¿Quién defiende tus datos? 2019

Un estudio de las políticas y prácticas de las empresas de telecomunicaciones e internet sobre la protección de la privacidad y los datos personales de los usuarios. Evaluamos a los principales proveedores de servicios de Internet en Argentina para que los usuarios puedan tomar mejores decisiones informadas.

Introducción

En el año 2011, la Electronic Frontier Foundation (EFF) inició una evaluación de las políticas de privacidad de las principales compañías tecnológicas de los Estados Unidos, con el fin de fomentar la privacidad y la protección de datos personales frente a las solicitudes de información realizadas por el Estado. Bajo el nombre “Who Has Your Back?”, la iniciativa se convirtió en un informe publicado anualmente por la EFF, gracias a los cuales se ha ido notando la evolución de las gigantes empresas de tecnología en brindar mayor transparencia con relación a cómo y cuándo divulgan nuestros datos personales al gobierno estadounidense.

¿Quién defiende tus datos? es una serie de estudios llevados a cabo en iberoamérica, inspirados en la iniciativa original de EFF, pero adaptados y contextualizados a la realidad de la región. La Asociación por los Derechos Civiles (ADC) fue convocada por la EFF en 2017 para empezar la implementación de este estudio en Argentina y de esta forma contribuir al proyecto regional. En América Latina, las investigaciones y publicación de informes en cada país se llevan a cabo en México por R3D, en Colombia por Fundación Karisma, en Brasil por InternetLab, en Perú por Hiperderecho, en Paraguay por TEDIC, en Chile por Derechos Digitales, en Panamá y Guatemala por IPANDETEC y en España por la Fundación Éticas.

Los informes regionales tienen por objetivos evaluar cuáles son las empresas que defienden a sus clientes, analizando algunas preguntas como: ¿Qué empresas son transparentes acerca de sus políticas con respecto a las solicitudes para la entrega de información? ¿Cuáles de ellas requieren una orden judicial antes de entregar datos personales? ¿Notifican las empresas a sus usuarios a la hora de cumplir con una orden judicial?

De esta forma, ¿Quién defiende tus datos? busca promover buenas prácticas entre las empresas, alentando la competencia entre ellas. El informe examina la información publicada en internet por las propias empresas, incluyendo las políticas de privacidad y términos y condiciones, ayudando de esta manera a que las personas puedan tomar decisiones informadas al momento de decidir qué empresa promete una mejor protección de su privacidad.

En la edición 2017 de ¿Quién defiende tus datos? evaluamos las principales empresas proveedoras de servicios de Internet (ISP) fijo, las cuales en conjunto representan más del 90% de la cuota de mercado a nivel nacional. Las primeras empresas evaluadas fueron: Cablevisión (Fibertel), Telefónica (Speedy), Telecom (Arnet), Telecentro, IPLAN y DirecTV (AT&T).

En la edición 2019, además de las empresas mencionadas sumamos dos nuevos rubros. Por un lado, incorporamos los servicios de las operadoras de telefonía e internet móvil: Claro, Personal (Telecom) y Movistar (Telefónica). Por otra parte, evaluamos a las principales empresas que empezaron a cobrar reciente popularidad en el nuevo mercado de aplicaciones para pedidos y envíos: PedidosYa, Rappi y Glovo.

Debido a que las empresas proveedoras de internet no tienen políticas diferenciadas entre su servicio hogareño y móvil, la evaluación se hace para toda la empresa en una única sección y no por cada servicio en sí. Es por esto que encontrarán dos grandes industrias como parte del estudio: por un lado las empresas de telecomunicaciones y por otra parte las empresas de delivery.

Tal como en la primera edición, cada compañía fue contactada por email a fin de solicitar participar en una entrevista privada y compartir cualquier información adicional que considerasen necesaria, elementos que fueron incorporados en el informe final. Este enfoque se basa en los antecedentes de trabajo que la EFF realizó para sus informes anuales “Who Has Your Back?” en los Estados Unidos, aunque las preguntas específicas del estudio de ADC fueron adaptadas para coincidir con la realidad y el entorno legal de Argentina.

Al momento de cierre de la versión final del informe en diciembre 2019, la única empresa que respondió el contacto realizado por la ADC y accedió a tener una reunión para conversar en detalle sobre sus políticas y prácticas fue IPLAN.

Tabla comparativa con los resultados de todas las empresas evaluadas en el informe.

Contexto nacional

En Argentina, el derecho a la privacidad se encuentra reconocido en la Constitución Nacional por su artículo 19¹El Artículo 19 CN establece: Las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están sólo reservadas a Dios y exentas de la autoridad de los magistrados. Ningún habitante de la Nación será obligado a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe.”, el cual sin hacer una mención literal del término utiliza la expresión “acciones privadas”, interpretado por la jurisprudencia de la Corte Suprema como consagrando el derecho a la privacidad. Además, el artículo 18²El Artículo 18 CN establece: “El domicilio es inviolable, como también la correspondencia epistolar y los papeles privados; y una ley determinará en qué casos y con qué justificativos podrá procederse a su allanamiento y ocupación.” protege el domicilio, la correspondencia epistolar y los papeles privados, habiendo sido reconocido por la jurisprudencia nacional como extensible al ámbito digital para referir a las comunicaciones online y la información almacenada en los dispositivos personales. Por último, el artículo 43³El Artículo 43 CN recita: “Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística”. consagra el derecho de toda persona a conocer los datos sobre sí misma que se encuentren en poder de entidades públicas o privadas, así como también la finalidad para la cual los datos son destinados, habilitando a su vez a la persona que encuentre datos falsos o discriminatorios a exigir la supresión, rectificación, confidencialidad o actualización de los mismos.

Así mismo, el artículo 75.22 equipara el nivel de jerarquía legal de los tratados internacionales de derechos humanos suscriptos por el país con la Constitución Nacional. De esta manera, el derecho a la privacidad también se encuentra reconocido en el marco normativo argentino gracias a encontrarse contemplado en la Declaración Universal de Derechos Humanos (Artículo 12), la Convención de Naciones Unidas sobre los Derechos del Niño (Artículo 16), el Pacto Internacional sobre Derechos Civiles y Políticos (Artículo 17), la Convención Americana sobre Derechos Humanos (Artículo 11), la Declaración Americana de los Derechos y Deberes del Hombre (Artículo 5), por nombrar tan solo algunos.

La ley 25.326 de Protección de Datos Personales es la principal legislación en materia de privacidad, fue sancionada a fines del año 2000 y su autoridad de aplicación es la actual Agencia de Acceso a la Información Pública (antes Dirección Nacional de Protección de Datos Personales). En 2017, la AAIP inició un proceso de consulta para la elaboración de un anteproyecto para la reforma de la ley. La versión final del proyecto fue enviada al Congreso por el Poder Ejecutivo en septiembre de 2018.⁴Análisis inicial del proyecto de ley de protección de datos personales de Argentina, ADC, octubre 2018, disponible en: https://adc.org.ar/wp-content/uploads/2019/06/044-analisis-inicial-del-proyecto-de-ley-de-proteccion-de-datos-personales-vol-1.pdf Durante 2019 fue enviado a las comisiones correspondientes pero no fue debatido. A la fecha de cierre del presente informe, el proyecto aún mantiene su estado parlamentario.

El principal organismo regulador de telecomunicaciones en Argentina es el Ente Nacional de Comunicaciones (ENACOM), creado por decreto presidencial en diciembre de 2015 y más tarde validado por el Congreso Nacional en abril de 2016.⁵El Decreto disuelve los anteriores organismos reguladores: la Autoridad Federal de Servicios de Comunicación Audiovisual (AFSCA) y la Autoridad Federal de Tecnologías de la Información y las Comunicaciones (AFTIC). DNU 267/15: http://servicios.infoleg.gob.ar/infolegInternet/anexos/255000-259999/257461/norma.htm La composición del organismo ha generado cierta preocupación sobre la posible influencia del Poder Ejecutivo, ya que el ENACOM opera dentro del Ministerio de Comunicaciones y tiene una dirección integrada por cuatro directores elegidos por el presidente y tres propuestos por el Congreso. Las decisiones de ENACOM se pueden aprobar por mayoría simple y sus miembros pueden ser removidos por el presidente.⁶“Qué es Enacom”: http://www.enacom.gob.ar/que-es-enacom_p33

La penetración a internet en Argentina se encuentra entre las más altas de América Latina, un informe de la CEPAL de 2017 sitúa al país en el cuarto puesto a nivel regional. En los últimos tres años los acceso residenciales a internet se duplicaron, el informe publicado por el Instituto Nacional de Estadística y Censos (INDEC) en enero de 2019 registró un total de 38.493.045 de accesos residenciales.

Entre 2017 y 2019, la cantidad de conexiones móviles se ha incrementado exponencialmente, mostrando una tendencia de consumo en alza para este tipo de servicio. Hacia diciembre de 2017, las conexiones móviles eran 11.122.528⁷Instituto Nacional de Estadística y Censos, Ministerio de Hacienda, Accesos a internet, tercer trimestre de 2017, disponible en: https://www.indec.gob.ar/uploads/informesdeprensa/internet_12_17.pdf , mientras que durante el primer trimestre de 2019 se registraron 31.020.906 de conexiones.⁸Instituto Nacional de Estadística y Censos, Ministerio de Hacienda, Accesos a internet, primer trimestre de 2019, disponible en: https://www.indec.gob.ar/uploads/informesdeprensa/internet_06_19CBA837FC38.pdf

Gráfico elaborado por INDEC sobre accesos a internet fijos y móviles entre enero de 2016 y marzo de 2019. — *Gráfico elaborado por INDEC (2019).*

Las velocidades de internet en el país varían considerablemente, diversas fuentes confirman que la velocidad de la banda ancha se encuentra por debajo de los promedios a nivel regional y global. De acuerdo con la firma Ookla, dueña del sitio web Speedtest, Argentina se encuentra en el puesto 73 de 176 a nivel internacional, con una velocidad promedio de 33,67 Mbps de descarga en internet fijo. Respecto a la velocidad de conexiones móviles, específicamente 4G (LTE), Argentina se encuentra en el puesto 79 de 144 con 23,48 Mbps de velocidad de descarga.⁹Speedtest Global Index, informe de octubre 2019. Último acceso: 5 de diciembre de 2019. Disponible en: https://www.speedtest.net/global-index

Un estudio desarrollado en 2018 por OpenSignal, posiciona a Argentina en el puesto número 12, de 14 países relevados a nivel regional, con una velocidad promedio de 12,5 Mbps de descarga en internet móvil. En cuanto a la disponibilidad de la cobertura 4G, Argentina se encuentra en el quinto puesto, de los 14 países evaluados, por debajo de Uruguay, Perú, México y Bolivia.¹⁰“As 4G reach in Latin America improves, so does the consumer experience”, Open Signal, 5 de marzo de 2018, disponible en: https://www.opensignal.com/blog/2018/03/05/as-4g-reach-in-latin-america-improves-so-does-the-consumer-experience

Según la Cámara Argentina de Internet (CABASE) existe una gran disparidad en la velocidad de conexión ofrecida en las diversas provincias del país, “la velocidad promedio de las conexiones fijas a internet es de 13,1 Megas, apenas el 43,3% de [las conexiones] supera los 10 MB y el 40,7% son conexiones de entre 1 y 6 MB”.¹¹CABASE Internet Index, 30 de agosto de 2018, disponible en: https://www.cabase.org.ar/cabase-internet-index-el-40-de-las-conexiones-de-internet-de-argentina-no-superan-los-6-mb/ Por otra parte, los costos de las conexiones no se condicen con la calidad ofrecida y para 1,5 millones de hogares el acceso a internet supone una elevada inversión económica.¹²CABASE, Estado de Internet en Argentina y la Región, segundo semestre 2018, página 8, disponible en: https://www.cabase.org.ar/wp-content/uploads/2018/09/CABASE-Internet-Index-II-Semestre-2018.pdf

Gráfico elaborado por CABASE sobre cantidad de accesos a internet fija en cada provincia y la velocidad promedio de bajada. — *Gráfico elaborado por CABASE (2018).*

