Telecentro es la empresa de telecomunicaciones que peor cuida los datos personales de los usuarios. En el otro extremo, entre la que tiene una política más orientada a la protección, se encuentra Movistar. Y cuando se trata de las aplicaciones de delivery, la que mejor ranquea en ese tema es Rappi. Son algunas de las conclusiones del estudio "¿Quién defiende tus datos?" que la Electronic Frontier Foundation (EFF) realiza en la Argentina de la mano de la Asociación por los Derechos Civiles (ADC).
Las empresas evaluadas fueron Personal/Fibertel, Movistar, Claro, DirecTV, Telecentro e iPlan. Entre las aplicaciones de delivery se analizaron las políticas de Rappi, Glovo y Pedidos ya.
Para llegar a esa conclusión, el estudio abordó seis criterios de evaluación:
- La política de privacidad
- Los informes de transparencia
- La notificación al usuario
- El requerimiento de autorización judicial
- Las guías para el requerimiento de información judicial
- Las políticas de promoción y defensa de los derechos humanos.
Cada uno de estos tópicos, a su vez, constan de cuatro paramétros más y, de acuerdo a los resultados que obtienen, se ganan una estrellita, o tres cuartas partes de ella, o la mitad, o un cuarto, o ninguna. Y según lo que logran en cada uno de esos parámetros suman estrellas, o no.
¿La revancha de Galperin?: tras mudarse a Uruguay, invierte u$s100 millones en Chile con Mercado Libre
Fue el caso de Telecentro: no logró ninguna estrella. La que más ganó fue, como se dijo, Movistar, que obtuvo dos. Aunque hay que aclarar que el máximo a obtener son seis, de modo que el informe reveló no sólo qué operador de telecomunicaciones está mejor y peor preparado en cuanto a la protección de los datos personales sino, además, que se está todavía lejos de alcanzar un estadío ideal.
Cuando se mira cada uno de los seis parámetros evaluados se advierte, a su vez, que hay compañías mejor paradas en un tema y peor en otros. Dentro de las operadoras de telecomunicaciones, se puede afirmar que DirecTV, Personal/Fibertel y Claro son las que tienen la mejor política de privacidad en comparación con el resto.
Al mirar los informes de transparencia, DirecTV otra vez y Movistar se quedan con la mejor calificación. La misma situación se repite cuando se trata de notificar al usuario y cuando hay pedidos de autorización judicial.
A la hora de calificar las políticas de requerimiento, es decir, la facilidad con que se les ofrece a los usuarios hacer un planteo vinculado con sus datos personales, la única que obtiene mejor calificación es Movistar, mientras que en lo referido a la promoción de los derechos humanos la mejor parada es Personal/Fibertel.
"No evaluamos el cumplimiento estricto porque no hay grandes parámetros. Lo que se estudia, principalmente, es la información pública de las empresas y su compromiso público con la protección de datos", explicó en un encuentro con expertos del sector, abogados de las empresas y prensa, Veridiana Alimonti, analista de políticas de la EEF para América latina.
Por su parte, Leandro Uciferri, analista de ADC, sostuvo que "los criterios de evaluación se aplicaron con la legislación existente por detrás. No los juzgamos porque no somos autoridad. Pero sí los miramos en relación a lo que hacen las empresas".
¿Qué es lo que se ve, más allá de la mayor o menor cantidad de estrellitas que gana cada una de ellas? Que las empresas colocan sus Políticas de Privacidad bien debajo de la página principal (home page) o, en algunos casos, mucho más escondido.
Una vez que logran llegar a ella lo que se observa es qué tan granular es la información que se le da a los consumidores y si está claro durante cuánto tiempo está guardada, aspecto que está vinculado con lo que establecido por la ley de protección de datos personales. Lo que queda patente es que cada empresa hace lo que quiere y el usuario no tiene ningún tipo de certeza.
Esto explica en parte por qué Telecentro tuvo tan mala calificación. Lo único que ofrece en materia de protección de datos personales es un link a Infoleg (el aplicativo oficial en donde están guardada el total de la legislación nacional) pero eso no representa de ningún modo una política de privacidad.
Evaluar el comportamiento de las compañías también tiene sus claroscuros porque, por ejemplo, uno de los criterios de evaluación tal como lo es el informe de transparencia, no tiene consideración legal. En otras palabras, las empresas no están obligadas a publicar los informes de transparencia, más allá de que se trate de una buena práctica de cara a los usuarios consumidores.
Google escucha todo lo que hablás y usa a tu celular para que le haga de espía: ¿verdadero o falso?
Por esa razón, Alimonti consideró que "debería haber un esfuerzo de justificación de las empresas para dar esa información". Aunque la cosa no es tan sencilla de implementar porque a veces el problema radica en cómo la justicia hace el pedido de esa información. Muchas veces los agentes judiciales no tienen la suficiente capacitación para ejecutar estos procedimientos.
Los requerimientos de acción judicial (el punto 4) plantean, sin dudas, varios dilemas. Por caso, Uciferri destacó que Facebook tiene línea directa con la Policía Federal cuando hay requerimientos judiciales. "Pero con lineamientos propios de Facebook", advirtió, y no bajo la potestad de las regulaciones argentinas, existentes o no.
