DDHH

El informe de transparencia citado previamente en el criterio (b) menciona en la página 3 el compromiso de la empresa con los derechos humanos.

Del informe de sostenibilidad citado anteriormente, surge que Telefónica ha realizado varios talleres, conferencias y jornadas a fin de concientizar a la población respecto de diversas temáticas, como por ejemplo el fenómeno Big Data, vinculado a la generación de grandes volúmenes de datos, dónde se encuentran alojados y cómo son compartidos por la red.

Más allá de la concientización en general de cómo las nuevas tecnologías recolectan cada vez más datos, no se advirtieron jornadas direccionadas a promover la protección del derechos a la privacidad. El informe de sostenibilidad del año 2015 tiene en su Anexo un manifiesto de la empresa referente a la posición institucional en relación a los derechos humanos, que dice: “Respetamos los derechos y las libertades de las personas, entre los que se encuentra el derecho fundamental a la protección de los datos de carácter personal. Somos conscientes de que nuestro compromiso con la privacidad es clave para generar una relación de confianza con las personas que tengan relación con nosotros. Este compromiso se manifiesta en nuestra Política de Privacidad, aprobada en marzo de 2013 y que durante 2015 fue actualizada para alinearla con los nuevos retos a los que se enfrenta nuestro sector. Estamos convencidos de que la mejor forma de lograr el avance global en el respeto de la libertad de expresión es a través del diálogo entre gobiernos, industria, sociedad civil (incluidos expertos sobre derechos humanos), inversores, organizaciones supranacionales y otras partes interesadas afectadas. Telefónica continúa formando parte del Grupo de Diálogo de la Industria (Telecom Industry Dialogue) e implementando sus Principios Rectores, firmados en 2013”.²³Página 110. http://www.telefonica.com.ar/corporativo/acercadetelefonica/ar/corporate_responsibility/html/2015/files/informe2015.pdf En igual sentido, el informe del año 2016 tiene una sección dedicada a los derechos humanos en el capítulo “Compromiso con la sociedad”.²⁴Página 111. http://www.telefonica.com.ar/corporativo/acercadetelefonica/ar/corporate_responsibility/html/2016/files/informe2016.pdf

Finalmente, en el sitio web institucional, dentro de sus Políticas de privacidad se encuentra un apartado identificado como “Uso responsable de la Tecnología”, en el cual se menciona la existencia de Dialogando, un sitio web creado por la empresa para “fomentar un entorno seguro en Internet y concientizar a la Sociedad sobre la importancia de aprender a usar la tecnología de manera segura y responsable”.

Resultado: Telefónica recibe 1/4 de estrella por promover la concientización de la población con relación al impacto de las nuevas tecnologías y la recolección de los datos personales, esbozando un interés en la protección del derecho a la privacidad y libertad de expresión. Siendo esperable que la misma profundice su trabajo en torno a la participación en el Congreso cuando se presenten proyectos de ley que puedan socavar la privacidad y la libertad de expresión.

Telecom (Arnet)

a) Política de privacidad

En el pie del sitio web de Arnet se encuentra el vínculo a la Política de privacidad, en donde se explican las cláusulas de la misma con breves oraciones a lo largo de una única página.

Si bien la información brindada se encuentra escrita en un lenguaje sencillo, carece de explicaciones claras y precisas sobre los diversos puntos abordados.

En tal sentido, la Política determina que “la información [recolectada] es utilizada por Arnet con el único objeto de mejorar la oferta de servicios a sus usuarios y podrá ser utilizada con fines comerciales o estadísticos, exclusivamente por las empresas miembros del Grupo Telecom”, pero en ningún momento aclara específicamente qué tipo de información es recolectada por la empresa y por cuánto tiempo se almacenará.

Asimismo, reconoce –de forma simplemente enunciativa– los derechos de actualización, supresión, rectificación o cancelación del titular de los datos. Para ello prevé un supuesto formulario on-line destinado al efecto en el sitio web, pero la Política no indica dónde encontrarlo ni brinda un vínculo directo, el cual tampoco se puede encontrar desde la página principal.