En mayo de 2016, el entonces Presidente, Mauricio Macri, anunció que llevaría internet de banda ancha de calidad a 29 millones de personas mediante la inversión en infraestructura, en un plazo de dos años, bajo el denominado Plan Federal de Internet.¹³“En qué consiste el Plan Federal de Internet que presentó hoy Mauricio Macri”, La Nación, 17 de mayo de 2016, disponible en: http://www.lanacion.com.ar/1899595-que-es-el-plan-federal-de-internet-que-presento-hoy-mauricio-macri En abril de 2017, el gobierno reportó un total de 207 localidades conectadas correspondientes a 10 millones de personas. En septiembre de 2019, se reportaron 1000 localidades conectadas, de las cuales 250 son pequeñas localidades de menos de 500 habitantes, según indicó el Vicejefe de Gabinete.¹⁴“Plan Federal de Internet ya suma 1.000 localidades conectadas”, Ámbito, 25 de septiembre de 2019, disponible en: https://www.ambito.com/plan-federal-internet-ya-suma-1000-localidades-conectadas-n5056567

Argentina opera dos satélites de telecomunicaciones, Arsat I y Arsat II, los cuales fueron puestos en órbita en octubre de 2014 y septiembre de 2015 respectivamente.¹⁵“El Arsat-1 llegó a la órbita geoestacionaria”, La Nación, 27 de octubre de 2014, https://www.lanacion.com.ar/sociedad/el-arsat-1-llego-a-la-orbita-geoestacionaria-nid1739035; “Lanzaron con éxito el Arsat-2 y ya está en órbita”, Clarín, October 30, 2015, https://www.clarin.com/sociedad/arsat-lanzamiento_0_BybgiBMYvml.htmlA comienzos de 2016, la empresa estatal ARSAT suspendió la construcción del Arsat III, citando la necesidad de alcanzar previamente el auto-financiamiento del programa.¹⁶“El Gobierno suspendió la construcción del Arsat III”, Infobae, 28 de marzo de 2016, disponible en: https://www.infobae.com/2016/03/28/1800147-el-gobierno-suspendio-la-construccion-del-arsat-iii/ Hacia fines de 2019, ARSAT no anunció novedades sobre la reanudación del proyecto para finalizar el tercer satélite; para no perder la posición orbital, ARSAT alquiló un satélite a la empresa SES.¹⁷“El costo de haber abandonado el Arsat-3”, Página 12, 11 de febrero de 2019, disponible en: https://www.pagina12.com.ar/174238-el-costo-de-haber-abandonado-el-arsat-3

El gobierno nacional no impone límites al ancho de banda, así como tampoco impone control sobre la infraestructura de telecomunicaciones. No se han reportado casos de que el gobierno corte la conectividad de internet durante protestas o movimientos sociales. Actualmente hay 31 puntos de intercambio de internet (IXP) en funcionamiento, que ayudan a administrar el tráfico de internet de manera eficiente. Los IXP están estratégicamente distribuidos en las principales ciudades de todo el país.

Una compañía que busca ofrecer servicios de acceso a internet debe obtener una licencia de ENACOM, proceso que sufrió modificaciones en mayo de 2016. A partir de la introducción del nuevo Reglamento de Registro de Servicios TIC por medio de la Resolución 2483/16, se simplificó el proceso de registro de licencias para ISPs, debiendo los interesados presentar únicamente documentación legal y tributaria, sin la obligación de presentar el plan técnico.¹⁸“ENACOM publicó el nuevo Reglamento de Registro de Servicios TIC”, Revista Fibra, 18 de mayo de 2016, http://revistafibra.info/enacom-publico-el-nuevo-reglamento-de-registro-de-servicios-tic/ El arancel de inscripción inicial aumentó de $ 5000 a $ 20.000 pesos,¹⁹Resolución 2483/2016, Boletín Oficial, 16 de mayo de 2016, disponible en: https://www.boletinoficial.gob.ar/#!DetalleNorma/145279/20160518 y los proveedores pueden realizar el trámite de registro en forma online.²⁰ENACOM “Inscripción online para proveedores de acceso a internet”, 19 de agosto de 2016, disponible en: https://www.enacom.gob.ar/institucional/inscripcion-online-para-proveedores-de-acceso-a-internet_n1353

El país cuenta con mas de mil proveedores de internet licenciados,²¹ENACOM, “Información de las prestadores”, disponible en: http://www.enacom.gob.ar/informacion-de-prestadores_p1307 sin embargo, un 90% del mercado ISP de banda ancha fija se encuentra concentrado en tres compañías: Telefónica, Telecom Argentina y Cablevisión (Grupo Clarín).²²Martín Becerra, De la concentración a la convergencia, Buenos Aires: Paidós, 2015, 64; Leticia Pautasio, “Estadísticas: mercado de telecomunicaciones de Argentina”, Telesemana, 4 de agosto de 2015, disponible en: http://www.telesemana.com/blog/2015/08/04/estadisticas-mercado-de-telecomunicaciones-de-argentina/ En diciembre de 2017, el ENACOM aprobó la fusión de Cablevisión y Telecom,²³Gustavo Fontanals, “Pariendo a Goliat”, Revista Fibra, 7 de septiembre de 2017, disponible en: http://papel.revistafibra.info/pariendo-a-goliat/ quedando habilitado para brindar servicios de radiodifusión, telefonía fija y móvil, e internet fija y móvil. Esto tiene como resultado la concentración del 68% del mercado de banda ancha fija en una única empresa, al sumar los servicios Fibertel y Arnet (de Cablevisión y Telecom, respectivamente).²⁴¿Qué significa la fusión Cablevisión-Telecom?, Télam, 22 de diciembre de 2017, disponible en: http://www.telam.com.ar/notas/201712/233091-fusion-telecom-cablevision-internet-cuadruple-play-que-significa.html

Con el fin de promover la convergencia y la competencia, el gobierno nacional firmó una serie de Decretos de Necesidad y Urgencia para introducir reformas sustanciales afectando los sectores de telecomunicaciones y de medios. A pedido de varias organizaciones de la sociedad civil, se llevó a cabo una audiencia pública ante la Comisión Interamericana de Derechos Humanos (CIDH) en abril de 2016 a los fines de discutir los efectos del Decreto 267 de diciembre de 2015, que modifica la categoría de la televisión por cable como un servicio TIC, liberando de determinadas obligaciones provistas por la Ley Audiovisual a los proveedores de televisión.²⁵OBSERVACOM, “Sociedad civil denuncia ante la CIDH por cambios a Ley Audiovisual. Gobierno promete “nuevo marco regulatorio acorde con el derecho internacional”, 8 de abril de 2016, disponible en: https://us3.campaign-archive.com/?u=460098614e2e18abf939ad0ea&id=8bf2e9487c&e=061a0396cc El decreto 267 fue criticado por socavar el pluralismo, la diversidad y el contenido de producción local, a la vez que se alienta una mayor concentración del mercado.

El Decreto 1340 de diciembre de 2016 habilita a las empresas de telecomunicaciones a ofrecer televisión por cable, servicios de telefonía y acceso a internet, comenzando en 2018.²⁶Decreto 1340/16, 20 de diciembre de 2016, disponible en: http://servicios.infoleg.gob.ar/infolegInternet/anexos/270000-274999/270115/norma.htm Por otra parte, el decreto también benefició a la empresa DirecTV, conocida operadora de televisión satelital, permitiéndole brindar servicios de internet satelital.

Metodología de análisis

La evaluación de los parámetros pertenecientes a cada criterio se llevó a cabo analizando la información disponible públicamente en los sitios web de cada una de las empresas. Esto se debe a que el foco central de análisis son los compromisos públicos asumidos por cada proveedor de servicios, que será además la información a la cual accederán los usuarios, sin necesitar conocimientos técnicos sobre las temáticas abordadas.

El análisis de la información detallada a lo largo de los diversos criterios, llevado a cabo por investigadores de ADC, fue realizado durante el 2019 con una última revisión y actualización realizada en enero 2020, fecha que fue establecida como el cierre de esta segunda edición.

Para la edición 2019 mantuvimos, salvo una pequeña modificación, la misma estructura en los criterios y parámetros evaluados respecto a la primera edición del 2017, con el objetivo de construir una base comparativa a partir de la cual se puede realizar la puntuación de cada empresa.

El único cambio que realizamos fue mover el parámetro 3 que se encontraba en el criterio 4, respecto a “si la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales”, al criterio 6 de políticas de promoción y defensa de los DDHH. Esto se debe a un cambio que fue definido con las diversas organizaciones que realizan el informe QDTD en América Latina, con el objetivo de facilitar la comparación y contraste entre los distintos estudios.

Respecto a la estructura en la evaluación de las empresas, además de concentrar los servicios de internet móvil y residencial dentro de la misma empresa, la única modificación tuvo lugar debido a la fusión entre Cablevisión y Telecom, aprobada en junio de 2018, a partir de la cual los análisis correspondientes a Fibertel y Arnet fueron unificados.

En la primera etapa de la evaluación se llevó a cabo una evaluación preliminar con el fin de obtener un primer puntaje para cada una de las empresas y comprender en qué parámetros de cada criterio debe mejorar cada una para alcanzar una mayor puntuación.

Luego de la evaluación preliminar nos pusimos en contacto con las empresas para solicitarles una reunión, con el propósito de explicar en qué consiste el estudio y presentar los resultados obtenidos, para que de esta manera las empresas pudieran brindar información precisa sobre su trabajo por el resguardo de la privacidad de los usuarios, así como también complementar la información que se encuentra disponible públicamente o incluso aclarar cualquier ambigüedad que pudiera surgir a partir de la misma.

Todas las empresas fueron contactadas vía email, ya sea en forma directa o, en el caso de las operadoras móviles, a través de la cámara empresaria de la que forman parte. Este primer paso es fundamental para conocer la perspectiva de la empresa y dar la oportunidad para esclarecer cualquier tipo de dudas respecto a sus políticas de privacidad. La única empresa que contestó la solicitud de entrevista y accedió a una reunión fue IPLAN, respecto a la cual brindamos un resumen de los puntos discutidos dentro de su evaluación.

Parámetros evaluados en el informe: 1) Política de privacidad; 2) Informe de transparencia; 3) Notificación al usuario; 4) Requerimiento de autorización judicial; 5) Guías para requerimiento de información personal; 6) Políticas de promoción y defensa de los derechos humanos.

Criterios y evaluación

La evaluación consta en seis criterios, cada uno con sus correspondientes parámetros que permiten analizar la medida en que la empresa cumple con el criterio en cuestión:

Los criterios sobre «política de privacidad» y «requerimiento de autorización judicial» son los únicos que contemplan legislación aplicable actualmente, para el resto de los criterios no existe un marco normativo que aborde todos los parámetros evaluados. En tal sentido, los criterios examinarán la implementación de buenas prácticas que se han ido desarrollando a nivel internacional –principalmente a partir de la iniciativa de la EFF– y que las empresas están dispuestas a incorporar a sus políticas.

A continuación explicamos cada uno de ellos.

1. Política de privacidad

Una política de privacidad es un documento legal o una declaración que informa la manera en la cual la empresa recolecta, utiliza, divulga y gestiona los datos personales de sus clientes o usuarios.

En este criterio analizamos si las empresas cuentan con una política de privacidad y si la misma se encuentra disponible públicamente en su sitio web, con un lenguaje claro –evitando utilizar jerga legal sumamente técnica– y si la misma es independiente o se encuentra incorporada a los Términos y Condiciones.

Además, debido a que Argentina cuenta con una Ley de Protección de Datos Personales Nº 25.326 (en adelante LPDP), también se evaluará el cumplimiento de los requisitos establecidos en la ley, particularmente se analizará: si las empresas y sus bases de datos se encuentran registradas ante la Agencia de Acceso a la Información Pública (ex Dirección Nacional de Protección de Datos personales),²⁷A fines de 2017, a partir de la Decisión Administrativa 1002/17 (http://servicios.infoleg.gob.ar/infolegInternet/anexos/285000-289999/287325/norma.htm), la Dirección Nacional de Protección de Datos Personales, que se encontraba bajo la órbita del Ministerio de Justicia de la Nación, pasó a funcionar bajo la órbita de la Agencia de Acceso a la Información Pública, la cual depende de la Jefatura de Gabinete de Ministros de la Nación. Más información sobre la AAIP https://www.argentina.gob.ar/aaip y el comunicado oficial de la DNPDP aquí: http://www.jus.gob.ar/datos-personales/comunicados/2017/11/15/comunicacion.aspx si cumplen con los derechos pertenecientes al titular de los datos y si dan cumplimiento con las obligaciones legales.

