Caso AT&T en el Inai reactiva polémica sobre datos personales
Nicolás Lucas
15 agosto, 2016
La controversia sobre el 190º de la LFTR ha incluido el rechazo de algunos operadores, por el costo que implica recabar y resguardar datos de cada llamada telefónica de millones de clientes, y una solicitud de amparo por su posible violación a la protección de la privacidad de las personas.
La polémica sobre el artículo 190º de la Ley de Federal de Telecomunicaciones y Radiodifusión, que ordena la retención indiscriminada de información de los usuarios de telefonía móvil, vive un nuevo capítulo. La autoridad de protección de datos personales, el Inai, resolvió un expediente contra la compañía telefónica AT&T y, por primera vez desde la reforma de telecomunicaciones, la autoridad en la materia confirmó que los datos recabados por obligación del 190º son datos personales y los consumidores tienen derecho a acceder a ellos. “Son datos que identifican o hacen identificable a una persona”, determinó el Inai.
La controversia sobre el 190º de la LFTR ha incluido el rechazo de algunos operadores de telecomunicaciones, por el costo que implica recabar y resguardar datos de cada llamada telefónica de millones de clientes durante 24 meses (en México hay casi 110 millones de suscriptores), y una solicitud de amparo por su posible violación a la protección de la privacidad de las personas, resuelta de manera negativa en la Segunda Sala de la Suprema Corte el 4 de mayo pasado.
La resolución al expediente PPD.0050/16, firmada por el pleno de esa dependencia el 13 de julio y notificada a las partes el 10 de agosto, reactiva el debate sobre el contenido del polémico 190º, cuestionado por distintas organizaciones civiles y actores del sector de telecomunicaciones, que lo consideran una transgresión a la privacidad de los usuarios o lo consideran desproporcionado para los fines que pretende alcanzar. El artículo detalla la obligación de las compañías de colaborar con las autoridades en materia de seguridad y justicia, para lo que deben recabar y resguardar durante 24 meses como los metadatos de las comunicaciones de sus clientes, como la ubicación geográfica o características de la comunicación, que permiten hacer inferencias sobre la participación de las personas en la vida social.
A pesar de que las personas no se dan cuenta de todas las implicaciones de un seguimiento continuo de su ubicación a través del uso de su teléfono, puede ser extremadamente sensible debido a su tendencia a revelar las relaciones personales, como las identidades de las personas que viven o pasan la noche juntos; las prácticas religiosas, amistades y asociaciones, consultas médicas, la participación en organizaciones y eventos políticos, y muchas otras relaciones y actividades de la vida diaria.
“Si bien algunas de estas cosas podrían ser descubiertas o reveladas por otros medios, el seguimiento de localización puede revelar de manera sistemática y en gran escala cosas como la hora de crear un registro de todos los dispositivos móviles que estuvieron presentes en una reunión política o de reclamación (social)”, dijo Katitza Rodríguez, directora de Derechos Internacionales en la Electronic Frontier Foundation (EFF).
Para la doctora María Marván Laborde, investigadora del Instituto de Investigaciones Jurídicas de la UNAM y excomisionada del IFAI (hoy Inai), la autoridad de protección de datos debió haber impugnado el artículo 190º en su momento. “El artículo establece no sólo una serie de datos sobre cualquier llamada telefónica que las empresas tienen la obligación de guardar hasta por 24 meses, sino el acceso prácticamente de cualquier autoridad para solicitar esos datos”, dijo la investigadora, preocupada por la penetración del crimen organizado en corporaciones policiacas del país. Era importante que el 190º delimitara el número de autoridades y además delimitara procedimientos judiciales para acceder a la información resguardada, dijo.
Hasta ahora, no se ha definido con claridad qué autoridades y desde qué escala de gobierno pueden hacer uso del 190º para conocer información privada del usuario. En el fallo de la Segunda Sala de la Suprema Corte que negó un amparo por inconstitucionalidad promovido por la Red en Defensa de los Derechos Digitales R3D se determinó que la autoridad solicitante deberá argumentar razones ante un juez para acceder a los datos recabados por los operadores.
La propia AT&T, que hoy enfrenta un procedimiento de imposición de sanciones en su contra con el expediente PPD.0050/16 del Inai, fue una de las compañías que más comentarios hizo al Instituto Federal de Telecomunicaciones (IFT) sobre los lineamientos emitidos por esta autoridad para la colaboración con las autoridades, publicados el 2 de diciembre del 2015. En su momento, AT&T, a través de los representantes de Iusacell y Nextel (fusionados a principios de año en una misma operadora por la compañía de origen estadounidense), dijo al IFT que la redacción de los lineamientos no era clara, que podría malinterpretarse en contra del usuario y que no quedaba claro a qué nivel de gobierno debía entregar la información de un usuario, cuando se presentara el caso. Fueron en total 15 páginas en las que AT&T presentó sus opiniones.
“Esos datos revelan la intimidad de las personas; son inherentes a su identidad y desde la perspectiva de los derechos fundamentales, la persona debe ser protegida. Este reporte abre otra vez el gran debate. Exhibe que estamos ante el comienzo de que habrá distintas interpretaciones. Estamos en el amanecer de lo que veremos en los siguientes años con la sociedad conectada y qué mejor que atenderlo desde ahora”, opinó Jorge Fernando Negrete, presidente de la Asociación Mexicana de Derecho a la Información (Amedi).