Si bien la Política de privacidad se encuentra separada de los Términos y Condiciones, hay una solapa dentro de estos últimos referido a la protección de datos personales, la cual dirige a un documento PDF en donde está el logo del registro de la base e informa el derecho de acceso a los titulares. Dicha información debería encontrarse incluida en la Política de privacidad, con el fin de facilitar el acceso y brindar información de forma más ordenada para facilitar la comprensión por parte del lector sin conocimientos especializados.

Por otra parte, en las condiciones generales dentro de los Términos y Condiciones de servicio de Internet prestado por ARNET, hay un apartado referido a los “Datos personales del cliente” en el cual establece la finalidad promocional y de marketing de los datos y hace saber el derecho de acceso, retiro o bloqueo de su nombre de la base de datos: “por medio de nota o presentación escrita con firma certificada, medio postal o telegráfico y/o carta documento acreditando fehacientemente su identidad en Alicia Moreau de Justo N° 50 CP, Ciudad Autónoma de Buenos Aires (C1107AAB)”.

Los medios antes citados, propuestos por Telecom para el ejercicio del derecho de acceso, implican un costo para el usuario del servicio, lo que se presenta contrario al principio de gratuidad que establece la LPDP, según surge claramente de los artículos 14.1 y 14.3, así como también de su Decreto Reglamentario.²⁵El Decreto Reglamentario de la LPDP establece: “La solicitud a que se refiere el artículo 14, inciso 1, de la Ley Nº 25.326, no requiere de fórmulas específicas, siempre que garantice la identificación del titular. Se puede efectuar de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. También pueden ser utilizados otros servicios de acceso directo o semidirecto como los medios electrónicos, las líneas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin. En cada supuesto, se podrán ofrecer preferencias de medios para conocer la respuesta requerida”.

Respecto de las modificaciones que la empresa pueda realizar a la Política de privacidad, esta no contempla en sus cláusulas un plazo o el medio por el cual se le informará a los clientes de futuras modificaciones. En el caso de los Términos y Condiciones, estos contemplan que la empresa “podrá modificar en cualquier momento las CONDICIONES del SERVICIO, mediando notificación previa al CLIENTE por los medios usuales de comunicación, sea fax, correo electrónico o carta simple”.

Finalmente, la empresa se encuentra registrada como responsable ante la Dirección Nacional de Protección de Datos Personales como “Telecom Argentina S.A.” y declara varias bases de datos, a saber: Clientes, Clientes con fines publicitarios, Call Center, Proveedores, Recursos Humanos y Video vigilancia. Individualiza los datos del responsable de acceso, las finalidades de las bases de datos y el domicilio físico de la empresa.

Resultado: Telecom recibe 1/4 de estrella ya que si bien tiene una Política de privacidad que es accesible públicamente, la misma se encuentra poco detallada y no brinda suficiente información respecto de la recolección y uso de los datos personales de sus clientes, no identifica los derechos de los titulares, ni establece una notificación al usuario sobre la modificación de la Política.

b) Informe de transparencia

No es posible encontrar públicamente información sobre la publicación de informes de transparencia o documentos similares que contemplen las temáticas evaluadas en este criterio.

Sin embargo, la empresa publica informes de responsabilidad social empresaria en su sitio web institucional, el último disponible correspondiente al año 2015, en donde se comunican las actividades desarrolladas en materia económica, social y ambiental.

Resultado: Telecom no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio

c) Notificación al usuario

A partir de la búsqueda en el sitio web de la empresa no se encontró información sobre si los clientes son anoticiados ante el requerimiento de su información personal por parte de las autoridades gubernamentales.

Resultado: Telecom no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares, a las descriptas en este criterio, que lleven a concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

d) Autorización judicial

En su Política de privacidad, la empresa aclara que “Arnet no comparte, suministra o informa respecto de los datos personales de los usuarios a los anunciantes o terceros. La información personal obtenida del usuario no será revelada a terceras personas sin su consentimiento previo, salvo requerimiento de autoridad competente”.