Parámetros:

Si la política de privacidad es accesible, clara y sencilla;
Si determina qué información va a recolectar y por cuánto tiempo la almacenará;
Si refiere a las obligaciones de la LPDP (Art. 4: Calidad de los datos; Art. 5: Consentimiento; Art.6: Información; Art. 21: Inscripción en Registro);
Si identifica los derechos del titular;
Si publica la leyenda que prevé la LPDP (Art. 6.e) respecto del derecho de acceso a los datos personales (Art. 14) –en este caso si prevé de qué manera puede ejercerse el derecho de acceso, por email, por nota escrita, etc.;
Si establece una notificación al usuario en caso de modificación de la política, evaluando el tiempo establecido, si la notificación es anterior o posterior a la modificación, así como también la modalidad de la notificación.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con la mitad de los parámetros de evaluación.
¼ de estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

2. Informe de transparencia

En este criterio se verificará si las empresas analizadas publican en sus sitios web informes de transparencia, es decir, la cantidad de solicitudes que reciben de parte de fuerzas de seguridad y organismos gubernamentales requiriendo información personal de sus clientes, a cuántas se le da curso, a qué organismos se les entrega la información solicitada, y si la empresa también informa cuántas solicitudes rechaza.

Parámetros:

Si publica informes de transparencia;
Si éstos son accesibles al público en general;
Si lo hace por períodos;
Si informa sólo los pedidos recibidos, o también los cumplidos y los rechazados.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con la mitad de los parámetros de evaluación.
¼ de estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

3. Notificación al usuario

Se evaluará si las empresas informan a los usuarios los pedidos de información que respecto de ellos se realizan y/o si les notifican cuándo proceden a la entrega de sus datos.

Este criterio es importante toda vez que la notificación al usuario es lo que posibilita el ejercicio de sus derechos como sujeto de investigación, ya que si no conoce que se ha requerido acceso a su información no podrá ejercitar su derecho de defensa ni de un recurso efectivo, es decir su garantía al debido proceso.

Si bien el estándar más garantista determina que la notificación debe realizarse con anterioridad a la entrega de la información, si la solicitud se da en el marco de una investigación que requiere que el usuario no conozca la intromisión para no perjudicar la investigación o poner en riesgo la vida del usuario, la notificación debiera realizarse dentro de un plazo prudente que permita el ejercicio de los derechos descriptos anteriormente. En caso contrario, podrían encontrarse vulnerados los derechos y garantías constitucionales que consagra nuestra Constitución en su artículo 18.

Parámetros:

Si la empresa establece una notificación al usuario ante un requerimiento de información;
Si se compromete a notificar antes de entregar la información solicitada.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

4. Requerimiento de autorización judicial

Aquí se investigará si las empresas requieren autorización judicial para la entrega de la información solicitada o si acceden ante un simple pedido de las autoridades.

Desde el año 2017, el único organismo autorizado legalmente para llevar a cabo la interceptación de comunicaciones y captaciones telefónicas, es la Dirección de Asistencia Judicial en Delitos Complejos y Crimen Organizado (denominada comúnmente como DAJuDeCo) del Poder Judicial de la Nación, bajo la órbita de la Corte Suprema de Justicia.²⁸En diciembre de 2015 a través del decreto 256/15, el gobierno de Mauricio Macri dispuso la transferencia del Departamento de Interceptación y Captación de las Comunicaciones (DICOM) de la Procuración General de la Nación, hacia la Corte Suprema de Justicia. Este sería la segunda transferencia sufrida por dicho organismo en menos de 6 meses, pues el gobierno de Fernández de Kirchner había transferido el DICOM de la Secretaría de Inteligencia a la PGN. En septiembre de 2016 tuvo lugar una reestructuración institucional que dio lugar a la creación de la Dirección de Asistencia Judicial (DAJuDeCo) y dentro de ella a la OCC (ex DICOM). ADC, 2017, más información disponible en: https://adc.org.ar/informes/cambio-no-llega-sistema-de-inteligencia/ Una vez recibida la solicitud de interceptación, el organismo le da curso a la empresa correspondiente para que la misma, bajo su propia infraestructura, lleve a cabo la recolección de la información solicitada y la entregue finalmente a la DAJuDeCo para ser presentada formalmente en la causa judicial.

Hemos podido corroborar que si bien en la práctica los fiscales, valiéndose de un área de la legislación que aún no se encuentra adaptada al contexto digital, pueden requerir a las empresas que aseguren determinados datos, para acceder a su contenido deben requerir la autorización del juez competente.²⁹Esta temática fue debatida en la jornada de trabajo «Evidencia Digital, Investigación de Cibercrimen y Garantías del Proceso Penal» organizada por la ADC en marzo de 2017, la cual contó con la participación de integrantes de los equipos y laboratorios forenses de las fuerzas policiales federales y provinciales, fiscales y miembros del poder judicial y reconocidos abogados penalistas. Un resumen de las discusiones sostenidas en la jornada se encuentra disponible en el siguiente enlace: https://adc.org.ar/informes/evidencia-digital-investigacion-cibercrimen-garantias-del-proceso-penal/

En tal sentido, el estándar promovido en el presente estudio, con el fin de salvaguardar las garantías constitucionales, establece que toda solicitud de información, tanto datos de tráfico (metadatos) como de contenido, debería llevarse a cabo luego de haber sido previamente analizada y autorizada por el juez competente en el marco de un proceso judicial.

Parámetros:

Si la empresa exige una autorización judicial o no para proceder a la entrega de los datos;
Si diferencia la entrega de los datos con respecto a los metadatos y exige una autorización judicial en esos casos.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

5. Guías para requerimiento de información personal

En este criterio se analiza si las empresas establecen lineamientos, guías o protocolos orientados a las fuerzas de seguridad y otros organismos gubernamentales que expliquen cómo deben solicitar la información personal de los clientes, cuáles son las condiciones para la entrega de dicha información personal.

Este criterio se diferencia de la publicación de informes de transparencia ya que los informes de transparencia apelan a datos estadísticos de solicitudes recibidas y cumplidas mientras que en los lineamientos analizados buscan determinar cómo cada empresa establece la forma en la que las fuerzas policiales o de investigación deben solicitarle información y, en su caso, qué especificaciones deben cumplir a dicho efecto.

Además, se analiza si la empresa, al momento de establecer sus propias reglas para las autoridades locales, tiene en cuenta el contexto nacional o si los lineamientos preestablecidos responden a procedimientos foráneos, y en tal caso corroborar si los mismos son más rigurosos a favor de la privacidad de sus usuarios.

Parámetros:

Si la empresa tiene lineamientos, guías o protocolos que determinen cómo recibirán las solicitudes de información de sus usuarios;
Si los lineamientos, guías o protocolos se encuentran disponibles públicamente;
Si dichos lineamientos, guías o protocolos explican detalladamente los pasos a seguir ante el requerimiento y el procedimiento para brindar los datos a la autoridad requirente considerado el contexto local.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con la mitad de los parámetros de evaluación.
¼ de estrella si cumple con al menos uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

6. Políticas de promoción y defensa de los derechos humanos

En este criterio se evalúa si las empresas informan en sus páginas web, o a través de otros medios, sobre la promoción y defensa de los derechos humanos de los usuarios, particularmente el derecho a la privacidad.

Asimismo, se evaluará si realizan algún tipo de actividad publicitaria, campaña de concientización, realización de jornadas, participación en el Congreso mediante la presentación de proyectos de ley, asesoramiento legislativo o en audiencias públicas, en torno a la protección y difusión de derechos humanos como la privacidad, así como también otros derechos como los de los usuarios.

Parámetros:

Si la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.
Si la empresa promueve iniciativas políticas o legales para proteger la privacidad de sus usuarios en el Congreso, por ejemplo, a través de proyectos legislativos o participación en audiencias, o en los Tribunales.
Si la empresa lleva a cabo actividades, jornadas, publicidades o publica informes con el fin de generar conciencia en la sociedad sobre el derecho a la privacidad y/o la protección de los datos personales.

Evaluación:

De acuerdo con la cantidad de parámetros cumplidos por la empresa, la misma recibirá:

1 estrella completa si cumple con todos los parámetros evaluados en el criterio.
½ estrella si cumple al menos con uno de los parámetros de evaluación.
No recibe estrella si no cumple con ninguno de los parámetros evaluados.

Empresas de telecomunicaciones

En ambos sitios web, la política de privacidad se accede mediante un link en el pie de página, el cual lleva al mismo documento con fecha del 6 de junio de 2018. Su disposición está separada de los Términos y Condiciones, los cuales cada sitio web aún mantienen por separado y no fueron unificados en su contenido. La forma de redacción de la política de privacidad es clara, sin embargo en algunas disposiciones se utiliza un lenguaje jurídico específico.

En la primera parte de su política de privacidad se reproducen conceptos de la Ley de Protección de Datos Personales N.º 23.526 (en adelante LPDP). Estos conceptos serán la base de la interpretación de toda la política. Conceptos como: datos personales, archivo/registro, tratamiento de los datos, titular de datos, cesión de derechos, derecho a la información son definidos y detallados de manera sencilla. En este sentido no existen cambios respecto a nuestro relevamiento anterior de 2017.

En la segunda sección del texto se refiere a los principios que tendrá en cuenta Telecom para la protección de los datos. Establece que sin importar las condiciones de almacenamiento o de utilización de los datos, estos siempre serán propiedad del titular quien tendrá derecho a verificar la manera en que se use su información personal.

Telecom informa que la base de datos de sus clientes se encuentra inscripta acorde a los artículos 3 y 21 de la LPDP en la Agencia de Acceso a la Información Pública.

Respecto a lo establecido en el artículo 4 de la LPDP aclara que la recolección de los datos no será incompatible con la normativa vigente y que el alcance de la especificación de esos datos estará limitado al ámbito y finalidad que motivó su recolección. El titular no estará obligado a proporcionar “datos sensibles” ya que Telecom no recolecta ese tipo de información.

En el punto 4 desarrolla que el cliente acepta que sus datos estarán incluidos en archivos automatizados confidenciales haciendo la aclaración que debe conocer el uso de los servicios en los dispositivos vinculados y además que la navegación en determinadas páginas produce información que puede ser recolectada por terceros a la empresa.

En relación al consentimiento libre, expreso e informado la empresa aclara que el mismo es el fundamento del tratamiento de los datos siendo necesario que se produzca para que puedan ser utilizados y siempre con los fines que sean informados por la ley aplicable (art.6 ley LPDP). Además, en relación al artículo 5 y 11 LPDP, aclara que aquellos datos que no requieran el consentimiento específico podrán ser utilizados por Telecom y también por terceros a los cuales la empresa se los haya cedido para acciones promocionales de marketing. Respecto a los datos que fueron consentidamente otorgados, Telecom podrá suministrarlos a cualquier sociedad que integre el mismo grupo empresario y/o a sus proveedores de productos y servicios con el objetivo de ofrecer y/o vender productos, servicios y soluciones. La identidad de éstos terceros podrá ser requerida por el titular de los datos personalmente o por medio fehaciente, sin embargo no especifica cómo debe realizarse dicho trámite.

Especifica y desarrolla los derechos del titular: derecho a la información y al acceso, rectificación, actualización, supresión y confidencialidad y retiro o bloqueo en conformidad con el capítulo 3 LPDP.

Respecto al derecho de acceso detalla lo estipulado por la LPDP, pudiendo ser ejercido en forma gratuita con intervalo de 6 meses entre los pedidos a excepción que se acredite un interés legítimo. El pedido podrá ser realizado acreditando identidad personalmente, por nota escrita, correo electrónico, telefónicamente, medio postal o telegráfico, carta documento o presentación escrita con firma certificada.

La política de privacidad de la empresa podrá ser modificada y será informada al menos 60 días antes de producirse el cambio pudiendo el cliente rescindir sin cargo el servicio. No explicita el medio por el cual se dará esta notificación. Si no existe manifestación al respecto por parte del cliente, la continuación del uso de los servicios ofrecidos por Telecom se entenderá como una aceptación tácita de los nuevos términos y condiciones de la empresa.

Resultado: Telecom obtiene 1/2 estrella. La redacción es clara, aunque por momentos utiliza términos jurídicos que difícilmente sean comprendidos en su totalidad respecto a su alcance por todos los usuarios. No determina qué tipo de datos se almacenarán y es ambiguo respecto a la periodicidad en la recolección de los mismos, tampoco especifica por cuánto tiempo los almacenará. Desarrolla la manera en la que podrá iniciarse el derecho de acceso del titular pero no donde debe presentarse. Informa el procedimiento en caso de modificación de la política la notificación al usuario y aclara que estará acorde al Reglamento de Clientes de servicios TIC, pero se debe recurrir a ese reglamento para saber que la modificación será informada mediante el sitio de internet de la empresa.

