Las comunicaciones privadas se intervienen sin control en México; autoridades hacen 200 requerimientos diarios
José Soto Galindo
9 mayo, 2018Todos los usuarios de telefonía móvil de México somos sospechosos y eso implica que nuestras comunicaciones privadas pueden ser transgredidas. Las autoridades mexicanas hicieron 75,978 solicitudes a las compañías telefónicas para que ofrecieran información de sus clientes en 2017. Fueron 200 requerimientos diarios a los operadores para que colaboraran entregando datos relacionados con el uso de las líneas telefónicas o la localización geográfica en tiempo real del dispositivo conectado a la red pública de telecomunicaciones. Miles de solicitudes se realizaron sin cumplir los requisitos de ley, pero los operadores prefieren no discutir: si una autoridad lo pide, se le entrega. Incluso si la autoridad que pide está impedida constitucionalmente, o si el funcionario que lo pide no fue designado a través de un acuerdo en el Diario Oficial de la Federación, como dicta la norma, o si la autoridad a la que representa sólo se identificó como “FG”, “TSJ”, “PGJ”, “JCA”, “JC-JO” o, simplemente, “otra”.
Entre los casos más llamativos está el de la Fiscalía de Puebla, que realizó 3,418 solicitudes de datos conservados y localización en tiempo real en 2017, de acuerdo con los reportes que los operadores deben entregar al Instituto Federal de Telecomunicaciones (IFT) cada semestre. Más de la mitad de esas solicitudes las realizó en mayo, el mes más violento en la lucha contra los huachicoleros, como se conoce a las bandas delincuenciales que extraen combustible de los ductos de Pemex. Fueron 1,921 requerimientos a los operadores. El robo de hidrocarburos es un delito del fuero federal; de acuerdo con datos de Pemex entregados al Senado de la República, esta compañía del Estado presentó 10,078 denuncias en 2017 relacionadas con el robo de combustible, 88.5% quedó impune.
Otro caso es el de la Fiscalía Especializada para la Atención de Delitos Electorales (Fepade), que depende de la PGR. El artículo 16 constitucional ayuda a delimitar los alcances de la intervención de comunicaciones privadas: están prohibidas “cuando se trate de materias de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, ni en el caso de las comunicaciones del detenido con su defensor». Esto no fue obstáculo para que la Fepade, cuando era dirigida por Santiago Nieto Castillo, pidiera datos sobre un cliente de Axtel en marzo y sobre dos clientes de Megacable en abril.
La Secretaría de Marina, la Secretaría de Seguridad Pública de Chiapas y las fiscalías o procuradurías de Aguascalientes, Campeche, Chihuahua, Durango, Hidalgo, Nayarit, San Luis Potosí, Sinaloa y Veracruz realizaron en total 7,467 requerimientos (casi 10% del total). Ninguna de estas instancias ha publicado el decreto para designar a sus responsables de gestionar las solicitudes de colaboración a las operadoras, como ordena la norma publicada por el IFT el 2 de diciembre de 2015.
Existen tres tipos de requerimientos de autoridades relacionados con las comunicaciones privadas:
1. de datos y metadatos, que la Suprema Corte determinó protegidos por el derecho a la inviolabilidad de las comunicaciones privadas y que, para ser válidas, deben ser autorizadas por un juez;
2. de localización geográfica en tiempo real (saber dónde se encuentra un aparato telefónica de manera inmediata), que pueden solicitarse sin autorización de un juez cuando hay necesidad de proteger la vida e integridad de las personas o cuando esté en riesgo el objeto del delito o éste pueda desaparecer, y
3. de intervención del contenido (que una autoridad tenga acceso, por ejemplo, al WhatsApp de un ciudadano y lea sus mensajes), que deben ser autorizadas por un juez.
El análisis de datos y metadatos permite crear perfiles muy acertados sobre los usuarios de las líneas, como identificar a su círculo de relaciones sociales más cercanas y los medios sociales que frecuentan, conocer los lugares de residencia permanentes o temporales, saber dónde pasan la noche o documentar sus hábitos de la vida cotidiana.