Si bien por “requerimiento de autoridad competente” se entiende que quedan comprendidas las órdenes judiciales, el uso de esta fórmula deja lugar también a vías administrativas. La vaguedad de la Política de privacidad no deja claro en qué casos la empresa accedería entonces a revelar información personal sobre sus clientes

Resultado: Telecom recibe 1/4 de estrella ya que si bien determina un marco para la entrega de la información personal que la empresa recolecta de sus clientes, deja abierta la puerta a otros requerimientos que no vendrían acompañados por una orden emanada de un juez competente. Además, la Política no define si se diferencia entre la solicitud de datos de abonado, datos de contenido y metadatos, y no surge de la misma que la empresa resista a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

e) Guías para requerimiento de información personal

A partir de la búsqueda en el sitio web de la empresa no se encontró información o documentos sobre la forma en la cual debe recibir las solicitudes de información por parte de la autoridades, cómo es su política de acción para evaluar si las concede o no y las condiciones establecidas para la entrega de la información de sus clientes.

Resultado: Telecom no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares, a las descriptas en este criterio, que permitan concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

f) Políticas de promoción y defensa de los DDHH

En el sitio web de la empresa no se ha encontrado información que permita concluir que alguna de las actividades evaluadas en este criterio haya tenido lugar.

Telecentro

a) Política de privacidad

La empresa no cuenta con una política de privacidad. En el pie del sitio web de la empresa se encuentra un vínculo a la sección de “Términos y Condiciones”, dentro de la cual se hace una simple mención a la temática evaluada en este criterio la cual expresa “Ley N° 25.326 Protección de Datos Personales: Sus datos se encuentran protegidos. Puede acceder al texto de la ley en el sitio: http://www.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm”.

Más allá de la mención literal a la Ley 25.326, en el sitio web no se puede encontrar información sobre cómo la empresa protege los datos personales. No manifiesta qué datos serán recolectados, su finalidad o el plazo de retención de los mismos. Tampoco son mencionados los derechos del titular.

Finalmente, la empresa se encuentra registrada como responsable ante la Dirección Nacional de Protección de Datos Personales como “Telecentro S.A.” y declara varias bases de datos, a saber: Clientes, Empleados, Proveedores y Videovigilancia. Individualiza las finalidades de las bases de datos y el domicilio físico de la empresa, pero brinda información parcial sobre el responsable de acceso.

Resultado: Telecentro no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares, a las descriptas en este criterio, que permitan concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

b) Informe de transparencia

No es posible encontrar públicamente información sobre la publicación de informes de transparencia o documentos similares que contemplen las temáticas evaluadas en este criterio.

c) Notificación al usuario

Resultado: Telecentro no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

d) Autorización judicial

La empresa no aclara los requisitos que deben cumplir las autoridades gubernamentales para solicitar la información personal de sus clientes.

e) Guías para requerimiento de información personal

A partir de la búsqueda en el sitio web de la empresa no se encontró información o documentos sobre la forma en la cual debe recibir las solicitudes de información por parte de las autoridades, cómo es su política de acción para evaluar si las concede o no y las condiciones establecidas para la entrega de la información de sus clientes.

f) Políticas de promoción y defensa de los DDHH

En el sitio web de la empresa no se ha encontrado información que permita concluir que alguna de las actividades evaluadas en este criterio haya tenido lugar.

DIRECTV

a) Política de privacidad

El sitio web de la empresa contiene un vínculo en el pie de la página identificado como “Protección de Datos Personales” que dirige a la Política de privacidad.

La Política se encuentra desarrollada en forma clara y con lenguaje sencillo, organizada en nueve cláusulas separadas para mayor comodidad del lector, brindando a su vez una introducción sobre las prácticas de la empresa que son explicadas en sus cláusulas, específicamente se menciona:

“La naturaleza de la Información de Identificación Personal (“IIP”) que conservamos acerca de usted y la forma en que dicha información es utilizada.
La naturaleza, frecuencia y propósito de cualquier divulgación de su IIP que podamos hacer, incluyendo el tipo de personas o entidades a las cuales la divulgación pudiera ser realizada.
El tiempo durante el cual mantenemos su IIP.
La forma en que usted podrá ejercer sus derechos de acceso, actualización, modificación o supresión de su IIP.
Los derechos que le confiere la Ley 25.326 de Protección de los Datos Personales y otras normas relevantes en esta materia.”