Alentamos a la empresa a que introduzca algunas mejoras en su política, particularmente: que la empresa asuma un rol proactivo en la protección de datos personales, evitando permitir que se lleven adelante tratamientos de datos contrarios a su propia política y/o a la legislación vigente, actualizando el texto de la política de privacidad para evitar ambigüedades en tal sentido. Asimismo, la página web de la política de privacidad debería individualizarse de acuerdo con la fecha de “última actualización” en la parte superior de la página y mostrar el historial de las políticas anteriores. Por su parte, las modificaciones en dichas políticas deberían ser comunicadas a los usuarios en forma activa, por ejemplo vía email, para evitar desvirtuar el consentimiento prestado por el titular al contratar el servicio.

No se encuentra en el sitio referencia a este tipo de informes.

Resultado: Telecom no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

No se encuentra en el sitio referencia a este tipo de notificaciones frente al requerimiento gubernamental.

Resultado: Telecom no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

Telecom informa que se obliga a mantener el deber de confidencialidad de los datos personales que recolecte, pudiendo relevarse de esta obligación “por ley, resolución judicial emanada de autoridad competente”. La referencia a “datos personales” es amplia, pudiendo interpretarse como datos de contenido y metadatos en conjunto. La política de privacidad no aclara si considera que, de acuerdo a su interpretación de la ley, existen otros supuestos para brindar el acceso a datos personales sin la necesidad de una orden judicial firmada por un juez competente.

Resultado: Telecom obtiene 1/2 estrella. Si bien prevé la solicitud judicial, no establece si diferencia entre datos y metadatos.

No se hace mención sobre la actitud respecto a solicitudes de información de organismos gubernamentales o fuerzas de seguridad.

Dentro de las Políticas de Uso Aceptable hace mención a las causales que podría llevar a Telecom a la suspensión, inhabilitar o finalizar los Servicios TIC y bloquear cualquier actividad abusiva o tomar cualquier acción que sea apropiada según su criterio. Algunas de las causales las detalla en forma genérica: actividades violatorias de las leyes de antidiscriminación, protección de menores o de intimidad de los terceros, mientras que en algunos supuestos su detalle es más específico: intercepción de datos o de tráfico para el cliente sin autorización, el uso de comunicaciones simuladas para obtener datos del usuario, el intento de sabotaje a los equipos de los usuarios o la violación de medidas de seguridad y autenticación y demás supuestos contemplados en la Ley 26.388 (Delitos informáticos).

No se encuentra de manera específica que existan actividades por parte de la empresa respecto a promoción y concientización sobre el derecho a la privacidad y la protección de datos personales. Tampoco surge información del sitio web que permita concluir que la empresa resiste a través de la vía judicial las solicitudes de información personal que sean excesivas y no cumplan con los requisitos legales.

Resultado: Telecom obtiene ½ estrella. Dentro de las Políticas de Uso Aceptable menciona supuestos, con alguna vaguedad, donde la empresa controlará actividades que vulneren los derechos de los usuarios. No realiza actividades, publicidades o informes respecto al derecho a la privacidad y la protección de datos personales. Telecom no aclara cuál será su actuar respecto a las solicitudes que entienda que sean excesivas o incumplan requisitos legales.

Resultado obtenido por Personal y Fibertel: 1 estrella y media.

En abril de 2018, Telefónica unificó todos sus productos bajo la marca Movistar, incluyendo los servicios de telefonía e internet móvil, telefonía fija e internet hogareño.

Dentro de la página de Movistar, en la parte inferior se permite ingresar a las Políticas de privacidad. La información se encuentra clasificada por diversos apartados: Condiciones de uso de la Web, Condiciones de privacidad de uso de la Web, Política de uso de cookies, Condiciones de privacidad de telefonía móvil, Condiciones de privacidad del servicio de telefonía fija, Otros productos y servicios, Cómo gestionar mi privacidad, Seguridad de Datos Personales y Uso responsable de la tecnología.

Dentro de la categoría “Condiciones de privacidad del servicio de telefonía fija” se encuentran las disposiciones correspondientes al servicio de internet. Al inicio se aclara que los servicios serán prestados por Telefónica S.A., a pesar de la aclaración hecha al inicio que la marca será Movistar.

En el primer párrafo dispone que el cliente brindará a Telefónica de Argentina S.A sus datos personales: nombre y apellido, DNI, número de abonado y correo electrónico. La empresa declara que la información es “totalmente confidencial” aunque con la salvedad que Telefónica “hará su mejor esfuerzo para proteger la privacidad de los mismos, de conformidad con lo dispuesto en la Ley 25.326”.

En el segundo párrafo refiere a la cesión que hará el cliente para el uso de sus datos personales para hacer análisis de mercado y para enviarle propuestas comerciales. También el cliente autoriza a Telefónica a transferir sus datos personales a todas las empresas del Grupo Telefónica con fines de atención al cliente y para que éstas envíen propuestas comerciales relacionadas con sus servicios y productos. Al respecto no aclara cuáles son estas empresas ni si el cliente tiene posibilidad de conocerlas.

Respecto al derecho de acceso, los titulares podrán ejercerlo en forma gratuita con intervalos de 6 meses entre los pedidos, salvo si acredita interés legítimo al respecto, en concordancia con el artículo 14 LPDP.

Seguidamente explicita que el cliente acepta conocer que la AAIP es el órgano de control de la LPDP y se encuentra legitimado para atender denuncias y reclamos por el incumplimiento de dicha normativa. La empresa manifiesta que el titular de datos personales podrá solicitar el retiro o bloqueo total o parcial de su nombre de los bancos de datos del art. 27 de la ley 25.326 de modo personal, forma telefónica o por carta, debiendo tanto la prestataria como el resto de las empresas del Grupo Telefónica dar cumplimento dentro de los 5 días de notificada.

Dentro de la categoría “Cómo gestionar mi privacidad” repite lo dispuesto en el apartado anterior respecto a la facultad que tienen los usuarios para realizar denuncias ante la Dirección de Datos Personales, legitimación asumida actualmente por la AAIP por lo que entendemos que esta sección se encuentra desactualizada. Además reitera el trámite de bloqueo total o parcial de su nombre que fue explicado en el apartado anterior.

En el apartado “Seguridad de datos personales” en consonancia con la disposición 11/2006 comunican a sus clientes las medidas que adoptan para garantizar la privacidad de su información. Esto no ha sufrido cambios desde el relevamiento anterior en 2017.

Desde la página de inicio en la parte inferior también se puede acceder a Avisos Legales y la página del ENACOM.

Dentro de Avisos Legales se accede a: Términos y condiciones del sitio web, datos personales, ley de defensa del consumidor, Reglamento de clientes de servicios TIC, políticas del uso de las cookies, carta poder, compromiso ante la CNDC, APP mi movistar, APP mi movistar negocios, 4GLTE, Acuerdo operador móvil virtual, Adenda acuerdo operador móvil virtual y Oferta de referencia Operador móvil virtual. Respecto a la realización de este informe nos es relevante destacar que dentro de Datos personales se reitera la información antes detallada respecto a la administración de los datos por parte del titular y se adiciona la posibilidad de inscribirse en el registro de “NO Llame” para evitar ser contactado por vía telefónica con fines publicitarios. La empresa hace referencia a la finalidad en la que se utilizará la información y se compromete a resguardar los datos “adoptando medidas de seguridad necesarias que eviten su alteración, pérdida y tratamiento o acceso no autorizado, de acuerdo con lo establecido en la legislación aplicable”. Se repite lo relativo a la autorización que realiza el cliente para que la empresa pueda compartir con quienes pertenecen al Grupo Telefónica sus datos y lo respectivo a acceso a los datos personales.

La comunicación respecto a los cambios en los “Términos y condiciones” no sufrió modificaciones respecto a nuestro primer informe. Las mismas pueden ser modificadas en cualquier momento sin el consentimiento de los clientes entendiendo que estarán notificados de los mismos por un aviso durante un “plazo razonable” en la página web.

Telefónica tiene registrada su base de datos ante la AAIP.³⁰El registro de la base de datos puede corroborarse con la razón social “Telefónica de Argentina S.A.” y/o el CUIT “30639453975” en la web de la AAIP, disponible en: https://www.argentina.gob.ar/aaip/datospersonales/reclama/30639453975–RL-2018-55436384-APN-DNPDP#AAIP Último acceso: 6 de diciembre de 2019.

Resultado: Telefónica recibe ¼ de estrella. El contenido de la política de privacidad se encuentra diseminado en varios sectores distintos por lo que desde un principio disminuye la capacidad para acceder a la misma, además predomina la redacción con términos legales. Cabe destacar que, a nivel regional, Telefónica ha comenzado a implementar nuevas formas de explicar sus prácticas y políticas, en particular con el caso de su subsidiaria Vivo en Brasil.³¹Centro de Privacidad de Vivo Brasil, disponible en: https://web.archive.org/web/20200111053550/https://www.vivo.com.br/a-vivo/informacoes-aos-clientes/centro-de-privacidade

Respecto a los datos que va a recolectar, no se especifica por cuánto tiempo se lo hará ni por los períodos en los que se realizará. La empresa no diferencia entre los datos otorgados mediante consentimiento libre e informado y aquellos fuera de ese consentimiento, como regula el art. 5 LPDP. Hace mención respecto del artículo 6, sobre la finalidad de la recolección de los datos, aunque omite referirse al registro de los mismos. Respecto a los derechos del titular, son enunciados de manera escueta. Sobre el acceso a los datos personales, repite en varios de los apartados el mecanismos para realizarlo y el alcance de ese acceso.

Finalmente, la modificación en los términos y condiciones no será notificada a los usuarios personalmente, sino a través de la página por un anuncio que estará visible un tiempo determinado que no precisan. Sería apropiado revertir la carga de la revisión constante en el sitio web de la empresa por el cliente a una más proactiva, por ejemplo, anoticiando al mismo por email.

En la página global de Telefónica se encuentra el informe global donde Argentina es relevada en conjunto con el resto de los países integrantes del grupo empresario.³²https://www.telefonica.com/es/web/negocio-responsable/informe-de-transparencia-en-las-comunicaciones Último acceso: 10 de diciembre de 2019.El informe publicado en 2019 contiene datos hasta el final del 2018, allí se analiza el número de clientes afectados por los distintos tipos de intervenciones.³³https://www.telefonica.com/documents/153952/183394/Informe-Transparencia-Comunicaciones-2019.pdf/00cb6cba-dbe7-df8d-64d1-df8510830960 Último acceso: 10 de diciembre de 2019.

El informe aclara cuál es el contexto legal y las autoridades competentes pertinentes para las solicitudes de: interceptaciones legales; metadatos asociados a comunicaciones; bloqueo y restricción de contenidos; y suspensiones geográficas o temporales de servicio.

Respecto a las interceptaciones, se aclara que solamente pueden ser pedidas por jueces a la Dirección de Captación de las Comunicaciones (bajo la DAJuDeCo), dependiente de la Corte Suprema de Justicia de la Nación, quien luego se encarga de solicitar a la empresa la intervención.

En 2018 se registraron 35.601 peticiones para interceptaciones, con 10.594 accesos afectados y 0 peticiones rechazadas. Los servicios que se incluyen son los usuarios de telefonía fija, clientes de telefonía móvil, clientes datos e internet y clientes de TV pago.

Para Telefónica, tanto las solicitudes de metadatos, como las de bloqueo y restricción de contenidos, pueden ser requeridas por “jueces, fiscales y los cuerpos y fuerzas de seguridad del Estado al que se le haya delegado la investigación”. En el caso de suspensiones geográficas o temporales del servicio, determinan que únicamente un juez con competencia federal podría solicitarlo. En 2018 hubo 52.395 peticiones, sin embargo, aclaran que “[e]n Telefónica Argentina se contabilizan la totalidad de las peticiones judiciales que se reciben, independientemente de si solicitan metadatos, bloqueo de contenidos o suspensión del servicio.”, por lo que no se puede saber con exactitud cuánto corresponde a cada categoría, Argentina es el único país reflejado en todo el informe que muestra los datos de esta manera.

Resultado: Telefónica obtiene ½ estrella. La empresa pública informes de transparencia anuales, pero son accesibles mediante la página institucional de la casa matriz española. No existe desde el sitio de Movistar Argentina ninguna información que permita conocer por parte del cliente la existencia de estos informes. Los informes contienen información desagregada por períodos anuales, para facilitar la comprensión de la información y su dimensión sería esperable además que el informe discrimine la cantidad de solicitudes respecto de cada servicio brindado por la empresa (internet fija/móvil o telefonía fija/móvil).