Este punto es uno de los aspectos que hoy están en pleno estudio a nivel mundial y donde los sistemas de justicia buscan que las grandes empresas de tecnología, por caso, se sometan a las regulaciones de un país. Uno de los problemas es cuando no hay legislación suficiente para abordar estos casos. Y las grandes empresas tecnológicas, por ahora, parecen llevar la delantera.
Curiosidades y dilemas
Lo que más llamó la atención a la hora de evaluar esos seis parámetros es que lo que en ADC consideraban como la estrella más fácil de conseguir, fue una de la que menos logros consiguió. Se trata de la de promoción de los derechos humanos. Como se dijo, fue Personal/Fibertel la que consiguió la mejor calificación, seguida por Movistar. Pero el resto casi no sumó.
¿Cómo se evaluaron los servicios? Desde ADC buscaron discernir las políticas orientados a internet hogareño y las relacionadas con internet personal, es decir, banda ancha fija para el primer caso, y banda ancha móvil para el segundo.
Les resultó curioso que en un contexto de concentración, como el motorizado por Telecom/Cablevisión (identificado en el estudio como Personal/Fibertel), en el informe de 2017 tenían separado uno y otro servicio, pero en el de 2018 los juntaron y se aplicó la misma política de privacidad para internet hogareño y para el servicio móvil.
Este comportamiento se replica también en los casos de Movistar y de Claro. Mientras representantes de la GSMA presentes en el encuentro consideraron que no debería haber discriminación entre un servicio y otro, para ADC "si se trata de una sola política debería estar mejor discriminada".
"Lo que esperamos ver es una mejor aclaración de sobre qué tipos de servicios recolectan qué datos", alertó Uciferri.
Cóndores, alpinistas y trekkers: los tres tipos de empresas y cómo ganar clientes, y más plata, con la tecnología
¿Qué pasa con las apps de delivery?
Esto fue lo que también motorizó que en el estudio de 2019 se incluyeran a las aplicaciones de delivery en la evaluación. Rappi, como se dijo, fue la que obtuvo la mejor calificación con una estrella completa. Glovo y Pedidosya lograron tres cuartos, muy cerquita, aunque las tres tienen un gran camino que recorrer en materia de protección de datos de los usuarios porque son de las que más información recolectan sobre ellos.
En donde mejor desempeño obtienen es en política de privacidad y bastante bien en las cuestiones vinculadas con autorizaciones judiciales. En donde peor actúan es en el resto, desde informes de transparencia hasta notificación a usuarios, además de guías para requerimientos y políticas de promoción de derechos humanos.
El informe de ADC contempló la chance de ponerse en contacto con las empresas evaluadas para hacerles una entrevista usando los canales habilitados en cada una de sus páginas web, las que usan cotidianamente los usuarios. La única empresa con la que concretaron ese objetivo fue iPlan. Una muestra de lo engorroso que resulta también poder contactarse con alguna de estas compañías ante un problema relacionado con los datos personales.
Mercados grandes, leyes serias
Tanto Alimonti como Uciferri coincidieron en que la publicación de las políticas de privacidad dependen más que nada de la importancia del mercado y de las leyes existentes en los países. Con Telefónica se dan situaciones "curiosas", señalaron. "Hay una desconexión entre la casa matriz y las filiales. La información de transparencia es publicada por España y habla de la Argentina, pero desde la filial argentina no se linquea a ese informe de España", sostuvo Uciferri.
La misma situación se repite con DirecTV. Mientras la página local tiene un enlace a la política de privacidad de AT&T (su propietaria) en Estados Unidos, no se abre esa chance a la Argentina. "Entendemos que esa información que se publica se pide desde la Argentina pero sin tener claro el resultado", indicaron.
A lo que Veridiana agregó que "no quedan claras las exigencias que se cumplen en cada caso. Por eso queremos que las guías sean públicas". Consideraron que las políticas establecidas "son confusas para los usuarios, tanto en lo administrativo como en lo legal".
Segarra indicó que predomina el lenguaje técnico jurídico en las páginas de las empresas. Y que si bien es correcto "el usuario tiene que poder entender cómo es el tratamiento de sus datos sin necesidad de tener el conocimiento técnico".
Sí quedó claro, a su vez, que aquellos países en donde hay legislaciones claras sobre la protección de datos personales, como la CCPA (Ley de Privacidad del Consumidor de California) y la GDRP (de protección de datos personales de Europa) los cambios en las regulaciones de las empresas son rotundos.
En la Argentina, el nuevo proyecto de ley de protección de datos personales perdió estado parlamentario el pasado 29 de febrero. Y nadie se enteró, lo que demuestra el escaso interés por estos temas no sólo de los legisladores sino también de la sociedad civil y de los usuarios.
Para los responsables de la EFF y de ADC, sin embargo, la ética y las buenas prácticas de datos personales debería redundar en ganancia de clientes y en menores multas. Para que eso ocurra los usuarios también deberían tomar más conciencia de ello. Gran parte del trabajo, además de contar con legislaciones modernas, pasará por ahí.