Las autoridades no identificadas o registradas por los operadores con imprecisiones fueron las que más solicitudes realizaron durante 2017: 16,993, con un porcentaje de recepción de información de 91.44 por ciento. De cada 10 solicitudes, los operadores colaboraron en 9 casos. Siguieron la Procuraduría General de la República (SEIDO, AIC, Cenapi y Fepade), con 14,780 solicitudes y una tasa de recepción de información de 96%; la Fiscalía del Estado de México (5,642 solicitudes, 98.12% de recepción); la Procuraduría General de Justicia de la Ciudad de México (5,322 solicitudes, 97.73% de recepción); la Fiscalía General de Puebla (3,418 solicitudes, 99.53% de recepción) y la Fiscalía General de Veracruz (2,969 solicitudes, 98.28% de recepción).
De los 75,978 requerimientos de autoridades de seguridad y justicia registradas por los operadores durante 2017, 73,609 fueron peticiones para acceder a datos y metadatos y 2,369 a geolocalización en tiempo real.
La falta de transparencia de parte de las autoridades y de los operadores sobre la manera como se procesan las solicitudes limita la posibilidad de evaluar si el uso de esta herramienta, derogada por la Unión Europea hace cuatro años por considerarla una injerencia grave y desproporcionada al derecho a la privacidad, es un medio efectivo para lograr investigaciones exitosas. El IFT es responsable de dar seguimiento a la colaboración de los operadores y poco ayuda para dar certeza: no cuenta con un directorio de autoridades designadas ni cumple con su parte de poner en línea los reportes semestrales. Tampoco diseñó medidas para sancionar a los operadores que no presenten sus reportes ni para verificar si la información entregada es verídica. Se solicitó un comentario del IFT para este artículo, pero el regulador prefirió quedarse callado.
La colaboración de los operadores
La colaboración obligatoria de los operadores con las autoridades de seguridad y justicia es una herramienta del Estado mexicano para —dice el espíritu de la norma— garantizar la seguridad pública, la seguridad nacional y hacer una efectiva procuración de justicia. Fue puesta en operación en México al mismo tiempo que en Europa se derogaba una directiva similar, calificada de “especialmente grave” para “los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal”. En México esta vulneración de derechos no inquieta a los legisladores ni a los ministros de la Suprema Corte: las normas que permiten la colaboración han sido validadas en distintas ocasiones (la más reciente fue el 20 de marzo). Y aunque se han robustecido los controles para el uso de la herramienta, lo que probablemente hizo disminuir las solicitudes de colaboración el año pasado (en 2017 se realizaron 3,412 requerimientos menos que en 2016), el descontrol persiste.
América Móvil es un caso paradigmático de la manera como reaccionan los operadores a los requerimientos. América Móvil, que controla a Telcel, Telmex y Telnor, recibió casi 7 de cada 10 solicitudes de colaboración en 2017 —57,677 de las 75,978 registradas en 2017. La compañía colaboró en 100% de los casos; 9,245 solicitudes (16% del total) fueron hechas por autoridades no identificadas. El Economista envió un cuestionario a América Móvil para conocer cómo procesa los requerimientos; la respuesta fueron 24 palabras: “Todo se contesta acorde a lo requerido o planteado en los lineamientos y al Título Octavo de la Ley Federal de Telecomunicaciones y Radiodifusión”.
AT&T recibió 11,554 requerimientos en 2017 y colaboró en 8 de cada 10. 60% del total de requerimientos a AT&T fueron realizados por autoridades no identificadas. Consultada para este artículo, la compañía ofreció una respuesta genérica a través de un vocero: “En AT&T México tomamos muy en serio la privacidad de nuestros clientes; es un compromiso fundamental para la manera en que hacemos negocios a nivel mundial”. Movistar de Telefónica fue el tercer operador con más solicitudes: 6,303, y colaboró en 9 de cada 10 casos. “Telefónica México siempre ha coadyuvado con las autoridades con estricto apego a las obligaciones aplicables en las normas jurídicas vigentes en nuestro país. (…) En caso de que la autoridad no cumpla con los requisitos establecidos en la Legislación, no se le entrega la información”, informó la compañía.