Dentro del punto 7 del apartado “Términos condiciones” no existen cambios respecto a nuestro informe anterior, por el cual Movistar aclara que notificará a los usuarios de los requerimientos recibidos “en la medida en que la legislación y normas de procedimiento lo permitan”.

Resultado: Telefónica obtiene 1/2 estrella, ya que, si bien la empresa establece que notificará al usuario, la información sobre dicha notificación no se encuentra explicada en forma detallada, aclarando si se hará antes o después de la entrega de la información solicitada y si se le avisará al usuario qué información se brindó específicamente.

Dentro de la sección Avisos legales, en el punto 4 de la sección “Seguridad de datos personales”, aclaran que a pedido de terceras personas se revelará información sólo con consentimiento previo del cliente y en el marco del cumplimiento de una obligación legal. No existen cambios al respecto de nuestro informe anterior.

Resultado: Telefónica obtiene 1/4 de estrella, ya que exige autorización judicial ante el requerimiento de información de sus clientes, aunque deja la puerta abierta a otros medios como la vía administrativa, lo cual baja el estándar que guía el presente estudio. La empresa no establece si diferencia el requerimiento de datos de contenido y metadatos.

En la página de Movistar no se hace referencia sobre la forma en la que las autoridades deben solicitarle la información. En este sentido no existen cambios respecto al informe anterior.

Sin embargo, en el informe anual extraído de la página de Telefónica España, se hace mención en la página 8 al nuevo “Reglamento de peticiones por parte de las Autoridades Competentes” aprobado en 2019, para reforzar el protocolo existente desde 2016.

Según el informe, el Reglamento establece los principios y directrices mínimas que cada una de las compañías dentro del Grupo Telefónica debe incluir en sus propios procedimientos, en consonancia con la legislación nacional. Los principios que rigen este proceso son: “confidencialidad, exhaustividad, fundamentación, proporcionalidad, neutralidad política, respuesta diligente y seguridad”.

Resultado: Telefónica obtiene 1/4 de estrella. De manera general detalla los principios que regirán ante el requerimiento de información pero nada dice respecto a cómo se recibirán las solicitudes de información. No se encuentran publicadas las guías y protocolos ni el procedimiento a seguir. La información se encuentra incompleta y es inaccesible desde la página de Movistar Argentina, ya que hay que dirigirse a la página de la matriz del grupo Telefónica. Finalmente, no se pudo comprobar que la información contenida en el protocolo se encuentre contextualizada al ámbito local.

En la web de Movistar no hay ninguna referencia sobre políticas de derechos humanos, tampoco surge información del sitio web que permita concluir que la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

En la página del grupo Telefónica se informa escuetamente al respecto dentro del informe de transparencia ya citado. Allí la empresa detalla que la política de Derechos Humanos forma parte del plan de Principios de Negocio Responsable aprobado en el 2006. En el 2013 realizaron la primera evaluación junto con Business for Social Responsability (BSR) y en el 2017 actualizaron su matriz de impacto con una nueva evaluación junto con Business & Human Rights.

Los informes se encuentran alojados en la página de Negocio Responsable a la que se accede por la página de inicio del grupo.Al respecto de los derechos humanos, la empresa establece: “Respetamos y promovemos de forma proactiva los derechos humanos y laborales reconocidos internacionalmente, incluyendo los contenidos en la Declaración Universal de los Derechos Humanos de las Naciones Unidas, así como los principios relativos a los derechos reconocidos por la Organización Internacional del Trabajo (OIT) y los ocho Convenios Fundamentales que los desarrollan.”

Dentro de “Negocio Responsable” existe una sección llamada Derechos Humanos. Allí detallan cuales son los asuntos prioritarios al respecto para Telefónica y donde entiende la empresa que los principios de Derechos Humanos se deben aplicar.

Asimismo, en el informe de transparencia, la empresa explica que la privacidad fue identificada como uno de sus asuntos prioritarios en derechos humanos, remarcándola como relevante dentro de las actividades sobre: “condiciones de productos/servicios”, “Nuevas tecnologías y desarrollos relacionados con la Inteligencia Artificial”, y “Fusiones, adquisiciones y alianzas estratégicas.”

Sigue presente dentro del sitio www.movistar.com.ar el apartado “Uso responsable de la Tecnología” que redirige al sitio del programa Dialogando https://dialogando.com.ar/.

Resultado: Telefónica obtiene 1/4 de estrella por promover la concientización de la población con relación al impacto de las nuevas tecnologías y la recolección de los datos personales, esbozando un interés en la protección del derecho a la privacidad y libertad de expresión a través de su informe de transparencia. Es esperable que la subsidiaria local haga una mayor difusión de las políticas y prácticas que son establecidas desde su casa matriz, en particular contextualizándolas para sus usuarios en Argentina.

No existe información sobre si la empresa promueve iniciativas políticas o legales desde su página argentina o desde la central del grupo. La realización de actividades y jornadas no pudieron ser constatadas, la publicación de informes está parcialmente subida a la web: varios de ellos que nos podrían resultar relevantes no están alojados en el sitio más allá que exista el link para acceder a ellos. Además, remarcamos que el acceso a esos informes y políticas están en la página del Grupo Telefónica y en ningún momento se redirige a la misma desde la página Movistar Argentina. No existe información respecto a la resistencia de la empresa ante los pedidos gubernamentales excesivos o sin los requisitos legales.

Resultado final obtenido por Movistar: 2 estrellas.

Desde la página de inicio hay que dirigirse a los “Términos y condiciones”, ubicado con un botón en el pie de página.³⁴https://telecentro.com.ar/terminos Último acceso: 11 de diciembre de 2019.

Los términos hacen una referencia expresa a la Ley 25.326, con un link que dirige al sitio web oficial del Ministerio de Justicia de la Nación sobre Información Legislativa. A continuación, la sección denominada “Política de privacidad” repite el mismo texto descrito anteriormente. Telecentro tiene su base de datos registrada ante la AAIP.³⁵El registro de la base de datos puede corroborarse con la razón social “Telecentro S.A.” y/o el CUIT “30640897267” en la web de la AAIP, disponible en: https://www.argentina.gob.ar/aaip/datospersonales/reclama/30640897267–RL-2020-5868643-APN-DNPDP#AAIP Último acceso: 11 de diciembre de 2019.

La disposición de la información y el contenido de la misma no ha variado desde nuestra primera evaluación en 2017.

Resultado: Telecentro no obtiene estrella ya que no se ha verificado que la empresa tenga implementada una política de privacidad, o lleve adelante medidas, iguales o similares, a las descriptas en este criterio que permitan concluir que la empresa ha cumplido con al menos uno de los parámetros.

No se encontraron en su página referencia a sus informes de transparencia, similar resultado al relevamiento anterior.

Resultado: Telecentro no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares, a las descriptas en este criterio, que permitan concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

De la búsqueda en su sitio web no se encontró información sobre si los clientes son informados cuando se requiere su información personal, como en el informe anterior pudimos evidenciar.

No existe referencia al modo en que las autoridades gubernamentales deberán solicitar información personal.

No existe información en la página respecto a este criterio.

No hemos encontrado referencia a actividades que la empresa realice con fines de promoción y defensa de DDHH. Tampoco surge información del sitio web que permita concluir que la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

Resultado final obtenido por Telecentro: 0 estrellas.

Al final de su página de inicio se encuentra el vínculo “Protección de datos personales”.³⁶https://www.directv.com.ar/proteccion-datos-personales Último acceso: 11 de diciembre de 2019. Nos recibe un resumen de la información que se va a detallar y datos de contacto en caso que se requiera más información al respecto. Al igual que el relevamiento anterior, la información continúa organizada por temas de importancia, con lenguaje claro y accesible, a saber: que tipo de información y cómo se guarda, qué se comparte con terceros, por cuanto tiempo se mantiene la información recolectada y cambios de la política.

En el primer apartado distingue dos tipos de información: “Información del cliente” e “Información de observación personal identificable” (IOPI), luego explicitan las definiciones de las mismas pero no establecen qué información es recolectada dentro de cada tipo. En el segundo punto informan que la información del cliente son para fines editoriales, de marketing y promocionales. Posibilita al cliente a otorgar consentimiento para guardar la IOPI para hacerle recomendaciones y realizar sondeos de audiencias o actividades de negocio en caso de no otorgarlo se almacenará de manera anónima la información.

En la tercer cláusula detallan a quienes y con qué fines comparten información del usuario. Lamentablemente este punto no ha variado respecto al relevamiento anterior en el sentido que tomarán medidas razonables para asegurar la confidencialidad cuando el almacenamiento de los datos pueda ser en países que tengan otro nivel de seguridad.

Respecto al período de retención de información lo dispuesto no ha variado desde el último relevamiento, es decir mientras se encuentre vigente la relación contractual se mantendrá la información hasta que la información no sea necesaria excepto que exista una solicitud para preservarla de manera extraordinaria.

Sobre seguridad de la información tampoco ha variado el contenido respecto al informe anterior, la empresa continúa sosteniendo no puede garantizar completamente la seguridad de la información de sus clientes porque ningún sistema es completamente seguro y al respecto ella solo podrá tomar “medidas razonablemente necesarias”.

No se presentan cambios respecto al informe anterior respecto al derecho al acceso, rectificación, actualización de datos.

El cambio de la política podrá ser hecho en cualquier momento y disponen medio de comunicación al respecto en caso de tener dudas aunque no detalla la manera en que los usuarios serán notificados respecto al cambio de esa política ni en qué plazo.

Al pie de esta sección se observa una imagen que comunica de manera gráfica que DIRECTV se encuentra registrado en el Registro Nacional de Bases de Datos y los datos para contactar a la Dirección Nacional de Datos personales.³⁷El registro de la base de datos puede corroborarse con la razón social “DIRECTV Argentina S.A.” y/o el CUIT “30685889397” en la web de la AAIP, disponible en: https://www.argentina.gob.ar/aaip/datospersonales/reclama/30685889397–RL-2019-10505871-APN-DNPDP#AAIP Último acceso: 12 de diciembre de 2019.

Resultado: DIRECTV recibe 1/2 estrella. Si bien la Política de privacidad es accesible, clara, bien organizada, con un lenguaje sencillo, determina qué información es recolectada y el tiempo de almacenamiento, identifica los derechos del titular y prevé como ejercerlos, la misma no especifica su validez y cómo se vincula respecto de la prestación del servicio de Internet brindado por DIRECTV, además de que no establece una notificación al usuario ante la modificación de la Política.

Dentro de la política de privacidad hay un vínculo mediante el cual se accede al Informe de transparencia. El informe es desarrollado por AT&T, la empresa dueña de DIRECTV.³⁸Informe de Transparencia, AT&T, agosto de 2019: https://www.directv.com.ar/Shared/PDF/informe-de-transparencia/Informe-transparencia-DIRECTV.pdf Último acceso: 12 de diciembre de 2019.

En la introducción se aclara que el informe proporciona “(1) datos específicos relativos al número y tipos de oficios a los que hemos respondido durante el primer semestre de 2019 en los cuales se requirió a AT&T proporcionar información acerca de (a) comunicaciones o (b) nuestros clientes, así como (2) información que por ley está permitido divulgar sobre oficios relacionados con la Ley de Vigilancia de Inteligencia Extranjera durante el segundo semestre de 2018”. El documento engloba todos los requerimientos recibidos por AT&T y sus negocios en diversos países.

La única mención sobre Argentina se encuentra en la sección sobre oficios internacionales. Estos oficios, aclara el informe, son aquellos que “se originan fuera de EE.UU. y se relacionan con las operaciones de AT&T en el extranjero”. Entre enero y junio de 2019, AT&T recibió 510 solicitudes sobre información histórica de sus suscriptores. La información histórica es aquella como “el nombre y dirección que aparece en la cuenta de facturación o los tipos de servicios comprados de AT&T”.

Resultado: DIRECTV recibe 1/2 estrella. Si bien la empresa matriz, AT&T, publica informes de transparencia y DIRECTV incluye un vínculo directo desde el sitio web argentino ubicado dentro de la política de privacidad, el informe está orientado exclusivamente en Estados Unidos acorde a las actividades de la empresa matriz y no refleja detalladamente la situación en Argentina vinculada a solicitudes sobre interceptación de comunicaciones o solicitud de metadatos, además de no informar si el total corresponde a solicitudes recibidas o solo aquellas cumplidas.