En su primera cláusula, la Política distingue entre dos tipos de información. Por un lado la “Información del Cliente”, la cual refiere a “cualquier información relacionada con su servicio de DIRECTV incluyendo Información de su Cuenta, Información de Servicio, Información de Observación Anónima (IOA), Información Diagnóstica, Información Comercial e Información del Sitio Web”. Por otra parte, existe la “Información de Observación Personal Identificable” (IOPI), la cual refiere a los hábitos de ver televisión. En ninguno de los dos casos se aclara específicamente qué tipo de información es recolectada a partir de la prestación del servicio de Internet.

La tercera cláusula determina los casos en que la empresa compartirá la información con terceros. En los supuestos de cesión o transferencia de datos, DIRECTV no hace referencia específica al compromiso de garantizar que el destinatario cuente con un nivel de seguridad adecuado, con lo cual podría darse lugar al incumplimiento con el artículo 12 de la Ley 25.326, el cual prohíbe “la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados”. En este sentido, la empresa simplemente asume un compromiso para tomar las medidas necesarias que aseguren la confidencialidad de los datos de los usuarios.

Respecto del período de retención de la información, la quinta cláusula determina que la empresa mantiene la información del cliente “mientras se encuentre vigente la relación contractual a fin de prestar adecuadamente el servicio y con posterioridad a la terminación de la misma para desarrollar actividades vinculadas a la promoción y venta de los productos y servicios de DIRECTV”, y que “una vez que la información no sea necesaria para estos propósitos, y a menos que exista una solicitud extraordinaria para preservarla” la información es destruida.

En cuanto a la seguridad de la información, la séptima cláusula establece que la empresa toma las medidas razonablemente necesarias para protegerla a través del uso de tecnologías de seguridad y procedimientos que limitan, en la manera de lo posible, el acceso a sus bases de datos, aclarando que “ningún sistema es completamente seguro ni libre de errores”, por lo que no pueden “ofrecer garantizar completamente la seguridad de [la] información de Cliente”.

La octava cláusula detalla el derecho de acceso, rectificación, actualización y supresión del titular de los datos, estableciendo que el mismo puede contactarse «en forma gratuita durante horas laborables al 0810-333-4732 desde cualquier parte del país, correo electrónico at_cliente@directvla.com.ar, o correo postal Política de Privacidad de DIRECTV Argentina, Paraguay 610 piso 28, C.A.B.A.”, agregando además una referencia al artículo 14, inciso 3, y al artículo 27, inciso 3, de la Ley 25.326.

Sobre las futuras modificaciones que DIRECTV pueda realizar a la Política, la novena cláusula establece que la empresa se reserva el derecho “de realizar cambios (…) en cualquier momento” y que en caso de tener comentarios o preguntas sobre la Política los mismos pueden enviarse por teléfono, email o correo postal. No se prevé expresamente la notificación al usuario ante el cambio de la Política ni un medio por el cual el mismo puede enterarse de las modificaciones.

Finalmente, la empresa se encuentra registrada como responsable ante la Dirección Nacional de Protección de Datos Personales como “DIRECTV Argentina S.A.” y declara varias bases de datos, a saber: Cámaras de Seguridad, Clientes, Personal, Personal – Liquidación de Haberes y Proveedores. Individualiza los datos del responsable de acceso, las finalidades de las bases de datos y el domicilio físico de la empresa.

Resultado: DIRECTV recibe 1/2 estrella, pues si bien la Política de privacidad es accesible, clara, bien organizada, con un lenguaje sencillo, determina qué información es recolectada y el tiempo de almacenamiento, identifica los derechos del titular y prevé como ejercerlos, la misma no especifica su validez y cómo se vincula respecto de la prestación del servicio de Internet brindado por DIRECTV, además de que no establece una notificación al usuario ante la modificación de la Política.

b) Informe de transparencia

DIRECTV publica anualmente Reportes de Sustentabilidad, el último disponible en el sitio web pertenece al año 2014, en el cual se vincula el concepto de transparencia con la gestión operacional, honestidad comercial y políticas de lucha contra la corrupción, temáticas que –si bien son loables– no se encuentran vinculadas con el concepto de informe de transparencia que evaluamos en este criterio del presente estudio.