La intervención de comunicaciones
La injerencia que supone la retención indiscriminada de datos personales a través de los servicios de telecomunicaciones “resulta de gran magnitud y debe considerarse especialmente grave”, declaró el Tribunal de Justicia de la Unión Europea (TJUE) en un fallo que motivó la creación de una nueva política de protección de datos personales, la GDPR (General Data Protection Regulation), que entrará en vigor el 25 de mayo de 2018.
En México, la gran reforma al sector de las telecomunicaciones de 2013 y 2014 mantuvo en la legislación la obligación de los operadores de colaborar con las autoridades de seguridad y justicia. La tecnología lo permite: cada activación del equipo de comunicación produce datos y metadatos que son utilizados por el operador para garantizar el proceso comunicativo y para facturar el servicio al cliente; esa información contiene datos personales, pues identifica o hace identificable a una persona (Inai, PPD.0050/16 del 13 de julio de 2016), y se encuentra bajo la protección del derecho a la inviolabilidad de las comunicaciones privadas. “El objeto de protección constitucional del derecho a la inviolabilidad de las comunicaciones privadas (…) no hace referencia únicamente al proceso de comunicación, sino también a aquellos datos que identifican la comunicación. (…) El registro de los números marcados por un usuario de la red telefónica, la identidad de los comunicantes, la duración de la llamada telefónica o la identificación de una dirección de protocolo de internet (IP), llevados a cabo sin las garantías necesarias para la restricción del derecho fundamental al secreto de las comunicaciones, puede provocar su vulneración”, dice la Tesis 1a. CLV/2011 de la Suprema Corte de agosto de 2011.
En total son 11 bloques informativos los que deben estar a disposición de la autoridad durante un periodo de 24 meses desde el momento en que se generó la comunicación, de acuerdo con el Título Octavo de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) y reglamentado por unos lineamientos emitidos por el IFT el 2 de diciembre de 2015. En la lista se incluyen desde los datos más básicos, como el nombre y la dirección del cliente, hasta datos de tráfico de las comunicaciones: el tipo de comunicación, los números de origen y destino, la duración, fecha y hora de la comunicación o la etiqueta de localización (identificador de celda). Con estos datos se pueden hacer inferencias sobre las relaciones sociales y el círculo más íntimo del usuario de la línea, las rutinas de desplazamiento o dónde pasa la noche y cuándo sale de la ciudad. “No se necesita en modo alguno analizar el contenido de la comunicación, o de sus circunstancias, para determinar su protección por el derecho fundamental”, dice la Tesis 1a. CLV/2011 de la Corte.
La reforma de Enrique Peña Nieto, con la que se creó la LFTR y se abrogó la Ley Federal de Telecomunicaciones de 1995, evitó delimitar las materias para el uso de la herramienta de colaboración: la ley anterior era explícita al señalar que la localización geográfica en tiempo real sólo podía utilizarse “con investigaciones en materia de delincuencia organizada, delitos contra la salud, secuestro, extorsión o amenazas” y el acceso a datos conservados en “delitos de extorsión, amenazas, secuestro, en cualquiera de sus modalidades o de algún delito grave o relacionado con la delincuencia organizada, en sus respectivas competencias”. Así lo ratificó la Suprema Corte al resolver la Acción de Inconstitucionalidad 32/2012. Algo similar ocurrió en el diseño del artículo 303 del Código Nacional de Procedimientos Penales (CNPP) que estuvo en vigor entre el 5 de marzo de 2014 y el 17 de junio de 2016; el legislador “olvidó” especificar las materias penales en las que podía utilizarse la geolocalización en tiempo real. La Corte invalidó el artículo caduco el 20 de marzo de 2018 y validó el uso de la geolocalización para la investigación de delitos específicos.
A lo más que legisladores y jueces han llegado para proteger los derechos a la privacidad y a la protección de datos personales con el uso de esta herramienta es a dotarla de guías de acción para situaciones concretas, guías que los propios operadores y autoridades incumplen sistemáticamente, evidenciando que en México las comunicaciones privadas se intervienen sin control.
Este reportaje originalmente se publicó en El Economista el 8 de mayo de 2018.