Continúa vigente la disposición que establece que en vías de cumplir con requisitos legales la empresa podrá compartir la información con terceros de igual manera a través de una orden de autoridad competente. La empresa comunicará dentro de lo posible el pedido al usuario para que pueda ejercer sus derechos al respecto. De igual manera a lo relevado anteriormente la notificación al usuario no se hace en todos los casos y tampoco la empresa detalla si hace un control de legalidad respecto al pedido que reciben.

Resultado: DIRECTV recibe 1/2 estrella. La empresa determina una cláusula estableciendo una notificación a sus usuarios ante el requerimiento de información personal, aunque el lenguaje utilizado deja lugar a una alta discrecionalidad de la empresa para el cumplimiento de este mecanismo, además de no especificar si la notificación se realizará antes o después de la entrega de la información requerida.

No existen cambios respecto a nuestro anterior informe, la empresa puede entregar información por un pedido de autoridad competente, pudiendo esta ser administrativa y no estrictamente judicial. La política de privacidad no aclara si la empresa lleva a cabo un proceso de control sobre la legalidad de las solicitudes.

Resultado: DIRECTV recibe 1/4 de estrella. La empresa no establece estrictamente la necesidad de una orden judicial como requisito sine qua non para la entrega de la información personal de sus clientes, dando lugar a la petición por parte de organismos administrativos. No aclara si se distingue entre la solicitud de datos de contenido respecto de los metadatos.

No se encontró información sobre este punto, al igual que en el informe anterior.

Resultado: DIRECTV no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares a las descriptas en este criterio, que permitan concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

No se encontró información sobre actividades específicas sobre este tema en la página de la empresa, incluyendo informaciones que nos permita concluir que la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

Resultado final obtenido por DIRECTV: 1 estrella y tres cuartos.

De todas las empresas evaluadas en esta edición de QDTD, la única que accedió a una reunión para conversar en mayor detalle sobre sus prácticas fue IPLAN. El equipo de la ADC fue recibido por el Director de Tecnología (CTO), el Director de Finanzas (CFO) y el Gerente de Marketing, en sus oficinas del centro porteño a mediados de octubre de 2019.

Hace aproximadamente un año y medio, IPLAN inició un proceso de consultoría a fin de revisar y documentar los procesos internos en materia de protección de datos personales y Seguridad de la Información. Conformaron un comité reuniendo a las áreas de legales, recursos humanos, técnicos y contrataron un consultor externo para impulsar el trabajo. El proceso de formación y análisis de este comité les llevó a comprender la necesidad de un abordaje multidisciplinario en el desarrollo de temas sobre privacidad y datos personales, previamente este trabajo lo realizaban exclusivamente desde un punto de vista técnico. A la fecha, IPLAN cuenta con una Política de Seguridad de la Información y un Manual de Tratamiento de Datos Personales³⁹La Política de Seguridad de la Información y el Manual de Tratamiento de Datos Personales no pudieron ser consultados por la ADC debido a que son documentos de uso interno por IPLAN y sus proveedores. que recepta las disposiciones contenidas en la Ley 25.326, su Decreto Reglamentario 1558/2001 y las disposiciones vigentes emitidas por la Agencia de Acceso a la Información Pública (“AAIP”).

En general, las decisiones que toma la Empresa respecto a la publicidad de sus acciones están relacionadas con el lugar que entiende que ocupa en el mercado. Sus prácticas y políticas internas reflejan los valores que pregonan sobre la protección de la privacidad y seguridad de la información de sus clientes, empleados y proveedores, según establecen sus representantes. Sin embargo, creen que es fundamental consolidar la mejora de procesos hacia el interior de la Empresa, independientemente de la comunicación y difusión de sus políticas.

De acuerdo a lo informado por los representantes de IPLAN, la empresa cumple con sus obligaciones de brindar información respecto de sus clientes solo en el marco de “requerimientos efectuados por orden judicial y/o de autoridad competente”⁴⁰IPLAN no brindó una definición respecto a lo que contempla como “autoridad competente”, pero sí mencionó como ejemplo al Ente Nacional de Comunicaciones (ENACOM)., y en el caso de interceptación y/o conexión de abonados lo hace “únicamente a requerimiento de la Dirección de Asistencia Judicial en Delitos Complejos y Crimen Organizado (DAJuDeCO)”.

En la parte inferior de la página de inicio se encuentra el vínculo “Datos personales”.⁴¹https://iplan.com.ar/Confidencialidad Último acceso: 13 de diciembre de 2019. A partir de las conversaciones sostenidas con los representantes de IPLAN, señalaron que luego de la fecha de cierre del informe realizaron una actualización de su web en donde vinculan a la nueva política, disponible en: https://iplan.com.ar/terminos_y_condiciones_generales Esta actualización no modifica el puntaje recibido en el estudio. El contenido de esa sección no ha cambiado respecto a nuestro informe anterior. Se define someramente el derecho de acceso y rectificación de datos personales nombrando la ley 23.356 y al respecto identifica como órgano de fiscalización a la Dirección de Datos Personales (actualmente AAIP). También dispone que en caso de realizarse comunicaciones con fines de promoción por cualquier medio se deberá explicitar la forma en que el titular pueda retirar su información de la base de datos.

Desde la página de inicio también se accede a la “Política de divulgación responsable”.⁴²https://iplan.com.ar/themes/iplan_b4/pdf/Politica_de_Divulgacion_Responsable_version_final.pdf Último acceso: 13 de diciembre de 2019. Allí proponen a los usuarios que encuentren algún tipo de vulnerabilidad en seguridad que puedan afectar la confidencialidad o integridad de los datos que lo informen a la empresa de manera responsable. Entienden por manera responsable seguir los pasos para entablar comunicación con ellos, qué información se les debe brindar y además no divulgar la información o vulnerar aún más una conexión insegura o no acceder a la base de datos de clientes de la empresa. Aclaran que no retribuyen económicamente por estas acciones ni a individuos ni a empresas.

IPLAN tiene registrada su base de datos ante la AAIP.⁴³El registro de la base de datos puede corroborarse con la razón social “NSS SA” y/o el CUIT “30702652975” en la web de la AAIP, disponible en: https://www.argentina.gob.ar/aaip/datospersonales/reclama/30702652975–RL-2019-6329085-APN-DNPDP#AAIP Último acceso: 13 de diciembre de 2019.

Resultado: IPLAN obtiene 1/4 de estrella. A pesar de tener un apartado específico sobre datos personales, no es descriptivo de la normativa vigente. Está redactado en lenguaje técnico y abarca únicamente acceso y modificación de la información y legitimación para recibir denuncias del órgano de control establecido por la ley.

Al igual que en nuestro informe anterior, la empresa no ha publicado en su página información acerca de pedidos de fuerzas de seguridad u organismos gubernamentales.

Resultado: IPLAN no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

No se ha podido encontrar información en su página que nos haga entender que se notifica a los usuarios en caso de ser requeridos sus datos personales.

Resultado: IPLAN no obtiene estrella ya que no se ha verificado que la empresa lleve adelante medidas, iguales o similares a las descriptas en este criterio, que permitan concluir que la empresa ha cumplido con al menos uno de los parámetros evaluados.

En su página no detalla características que deban tener los requerimientos judiciales, sea para el contenido de las comunicaciones o metadatos.

No se encontró información en su página respecto a protocolos para recibir solicitudes ni de la manera en que las mismas se cumplirán.

En el sitio web de la empresa no se ha encontrado información que permita concluir que alguna de las actividades evaluadas en este criterio haya tenido lugar, incluyendo demostraciones de que la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

Resultado final obtenido por IPLAN: 1/4 de estrella.

En el pie de página del sitio se accede a la sección “Legal regulatorio”. Allí se encuentran los siguientes documentos, junto a la fecha de publicación y su vigencia: Formulario único de consentimiento de uso de datos personales; Política de privacidad; Política de uso aceptable de datos; Política de uso justo de los servicios de Voz y SMS.

El “Formulario único de consentimiento” está destinado al ejercicio de los derechos de acceso, rectificación, actualización y supresión (conocidos como “ARCO”), indicando al titular que debe “proporcionar toda la información que se requiere a través del formulario” para poder atender la solicitud. Sin embargo, la legislación argentina no establece formalidades para el ejercicio de los derechos de datos personales, más allá de la identificación del titular, por lo que la cantidad y tipo de información que pide completar el formulario provisto por Claro resulta excesivo. Esto ocurre ya que, por lo que pudimos comprobar online, Claro Argentina utiliza en su web el mismo formulario que Telcel, otra subsidiaria de América Móvil, en México.

En el documento de la política de privacidad, con fecha de abril de 2018, la información está redactada de forma clara y sencilla. Determina específicamente que datos va a recolectar: identificación, contacto, referencias, profesionales y patrimoniales; también los datos de las personas que hayas designado como referencias. Aclara que al proporcionar los datos de estos terceros que se designa como referencia el titular posee el consentimiento de esas personas para que se utilicen esos datos con fines de cobranza o realizar investigaciones o monitoreos.

La empresa distingue entre dos tipos de finalidades de utilización de los datos, unas primarias y otras secundarias. Dentro de las primeras, Claro utilizará los datos para llevar a cabo todas las actividades necesarias para el cumplimiento de las obligaciones que deriven de la relación contractual que tiene con el titular de los datos incluyendo monitoreo periódico, entrega de productos, instalaciones, equipos, garantías y cualquier otro seguimiento necesario para brindar el servicio que ofrecen.

Las finalidades secundarias de uso son: para proveer, mantener, proteger y mejorar lo servicios que ofrecen y para desarrollar nuevos servicios. Claro además podrá informar al titular de lanzamientos o nuevos productos y ofertas a través de llamadas telefónicas, mensajes o correos electrónicos, y realizar estudios sobre hábitos de consumo y de mercado.

Si el titular no desea que sus datos sean tratados para estas finalidades secundarias, la empresa explicita que podrá manifestarlo a través de un mail de contacto.

Claro informa que no comparte con empresas, organizaciones o personas la información de sus usuarios, a menos que se sucedan las siguientes situaciones:

Si el titular brinda consentimiento para que lo haga;
Se brinda información de los usuarios a personas de confianza que procesan datos junto con la empresa;
Si el cumplimiento de las obligaciones derivadas del contrato sea necesario transferir datos a terceros nacionales o internacionales, empresas afiliadas o subsidiarias a Claro. Además, la empresa hace la aclaración que aquellas empresas con las que comparte información cumplen con las disposiciones legales aplicables;
La empresa compartirá información para cumplir con leyes y reglamentaciones y procesos legales o exigencias gubernamentales para investigar posibles violaciones a las condiciones de servicio, para evitar problemas técnicos, de fraude o de seguridad y para proteger posibles daños a los derechos de propiedad o la seguridad;
Claro podrá compartir la información del titular de manera pública y con sus socios (editores, anunciantes o sitios conectados), sin identificarlo de manera personal.

La empresa además aclara que si estuviese involucrada en una fusión, adquisición o venta de activos continuarán asegurando este nivel de confidencialidad. En el caso de que la información fuese a estar sujeta a otra normativa de privacidad diferente, notificarán al titular de los datos.

En caso de modificación de la política de privacidad, será publicada en el sitio web indicando la fecha de publicación y entrada en vigencia de la misma. Recomiendan al usuario chequear sobre cambios en la página de internet.

Claro tiene registrada su base de datos ante la AAIP.⁴⁴El registro de la base de datos puede corroborarse con la razón social “AMX Argentina S.A.” y/o el CUIT “30663288497” en la web de la AAIP, disponible en: https://www.argentina.gob.ar/aaip/datospersonales/reclama/30663288497–RL-2019-56054017-APN-DNPDP#AAIP Último acceso: 13 de diciembre de 2019.

Resultado: Claro recibe ½ estrella. La política está redactada de manera sencilla y accesible. Determina la información que recolectará, aunque no explica por el tiempo en que lo hará. Se refiere al consentimiento del usuario pero no a la calidad de los datos. Identifica los derechos que tiene el titular y la manera de ejercerlos, aunque en forma deficiente acorde a la normativa vigente. Si ocurren cambios en la política no notificará al usuario quien tendrá que ingresar periódicamente al página web para enterarse.

No se encuentra en el sitio referencia a este tipo de informes.

Resultado: Claro no obtiene estrella ya que no cumple con ninguno de los parámetros dispuestos.

No se encuentra en el sitio referencia a este tipo de notificaciones frente al requerimiento gubernamental.