Al final de la Política de privacidad de DIRECTV, luego de la explicación de las diversas cláusulas, se incluye un vínculo al informe de transparencia. El mismo lleva a un documento PDF con la última versión disponible del informe (sin mostrar un historial con los distintos reportes anuales), con fecha de febrero de 2018, publicado por AT&T, su empresa matriz, el mismo se encuentra publicado en español.

El informe de transparencia versa principalmente sobre las solicitudes recibidas por AT&T en Estados Unidos bajo su propia legislación, tales como oficios referentes a seguridad nacional y oficios penales y civiles de EE.UU.

Asimismo, el informe incluye la categoría de “Oficios internacionales”, estos representan la cantidad de oficios legales civiles y penales que se originan fuera de Estados Unidos y se relacionan con las operaciones de AT&T en el extranjero.

De acuerdo a los servicios que proporciona AT&T a nivel internacional, el tipo y volumen de los oficios que la empresa recibe varía. Respecto de DIRECTV, el informe aclara que las principales solicitudes recibidas corresponden a información sobre los suscriptores (es decir, el nombre y dirección que aparece en la cuenta de facturación o los tipos de servicios comprados de AT&T). Además, en los países donde DIRECTV proporciona servicio de acceso a Internet también reciben oficios para realizar bloqueos de IP o URL.

Dentro de la categoría oficios internacionales encontramos el detalle de las solicitudes relativas a la Argentina con el total recibido acorde a las temáticas descriptas anteriormente: información de suscriptores y bloqueo de IP/URL.

Resultado: DIRECTV recibe 1/2 estrella, ya que si bien la empresa matriz, AT&T, publica informes de transparencia y DIRECTV incluye un vínculo directo desde el sitio web argentino ubicado dentro de la política de privacidad, el informe está orientado exclusivamente en Estados Unidos acorde a las actividades de la empresa matriz y no refleja detalladamente la situación en Argentina vinculada a solicitudes sobre interceptación de comunicaciones o solicitud de metadatos, además de no informar si el total corresponde a solicitudes recibidas o solo aquellas cumplidas.

c) Notificación al usuario

La empresa prevé en la tercera cláusula de su Política de privacidad que pueden tener que compartir información con terceros “para cumplir con requerimientos legales o según lo permitido por la ley para proteger nuestros derechos y propiedad. Por ejemplo, podríamos ser obligados mediante un requerimiento u orden de una Autoridad Competente a entregar cierta Información del Cliente o IOPI”.

Asimismo, la empresa aclara que “siempre que fuera posible, DIRECTV intentará darle a conocer dicho requerimiento u orden de modo que usted pueda ejercer sus derechos”. La fórmula utilizada resulta muy ambigua, teniendo en cuenta que la empresa se reserva en todos los casos la facultad de llevar a cabo la notificación o no. Una interpretación positiva de la última parte de la cláusula podría verse como que la notificación se haría antes de entregar la información del cliente para que este pueda ejercer su derecho al debido proceso y verificar que los requisitos legales se hayan cumplido.

Resultado: DIRECTV recibe 1/2 estrella ya que determina una cláusula estableciendo una notificación a sus usuarios ante el requerimiento de información personal, aunque el lenguaje utilizado deja lugar a una alta discrecionalidad de la empresa para el cumplimiento de este mecanismo, además de no especificar si la notificación se realizará antes o después de la entrega de la información requerida.

d) Autorización judicial

Acorde a lo analizado en el criterio anterior, la empresa establece que pueden compartir la información de los usuarios con terceros a fin de cumplir con requerimientos legales o conforme lo permitido por la ley para proteger sus derechos y propiedad. Respecto a lo cual brinda un ejemplo mencionando que pueden ser obligados “mediante un requerimiento u orden de una Autoridad Competente”.