El costo de la retención
El rubro del costo también fue tema de debate, más cuando las que deben desembolsar las inversiones para dar cumplimiento al 190° tienen que ser las empresas. En México se desconoce a cuánto dinero ascienden los desembolsos, pero una polémica similar en Australia podría dar pistas: el proveedor iiNet calculó en el 2012 que el costo de la retención sería de 130 dólares australianos (99 dólares estadounidenses) por usuario al año, considerando datos como el procesamiento de hasta 200 millones de correos electrónicos al día o 1 petabyte de información diario.
«Las asociaciones de operadores de ese país [Australia] calcularon que llevar a cabo la instalación de este esquema costaría 100 millones de dólares en su forma más básica, pero al registrar el tráfico de comunicaciones por Internet y todos sus elementos multiplicaría cinco o siete veces esa estimación. En términos de costos unitarios, se calculó que esto representaría un gasto de 5 dólares al mes por cada usuario», se lee en el documento «Análisis: lineamientos de colaboración de operadores con instancias de justicia y seguridad», firmado por Jesús Romo de la Cruz, de la consultora mexicana Telconomia, en el 2014.
En el 2012, se calculaba que el costo para las operadoras del mercado australiano de resguardar la información de los usuarios costaría entre 188 y 319 millones de dólares australianos (entre 2,682 y 4,552 millones de pesos, a la cotización del 2016), poco menos del 1% de los ingresos que genera aquella industria de comunicaciones móviles.
Independientemente del costo que implique resguardar la información de los usuarios hasta por 24 meses, está claro que la privacidad del consumidor puede ser vulnerada, dijo Luis Fernando García, director ejecutivo de R3D. “La resolución [del Inai] reconoce que los metadatos de comunicaciones que las empresas de telecomunicaciones son obligadas a conservar de manera masiva e indiscriminada son datos personales del usuario y que éste tiene el derecho de acceder a los mismos. Sería el colmo que la ley permita a las autoridades acceder a nuestros datos y los propios usuarios no pudieran acceder”, dijo.
“Es importante resaltar que estos datos no son triviales, sino que revelan una gran cantidad de información de una persona. Del análisis de estos datos pueden desprenderse cuestiones tan delicadas como las relaciones personales, los patrones de desplazamiento y de ahí conocer las preferencias políticas, sexuales, religiosas, el estado de salud y un sin fin de datos altamente sensibles. Como mínimo, no podemos aceptar que autoridades puedan conocer más información sobre nosotros de lo que nosotros podemos conocer, sería verdaderamente distópico aceptar semejante situación. Por ello celebramos esta decisión”, dijo Luis Fernando García, de R3D.
La privacidad en riesgo
Agustín Ramírez, abogado especializado en telecomunicaciones del despacho de consultora Ouraboros, consideró que al conocer de este caso más usuarios intentarán conocer sobre el manejo de su información personal, de ahí el precedente que sienta esta resolución del Inai. “Si bien es cierto que el IFT no tiene competencia en este asunto, quizá sería el momento para que el regulador tomara nota de los términos en que al menos AT&T y quizá otros concesionarios están atendiendo los lineamientos en la materia, más que nada en términos de claridad y de utilidad para las autoridades”, dijo Ramírez.
La resolución del Inai trae devuelta las discusiones sobre la legitimidad del artículo 190º, pues aunque ya ha sido validado por la Suprema Corte queda claro que puede ser invasivo a la privacidad de los usuarios. “En determinados momentos puede ser completamente justificable que se pida toda esa información de una persona, pero no de otra. Si no hay razones sustentadas para pensar que un determinado individuo está involucrado en el terrorismo o está involucrado en crimen organizado, la verdad es que me parece sumamente peligroso que se tenga acceso a eso”, dijo Marván Laborde, del Instituto de Investigaciones Jurídicas de la UNAM.
AT&T y la intervención de comunicaciones privadas
- 🧟♀️ Una jurisprudencia para revivir cadáveres (24 de noviembre, 2023)
- Caso AT&T en el IFT: pésimo antecedente (13 de febrero, 2023)
- ¿Qué es la intervención de comunicaciones privadas? (18 de enero, 2013)
- El fantasma de Gabriel Contreras en el IFT (9 de enero, 2023)
- AT&T: medio millón de pesos por violar la ley de datos — Newsletter 64° (27 de diciembre, 2022)
- AT&T pagará casi medio millón de pesos de multa por violar ley de datos personales (19 de diciembre, 2022)
- IFT convierte sanción contra AT&T de 432 millones de pesos en una de 4 millones (8 de diciembre, 2022)
- AT&T: intervenir comunicaciones privadas — Newsletter 62º (8 de diciembre, 2022)
- AT&T: sanción por incumplir con intervención de comunicaciones privadas (8 de diciembre, 2022)
- AT&T incumplió una resolución sobre datos personales y el Inai debe verificarlo: Tribunal (20 de octubre, 2017)
- AT&T analiza resolución del Inai en su contra (30 de agosto, 2016)
- Resolución del Inai sobre AT&T debe preocupar a la industria (20 de agosto, 2016)
- Caso AT&T en el Inai reactiva polémica sobre datos personales (15 de agosto, 2016)
- Inai sancionará a AT&T por actuar con negligencia en un caso de datos personales (14 de agosto, 2016)
Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.
Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.
Comentarios