Resultado: Claro no obtiene estrella ya que no cumple con ninguno de los parámetros dispuestos.

Sólo hacen referencia en la sección de compartir información con terceros por motivos legales, en ese sentido compartirán información si la empresa cree que “el acceso, el uso, la conservación o la divulgación de la información es razonablemente necesaria para cumplir con las leyes, las reglamentaciones, los procesos legales o las exigencias gubernamentales aplicables”. No tienen prevista ninguna notificación al respecto al titular de los datos.

Resultado: Claro no obtiene estrella ya que no cumple con ninguno de los parámetros dispuestos.

No se encuentra en el sitio referencia requerimientos de este tipo, simplemente la somera mención que se desarrolla en el inciso anterior.

Resultado: Claro no obtiene estrella ya que no cumple con ninguno de los parámetros dispuestos.

No se encontraron referencias a acciones en torno a este tipo de política. La empresa tampoco demuestra resistir a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

Resultado: Claro no obtiene estrella ya que no cumple con ninguno de los parámetros dispuestos.

Resultado final obtenido por Claro: 1/2 estrella.

Empresas de delivery

En la parte inferior de la página de inicio se accede a la Política de Privacidad, la versión analizada es del 13 de diciembre de 2019.

La página comienza brindando información básica que da contexto a la política, con la razón social de la empresa, la finalidad, legitimación y derechos del titular. A continuación detalla la información del responsable del tratamiento de los datos, “Glovoapp23, S.L.”, su dirección postal, teléfono y formulario de contacto.

Dado que la jurisdicción de la casa matriz es en España, la política de privacidad aclara que fue elaborada teniendo en cuenta lo regulado por el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

En la sección sobre tratamiento de datos, la empresa los clasifica en dos categorías: la información que es recolectada por Glovo en forma directa y aquella que es facilitada por los usuarios en forma indirecta mediante el uso de la plataforma.

Dentro del primer grupo, la política enumera: datos de registro, lo que implica nombre de usuario y dirección de email. Información del perfil de usuario, como es el número de celular y el domicilio de entrega. En este apartado, Glovo aclara que no almacena los datos de las tarjetas de crédito en sus servidores, sino que son facilitados a los prestadores de servicios de pago electrónico. Información adicional, como fotografías de perfil o la dirección de facturación, información sobre accidentes que sufran algunas de las partes de la prestación del servicio. Glovo también aclara que tendrá acceso a todas las conversaciones entre los usuarios y los prestadores del servicio de entregas que ocurran mediante el chat de la plataforma.

En la segunda categoría, la empresa aclara que recolecta indirectamente los datos derivados del uso de la plataforma; datos del dispositivo y de la aplicación que usa el usuario para acceder al servicio, en donde incluye dirección IP, tipo de navegador, sistema operativo y modelo/marca del dispositivo, el clickstream⁴⁵Click path o clickstream es la secuencia de hipervínculos que un usuario de internet sigue dentro de un sitio web, incluyendo los sitios desde donde se originó la visita hasta su salida de una página web específica., el historial de pedidos, valoración y comentarios publicados en la plataforma; datos obtenidos mediante terceros, por ejemplo en el caso de que el usuario se cree una cuenta utilizando su perfil en Facebook, y en él tuviere información como su nombre, género, edad, etc.; datos de geolocalización, incluyendo la ubicación geográfica en tiempo real del dispositivo utilizado por el usuario.

El apartado sobre la finalidad que tienen los datos recolectados por Glovo esta ordenado por secciones que incluyen: el uso de la plataforma y servicio prestado por Glovo; el envío de comunicaciones sobre el servicio de pedidos y envíos; detectar e investigar fraudes y posibles comisiones de delitos; garantizar la seguridad y un entorno adecuado para la segura prestación de servicios; cumplir con la normativa, defensa e interposición de acciones; promoción y realización de ofertas comerciales (online y offline); fines estadísticos y análisis de servicios; tramitar siniestros y reclamaciones con aseguradoras.

La política también incluye una sección sobre los destinatarios de los datos, que detalla con quien comparte los datos Glovo, clasificando los supuestos en dos grandes categorías: la información que es compartida durante la ejecución de un pedido y los datos que son cedidos a terceros.

En la segunda categoría, la política aclara que al momento de crearse una cuenta en Glovo, los datos de los usuarios son almacenados en la base de datos situada en Irlanda, bajo la titularidad de la sociedad española. Todas las filiales de Glovo fuera del Espacio Económico Europeo se comunican a dicha base de datos.

Respecto al plazo de conservación de los datos, la política establece que son almacenados “durante la ejecución y mantenimiento de la relación contractual, esto es, mientras sigan siendo usuarios de Glovo o hasta que ejercite[n] [s]u derecho de limitación”. Si el usuario decide darse de baja del servicio, Glovo conserva sus datos durante el período establecido en las normas tributarias, de sanidad, penal “y cualquier otra norma de aplicación”, para resguardarse ante cualquier acción en la que la empresa sea parte, estos plazos son detallados en el Anexo II de la política. En protección de datos establece un plazo de 3 años, 5 años por acciones civiles personales, 6 y 4 años para documentación contable y fiscal respectivamente, 3 años por reclamos de defensa del consumidor, 10 años para la documentación vinculada a la regulación sobre blanqueo de capitales.

La política incluye una sección específica para explicar el ejercicio de los derechos del titular de los datos. Al respecto aclara que la persona usuaria puede usar el formulario gratuito en la plataforma web o mediante el email “legal@glovoapp.com”. Asimismo, se enumeran los derechos que pueden ser ejercidos:

“Derecho de acceso a tus datos personales para saber cuáles están siendo objeto de tratamiento y las operaciones de tratamiento llevadas a cabo con ellos;
Derecho de rectificación de cualquier dato personal inexacto;
Derecho de supresión de tus datos personales, cuando esto sea posible;
Derecho a solicitar la limitación del tratamiento de tus datos personales cuando la exactitud, la legalidad o la necesidad del tratamiento de los datos resulte dudosa, en cuyo caso, podremos conservar los datos conservarlos para el ejercicio o la defensa de reclamaciones.
Derecho de oposición al tratamiento de tus datos para resolver cualquier cuestión que nos hayas planteado a través del formulario de contacto, así como al tratamiento de tus datos a través de una red social y/o para el tratamiento de tu currículum. Igualmente, podrás retirar tu consentimiento para la recepción de comunicaciones comerciales en cualquier momento, a través del perfil del Usuario en la Plataforma, mediante el link incluido al efecto en cada comunicación comercial o mediante el envío de correo electrónico.”

Las modificaciones realizadas a la política son comunicadas a los usuarios mediante email “o de otro medio que asegure la recepción de los mismos”, sin aclararse específicamente cuáles.

En el buscador del Registro Nacional de Bases de Datos Personales de la AAIP no se encontró ninguna base bajo la razón social de Glovo en Argentina “Kadabra SAS”, o con su CUIT “30-71573572-1”.

Resultado: Glovo recibe 1/2 estrella. La política se encuentra ordenada por secciones que brindan claridad a la lectura, aunque utiliza en su mayoría un lenguaje técnico-jurídico, lo que hace que las explicaciones no sean amigables para todos sus usuarios. La política no se encuentra contextualizada para los diversos países donde Glovo opera, siendo un único documento general acorde a la legislación europea donde se ubica su casa matriz, por ello no se encuentran menciones al rol de la AAIP o la legislación argentina. La empresa aclara qué datos son recolectados y de qué forma, por cuánto tiempo los almacena e identifica los derechos de los titulares, en especial la manera de ejercer el derecho al acceso. Establece que notificará a los usuarios en el caso de modificaciones a la política, aunque no aclara si lo hará antes o después de ocurrido ese cambio.

No se encuentra en el sitio referencia a este tipo de informes.

Resultado: Glovo no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

No se encuentra en el sitio referencia a este tipo de notificaciones frente al requerimiento gubernamental.

Dentro de la política de privacidad, Glovo aclara que “podrá divulgar información personal y datos de cuentas de nuestros clientes cuando crea que su divulgación es necesaria para el cumplimiento de la ley, para hacer cumplir o aplicar los “Términos de Uso” o para proteger los derechos, la propiedad o seguridad de GLOVO, sus usuarios o terceros”.

Respecto a la autorización judicial, la empresa determina que la entrega de información con organismos de autoridades ejecutivas y/o terceros con respecto a peticiones vinculadas a investigaciones penales o presunta actividades delictivas, procederá “previo requerimiento legal”. Sin embargo, Glovo no aclara qué tipo de requerimiento solicitan ni el proceso de verificación de las solicitudes que reciben.

En el apartado 3.4.2 de la política, Glovo reitera como uno de los supuestos para la transmisión de información a terceros es “cuando se solicite por parte de autoridad competente en el ejercicio de sus funciones (para investigar, prevenir o tomar acciones relativas a acciones ilegales)” o “si lo requiere la ley”.

Resultado: Glovo obtiene 1/4 de estrella. La empresa establece que solicita una autorización legal, sin aclarar qué tipo de instrumento legal es necesario para compartir información, por lo tanto la expresión utilizada en sus políticas no permite afirmar que únicamente entregarán datos personales de sus clientes ante el requerimiento de un juez competente. Además, no distingue entre los tipos de datos que se soliciten, si son de contenido o metadatos. Glovo no brinda información sobre la evaluación de las solicitudes que recibe, como tampoco aclara si rechaza aquellas que considera excesivas o que no cumplan con los requisitos legales.

No se hace mención sobre la actitud respecto a solicitudes de información de organismos gubernamentales o fuerzas de seguridad.

No se han encontrado información respecto a actividades que la empresa realice sobre promoción y defensa de derechos humanos, incluyendo demostraciones de que resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

Resultado: Glovo no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

Resultado final obtenido por Glovo: 3/4 de estrella.

Mediante un vínculo en la parte inferior de la página de inicio, identificado como “Nosotros” se puede ingresar a la política de privacidad. El contenido se encuentra clasificado en diversas categorías, descriptas de manera sucinta y utilizando términos claros. Esto facilita la lectura para que el público general pueda entender el propósito y cláusulas de la política sin tener que contar con conocimientos jurídicos.

En la sección “¿Qué información recolectamos?”, la empresa explica que tomarán información acerca de la computadora, las visitas y uso del sitio web, dirección IP, localización geográfica, tipo de navegador, duración de las visitas y número de vistas por página.

Además, detalla la información que es brindada por la persona para el registro de la cuenta: nombre y apellido, email, lugar y país de residencia, dirección, teléfono, avatar y contraseña.

Respecto a la sección “Utilizando sus datos personales”, PedidosYa enumera los diversos casos para los que van a usar la información recolectada, incluyendo: administración del sitio web, mejora de la experiencia de navegación, envío de comunicaciones comerciales y newsletter, información estadística enviada a terceros, consultas y quejas generadas por los usuarios sobre el sitio web de la empresa. La empresa también aclara que no va a compartir la información de los usuarios a un tercero con el propósito de marketing directo, sin antes haber pedido el consentimiento del usuario.

Al final de esta sección, la política explica que “en ningún momento PedidosYa almacena los datos de la tarjeta de crédito” cuando se realizan pagos online, sino que esa información es procesada directamente por los proveedores de pagos online.

En la sección “Seguridad de sus datos personales”, la política aclara que la empresa va a tomar “precauciones razonables técnicas y organizacionales para prevenir la pérdida, mal uso o alteración” de la información personal del usuario. Asimismo, explican que consideran a la transmisión de datos a través de internet como “inherentemente insegura”, por lo que PedidosYa “no puede garantizar la seguridad de los datos que sean enviados a través de internet”.

Al momento de explicar los derechos de los titulares de datos, la política solo detalla la posibilidad de notificar a PedidosYa “para no procesar sus datos personales por motivos de marketing por email en cualquier momento”.

Respecto a la modificación de la política, la empresa aclara que podrá actualizar las cláusulas cada cierto tiempo, incluyendo la nueva versión en el sitio web. Si bien le indican a los usuarios que deben entrar activamente a la página para enterarse de los cambios y “estar de acuerdo” con los mismos, también aclara que va a notificar a los usuarios por email cuando se realicen actualizaciones.

La política finaliza brindando un email de contacto para que los usuarios envíen cualquier pregunta sobre el documento en sí o el trato de sus datos personales.

No se encontraron bases de datos registradas en el registro de la Agencia de Acceso a la Información Pública, ya sea bajo su razón social “PEDIDOSYA S.A.” o su CUIT “30-71198576-6”.