Resultado: DIRECTV recibe 1/4 de estrella pues la empresa no establece estrictamente la necesidad de una orden judicial como requisito sine qua non para la entrega de la información personal de sus clientes, dando lugar a la petición por parte de organismos administrativos. No aclara si se distingue entre la solicitud de datos de contenido respecto de los metadatos. Finalmente, no surge de sus políticas que la empresa resista a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

e) Guías para requerimiento de información personal

A partir de la búsqueda en el sitio web de la empresa no se encontró información o documentos sobre la forma en la cual debe recibir las solicitudes de información de parte de las autoridades, cómo es su política de acción para evaluar si las concede o no y las condiciones establecidas para la entrega de la información de sus clientes.

Resultado: DIRECTV no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares a las descriptas en este criterio, que permitan concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

f) Políticas de promoción y defensa de los DDHH

En el sitio web de la empresa no se ha encontrado información que permita concluir que alguna de las actividades evaluadas en este criterio haya tenido lugar.

NSS S.A. (IPLAN)

a) Política de privacidad

La empresa no posee en su página web una política de privacidad. Al pie del sitio web se encuentra un vínculo identificado como “Protección de Datos Personales”, en dicha sección la información se limita a enunciar el derecho de acceso, conforme la Ley 25.326, retiro o bloqueo de su nombre en los bancos de datos. Asimismo, hace saber que la autoridad de aplicación de la mentada ley es la Dirección Nacional de Protección de Datos Personales.

La empresa se encuentra registrada como responsable ante la Dirección Nacional de Protección de Datos Personales como “NSS S.A.”, pero no surge que tenga bases de datos declaradas, por lo tanto, no individualiza los datos del responsable de acceso, las finalidades de las bases de datos, ni el domicilio físico de la empresa.

Resultado: IPLAN no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares a las descriptas en este criterio, que permitan concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

b) Informe de transparencia

No es posible encontrar públicamente información sobre la publicación de informes de transparencia o documentos similares que contemplen las temáticas evaluadas en este criterio.

Resultado: IPLAN no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

c) Notificación al usuario

d) Autorización judicial

La empresa no aclara los requisitos que deben cumplir las autoridades gubernamentales para solicitar la información personal de sus clientes.

e) Guías para requerimiento de información personal

f) Políticas de promoción y defensa de los DDHH

En el sitio web de la empresa no se ha encontrado información que permita concluir que alguna de las actividades evaluadas en este criterio haya tenido lugar.

Resultado: IPLAN no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares a las descriptas en este criterio, que lleven a concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

Notas al pie

El Artículo 19 CN establece: Las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están sólo reservadas a Dios y exentas de la autoridad de los magistrados. Ningún habitante de la Nación será obligado a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe.”
El Artículo 18 CN establece: “El domicilio es inviolable, como también la correspondencia epistolar y los papeles privados; y una ley determinará en qué casos y con qué justificativos podrá procederse a su allanamiento y ocupación.”
El Artículo 43 CN recita: “Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística”.
El Decreto disuelve los anteriores organismos reguladores: la Autoridad Federal de Servicios de Comunicación Audiovisual (AFSCA) y la Autoridad Federal de Tecnologías de la Información y las Comunicaciones (AFTIC). DNU 267/15: http://servicios.infoleg.gob.ar/infolegInternet/anexos/255000-259999/257461/norma.htm
“Estado de la banda ancha en América Latina y el Caribe”, CEPAL, octubre 2016, disponible en: http://repositorio.cepal.org/bitstream/handle/11362/40528/S1601049_es.pdf?sequence=6&isAllowed=y
“En qué consiste el Plan Federal de Internet que presentó hoy Mauricio Macri”, La Nación, 17 de mayo de 2016, disponible en: http://www.lanacion.com.ar/1899595-que-es-el-plan-federal-de-internet-que-presento-hoy-mauricio-macri
Plan Federal de Internet, Ministerio de Modernización: https://www.argentina.gob.ar/modernizacion/comunicaciones/planfederaldeinternet; Más información sobre los puntos de conexión disponibles en el sitio web de datos abiertos de ARSAT: http://datos.arsat.com.ar/dashboards/19767/plan-federal-de-internet/
“El Arsat-1 llegó a la órbita geoestacionaria”, La Nación, October 27, 2014, https://www.lanacion.com.ar/1739035-el-arsat-1-llego-a-la-orbita-geoestacionaria; “Lanzaron con éxito el Arsat-2 y ya está en órbita”, Clarín, October 30, 2015, https://www.clarin.com/sociedad/arsat-2-lanzamiento_0_BybgiBMYvml.html
“ENACOM publicó el nuevo Reglamento de Registro de Servicios TIC”, Revista Fibra, May 18, 2016, http://revistafibra.info/enacom-publico-el-nuevo-reglamento-de-registro-de-servicios-tic/
Resolución 2483/2016, Boletín Oficial, 16 de mayo de 2016, disponible en: https://www.boletinoficial.gob.ar/#!DetalleNorma/145279/20160518
ENACOM “Inscripción online para proveedores de acceso a internet”, 19 de agosto de 2016, disponible en: https://www.enacom.gob.ar/institucional/inscripcion-online-para-proveedores-de-acceso-a-internet_n1353
ENACOM, “Información de las prestadores”, disponible en: http://www.enacom.gob.ar/informacion-de-prestadores_p1307
Martín Becerra, De la concentración a la convergencia, Buenos Aires: Paidós, 2015, 64; Leticia Pautasio, “Estadísticas: mercado de telecomunicaciones de Argentina”, Telesemana, 4 de agosto de 2015, disponible en: http://www.telesemana.com/blog/2015/08/04/estadisticas-mercado-de-telecomunicaciones-de-argentina/
Gustavo Fontanals, “Pariendo a Goliat”, Revista Fibra, 7 de septiembre de 2017, disponible en: http://papel.revistafibra.info/pariendo-a-goliat/
¿Qué significa la fusión Cablevisión-Telecom?, Télam, 22 de diciembre de 2017, disponible en: http://www.telam.com.ar/notas/201712/233091-fusion-telecom-cablevision-internet-cuadruple-play-que-significa.html
OBSERVACOM, “Sociedad civil denuncia ante la CIDH por cambios a Ley Audiovisual. Gobierno promete “nuevo marco regulatorio acorde con el derecho internacional”, 8 de abril de 2016, disponible en: https://us3.campaign-archive.com/?u=460098614e2e18abf939ad0ea&id=8bf2e9487c&e=061a0396cc
Decreto 1340/16, 20 de diciembre de 2016, disponible en: http://servicios.infoleg.gob.ar/infolegInternet/anexos/270000-274999/270115/norma.htm
La fusión de las empresas Cablevisión (Grupo Clarín) y Telecom Argentina fue aprobada a fines de 2017, quedando habilitadas a brindar servicios en conjunto a partir de 2018. Debido a que el presente estudio fue realizado en base a las políticas llevadas a cabo por las empresas durante el 2017, mantendremos la evaluación de cada una de las empresas en forma separada, quedando para una próxima edición de este reporte la actualización de la evaluación como una única empresa.
A fines de 2017, a partir de la Decisión Administrativa 1002/17 http://servicios.infoleg.gob.ar/infolegInternet/anexos/285000-289999/287325/norma.htm, la Dirección Nacional de Protección de Datos Personales, que se encontraba bajo la órbita del Ministerio de Justicia de la Nación, pasó a funcionar bajo la órbita de la Agencia de Acceso a la Información Pública, la cual depende de la Jefatura de Gabinete de Ministros de la Nación. Más información sobre la AAIP https://www.argentina.gob.ar/aaip y el comunicado oficial de la DNPDP aquí: http://www.jus.gob.ar/datos-personales/comunicados/2017/11/15/comunicacion.aspx
En diciembre de 2015 a través del decreto 256/15, el gobierno de Mauricio Macri dispuso la transferencia del Departamento de Interceptación y Captación de las Comunicaciones (DICOM) de la Procuración General de la Nación, hacia la Corte Suprema de Justicia. Este sería la segunda transferencia sufrida por dicho organismo en menos de 6 meses, pues el gobierno de Fernández de Kirchner había transferido el DICOM de la Secretaría de Inteligencia a la PGN. En septiembre de 2016 tuvo lugar una reestructuración institucional que dio lugar a la creación de la Dirección de Asistencia Judicial y dentro de ella a la OCC (ex DICOM). ADC, 2017, más información disponible en: https://adcdigital.org.ar/wp-content/uploads/2017/05/El-cambio-que-no-llega.pdf
Esta temática fue debatida en la jornada de trabajo «Evidencia Digital, Investigación de Cibercrimen y Garantías del Proceso Penal» organizada por la ADC en marzo de 2017, la cual contó con la participación de integrantes de los equipos y laboratorios forenses de las fuerzas policiales federales y provinciales, fiscales y miembros del poder judicial y reconocidos abogados penalistas. Un resumen de las discusiones sostenidas en la jornada se encuentra disponible en el siguiente enlace: https://adcdigital.org.ar/portfolio/evidencia-digital-investigacion-cibercrimen-garantias-del-proceso-penal/
A fines de febrero de 2018, el sitio web con la política de privacidad de Fibertel ya reflejaba la fusión de Cablevisión con Telecom Argentina S.A., indicando el nombre de esta última como subtítulo de la página. No obstante, de la última revisión (a fines de febrero de 2018) del análisis realizado a lo largo del 2017, surge que la política no ha sufrido modificaciones sustanciales más allá del cambio de nombre de la empresa y el domicilio físico.
Página 110. http://www.telefonica.com.ar/corporativo/acercadetelefonica/ar/corporate_responsibility/html/2015/files/informe2015.pdf
Página 111. http://www.telefonica.com.ar/corporativo/acercadetelefonica/ar/corporate_responsibility/html/2016/files/informe2016.pdf
El Decreto Reglamentario de la LPDP establece: “La solicitud a que se refiere el artículo 14, inciso 1, de la Ley Nº 25.326, no requiere de fórmulas específicas, siempre que garantice la identificación del titular. Se puede efectuar de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. También pueden ser utilizados otros servicios de acceso directo o semidirecto como los medios electrónicos, las líneas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin. En cada supuesto, se podrán ofrecer preferencias de medios para conocer la respuesta requerida”.