Resultado: PedidosYa recibe 1/4 de estrella. Sería deseable que el acceso al documento con la política sea más directo y claro, identificado directamente con la leyenda “Política de privacidad” en una zona más visible de la web. La política en sí está organizada y escrita de manera amigable. Determina específicamente qué información va a recolectar y con qué fines. Sin embargo, no aclara por cuánto tiempo va a almacenar los datos recolectados.

Por otra parte, la política no incluye referencias a la ley de protección de datos personales. En particular, la sección sobre los derechos de los usuarios no contiene toda la descripción necesaria acorde a la legislación, mediante la cual las personas puedan saber cómo ejercer sus derechos de acceso, rectificación, actualización o eliminación.

En el caso de los cambios que se efectúen a la política, la empresa no aclara si va a notificar a los usuarios antes o después de implementarlos y cómo considerará el consentimiento de los mismos al nuevo texto de la política.

No se encuentra en el sitio referencia a este tipo de informes.

Resultado: PedidosYa no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

No se encuentra en el sitio referencia a este tipo de notificaciones frente al requerimiento gubernamental.

En la sección “Declaraciones”, dentro de la política de privacidad, la empresa aclara que deberán “revelar información sobre usted a cualquiera de nuestros empleados, agentes, mientras sea razonablemente necesario por los propósitos establecidos en esta política”.

A continuación citan algunos supuestos adicionales ante los cuales deben proporcionar información personal de sus usuarios:

En la medida en que sean requeridos por ley;
En conexión a cualquier procedimiento legal o posible procedimiento legal;
Para establecer, ejercer o defender sus derechos legales (incluyendo proveer información a otros para los propósitos de prevención de fraude).

Resultado: PedidosYa recibe 1/4 de estrella. La empresa no aclara si para la solicitud de la información exige de una autorización judicial firmada por un juez competente, así como tampoco si distingue entre datos y metadatos.

La política debería definir qué significa estar en el marco de un proceso, ya que esto caracteriza el tipo de control institucional que se tendrá en el pedido, es decir si será revisado por un juez, si la persona sobre la que se pide información podrá imponerse ante ese pedido, o si simplemente se podrá hacer un pedido por vía administrativa y luego ser utilizado en el marco de un proceso.

No se hace mención sobre la actitud respecto a solicitudes de información de organismos gubernamentales o fuerzas de seguridad.

No se han encontrado información respecto a actividades que la empresa realice sobre promoción y defensa de DDHH, tampoco demostraciones de que la empresa resiste a través de la vía judicial las solicitudes de información que sean excesivas y no cumplan con los requisitos legales.

Resultado: PedidosYa no obtiene estrella ya que no se encontró ninguna política públicamente disponible que establezca que la empresa lleve adelante medidas, iguales o similares, a las descriptas como parámetros evaluados en este criterio.

Resultado final obtenido por PedidosYa: 3/4 de estrella.

En la parte inferior de la página de inicio se accede mediante el vínculo “Política de Tratamiento de Datos Personales”. Rappi ofrece la opción de cambiar entre las diversas políticas acorde a los países donde presta sus servicios, siendo cada una contextualizada a la legislación correspondiente.

La política está organizada como un único documento dividido en nueve cláusulas. La primera se encuentra destinada a explicar los derechos de acceso, cancelación y rectificación de los titulares de datos. Se menciona al art. 14 de la ley de protección de datos personales, junto con la explicación de los plazos para el ejercicio de cada derecho.

Rappi informa que conserva los datos personales de sus clientes por un plazo de 10 años, con el “fin de resolver disputas o reclamos, detectar problemas o incidencias y solucionarlos, y dar cumplimiento a lo dispuesto en los Términos y Condiciones por un período de tiempo determinado por la ley”. A pesar de que Argentina no cuenta con una ley general que obligue a la retención de datos personales por un tiempo determinado, la empresa no menciona específicamente a qué ley se refiere en su política. En este caso, Rappi parece tomar el plazo dispuesto por el art. 328 del Código Civil y Comercial de la Nación, el cual aplica a libros contables, “demás registros” y “otros instrumentos respaldatorios”.

Respecto a las modificaciones que se realicen al texto de la política, Rappi determina que se va a notificar a los usuarios mediante el mismo sitio web o “mediante el envío de un email o informándolo en la página principal u otras secciones de la Aplicación”. Ante los cambios efectuados, los usuarios deben aceptar o no las nuevas condiciones, si deciden no hacerlo, Rappi aclara que el vínculo “quedará disuelto y la información personal de dicho titular no será usada de otra forma que la que fue informada al momento de recabarse”.

La política informa el rol de la AAIP como órgano de fiscalización de la ley de protección de datos personales y los datos de contacto, aunque lo hace mencionando su antigua denominación.

En la segunda sección se detallan los datos recabados por Rappi para el registro de los clientes, incluyendo: el nombre, apellido y seudónimo del usuario, DNI o identificación válida, número de teléfono, domicilio y dirección de email.

La tercera cláusula aborda los casos de uso y la finalidad de la información personal recolectada y almacenada por Rappi, en particular el escenario del acceso que tendrán las personas que realizan los envíos por parte de la empresa, mensajes publicitarios y anuncios institucionales sobre el servicio.

La información personal de los usuarios será compartida con los proveedores de servicios o empresas con quienes Rappi tenga alguna colaboración, en ese sentido la empresa “velará porque se cumplan ciertos estándares mediante la firma de acuerdos o convenios cuyo objeto sea la privacidad de los datos personales”. Los proveedores de servicios podrán recoger información directamente del titular, en esos casos el usuario “podrá” ser notificado de este actuar y quedará a su discreción qué información brindarle.

En el apartado de Confidencialidad de la información personal la empresa dispone que no venderá, alquilará o compartirá información personal en circunstancias no contempladas en esta política.

Rappi se encuentra registrada como responsable de procesamiento de datos personales en la base de datos de la AAIP, en donde identifica los datos de contacto y las personas a cargo de contestar al respecto de cada base de datos. La empresa declara tres bases de datos: usuarios, empleados y proveedores Rappi.⁴⁶El registro de la base de datos puede corroborarse con la razón social “RAPPI ARG” y/o el CUIT “30715803891” en la web de la AAIP, disponible en: https://www.argentina.gob.ar/aaip/datospersonales/reclama/30715803891–RL-2019-47546969-APN-DNPDP#AAIP Último acceso: 8 de enero de 2020.

Resultado: Rappi recibe 1 estrella. La política de privacidad es accesible en forma directa desde la página principal, se encuentra redactada en un estilo claro y relativamente sencillo, aunque en ocasiones utiliza términos técnicos-jurídicos. Rappi especifica qué tipo de información recolecta y por cuánto tiempo va a almacenarla, identifica los derechos de los titulares de datos y cómo ejercerlos. Establece un protocolo de notificación ante la modificación de la política, aunque no aclara si lo hará antes o después de que la misma sufra los cambios y entre en vigencia. Menciona el rol de la AAIP y se encuentra registrada en la base de datos como responsable de tratamiento de datos personales.

No se encuentra en el sitio referencia a este tipo de informes.

Resultado: Rappi no recibe estrella al no cumplir con ninguno de los parámetros dispuestos.

No se encuentra en el sitio referencia a este tipo de notificaciones frente al requerimiento gubernamental.

Resultado: Rappi no recibe estrella al no cumplir con ninguno de los parámetros dispuestos.

La política de privacidad trata los casos en que Rappi comparte información personal de sus usuarios en dos cláusulas.

En la cláusula 4, sobre confidencialidad de la información, se establece que “puede suceder que en virtud de órdenes judiciales, o de regulaciones legales, Rappi se encuentre obligado a revelar la información personal a las autoridades o terceras partes bajo ciertas circunstancias”.

Asimismo, el apartado 7 se encuentra específicamente dedicado a los requerimientos legales. Rappi aclara que “podrá revelar la Información Personal de los Titulares de los datos bajo requerimiento de la autoridades judiciales o gubernamentales competentes para efectos de investigaciones conducidas por ellas, aunque no exista una orden ni una citación ejecutiva o judicial”, citando el ejemplo de investigaciones penales, fraudes, violación de derechos de autor y “piratería informática”.

La empresa establece que puede ejercer una discreción absoluta en la cooperación con las autoridades competentes, en tanto lo entiendan necesario y adecuado en relación con “cualquier investigación de un ilícito o un fraude, infracción de derechos de propiedad industrial o intelectual, u otras actividad que sea ilegal”. Entre los datos que Rappi puede compartir se detalla: “nombre completo, apodo, domicilio, ciudad, región, código postal país, número de teléfono, dirección de correo electrónico, etc.”

Finalmente, Rappi se reserva el derecho de compartir información personal de sus usuarios a terceros “cuando haya motivos suficientes para considerar que la actividad de un titular de los datos sea sospechosa de intentar cometer un delito o intentar perjudicar a otras personas”. Aclarando a su vez que este derecho “será ejercido por Rappi independientemente que no exista una orden judicial o administrativa al efecto”.

Resultado: Rappi no recibe estrella. Si bien la empresa establece una cláusula específica sobre su accionar ante el requerimiento de información por parte de las autoridades, no siempre exige una autorización judicial firmada por un juez competente, dejando la puerta abierta a simples pedidos administrativos e incluso entregar la información en forma completamente discrecional de acuerdo a lo que considere la misma empresa.

La política no diferencia entre la entrega de datos o metadatos, tampoco aclara si Rappi tiene un proceso de análisis para la recepción de las solicitudes y evaluar los casos en que las mismas sean excesivas y no cumplan con los requisitos legales.

No se hace mención sobre la actitud respecto a solicitudes de información de organismos gubernamentales o fuerzas de seguridad.

Resultado: Rappi no recibe estrella al no cumplir con ninguno de los parámetros dispuestos.

Resultado: Rappi no recibe estrella al no cumplir con ninguno de los parámetros dispuestos.

Resultado final obtenido por Rappi: 1 estrella.

Observaciones finales

Hay una clara diferencia entre las empresas locales y aquellas que son subsidiarias de casas matrices extranjeras. Varios de los parámetros son cumplidos por las empresas subsidiarias debido a la existencia de legislación y prácticas específicas que son promovidas por la casa matriz desde el país de origen. Sin embargo, hasta donde se pudo identificar, estas prácticas son raramente difundidas desde los sitios web nacionales.
Aún hay empresas que no cuentan con una política de privacidad, o que realizan una simple transcripción de la normativa sobre protección de datos personales.
De las empresas que cuentan con una política de privacidad, sigue predominando el lenguaje técnico-jurídico. Si bien es entendible que las empresas utilicen terminología específica al tratarse de contratos, es esperable que puedan comunicar los distintos aspectos de la política de manera que todos sus usuarios puedan comprenderlos sin necesidad de contar con un conocimiento técnico, a través de explicaciones directas y llanas.
De las 9 empresa estudiadas, solo hubo 2 empresas respecto a las cuales no se pudo verificar que cuenten con sus bases de datos registradas en la web de la AAIP, al no encontrarse resultados vinculados a su CUIT y razón social.
Solo 2, de las 7 empresas que tienen registradas sus bases de datos ante la AAIP, identifican personas específicas como responsables a los cuales se puede contactar. Las 5 empresas restantes registran datos genéricos, en particular emails institucionales.
Respecto al control de la autorización judicial para la entrega de la información, ninguna empresa establece en sus políticas un criterio estricto de la necesidad de orden judicial emanada de un juez competente.
No hay criterios unificados para el ejercicio de los derechos de los titulares. Algunas empresas exigen hacerlo mediante carta en papel, otras empresas facilitan un email específico al cual se puede escribir para este fin. Sin embargo cabe mencionar, respecto a dichos emails, que para el presente informe fueron enviados allí las solicitudes de entrevistas a las 9 empresas, de las cuales solo se obtuvo respuesta por parte de una de ellas.

¿Quién defiende tus datos? 2019

Contenidos

Introducción

Contexto nacional

Metodología de análisis

Criterios y evaluación

1. Política de privacidad

2. Informe de transparencia

3. Notificación al usuario

4. Requerimiento de autorización judicial

5. Guías para requerimiento de información personal

6. Políticas de promoción y defensa de los derechos humanos

Empresas de telecomunicaciones

Empresas de delivery

Observaciones finales

Artículos relacionados

Ética y protección de datos en la inteligencia artificial

Manifestación de Al Sur y organizaciones de la sociedad civil latinoamericana sobre la nueva política de datos de WhatsApp