¿Quién defiende tus datos? • 2017

Contenidos

Contexto nacional

Metodología de análisis

Criterios y evaluación

1. Política de privacidad

2. Informe de transparencia

3. Notificación al usuario

4. Requerimiento de autorización judicial

5. Guías para requerimiento de información personal

6. Políticas de promoción y defensa de los derechos humanos

Empresas

Cablevisión (Fibertel)

a) Política de privacidad

b) Informe de transparencia

c) Notificación al usuario

d) Autorización judicial

e) Guías para requerimiento de información personal

f) Políticas de promoción y defensa de los DDHH

Telefónica (Speedy)

a) Política de privacidad

b) Informe de transparencia

c) Notificación al usuario

d) Autorización judicial

e) Guías para requerimiento de información personal

f) Políticas de promoción y defensa de los DDHH

Telecom (Arnet)

a) Política de privacidad

b) Informe de transparencia

c) Notificación al usuario

d) Autorización judicial

e) Guías para requerimiento de información personal

f) Políticas de promoción y defensa de los DDHH

Telecentro

a) Política de privacidad

b) Informe de transparencia

c) Notificación al usuario

d) Autorización judicial

e) Guías para requerimiento de información personal

f) Políticas de promoción y defensa de los DDHH

DIRECTV

a) Política de privacidad

b) Informe de transparencia

c) Notificación al usuario

d) Autorización judicial

e) Guías para requerimiento de información personal

f) Políticas de promoción y defensa de los DDHH

NSS S.A. (IPLAN)

a) Política de privacidad

b) Informe de transparencia

c) Notificación al usuario

d) Autorización judicial

e) Guías para requerimiento de información personal

f) Políticas de promoción y defensa de los DDHH

Notas al pie

Artículos relacionados

Defensores de derechos fundamentales piden al gobierno de Mendoza que detenga la compra de tecnología de vigilancia masiva

Nuevo pedido de acceso a la información ante el hackeo al Ministerio de Salud de la Nación