Internet

Lineamientos para vigilar nuestros datos

En 1999, un episodio de la serie The West Wing predijo uno de los problemas de nuestra época: el derecho a la privacidad de nuestros datos personales.

Hoy, 15 años después de ese episodio (The short list, primera temporada), tenemos un escenario un más complejo, pero sin duda los productores de The West Wing vieron dos pilares del problema: la disponibilidad de más dispositivos personales y la expansión del uso de Internet como una plataforma en la cual intercambiamos datos. En el contexto actual, el uso de aplicaciones móviles y plataformas sociales que registran nuestros datos personales y nuestros patrones de uso, las empresas y los gobiernos tienen el interés y los métodos para conocer sobre nuestro comportamiento.

PUBLICIDAD

Recientemente el Instituto Federal de Telecomunicaciones (IFT) sometió a consulta pública el anteproyecto de los lineamientos de colaboración de los operadores de telecomunicaciones en México con las autoridades de impartición de justicia y seguridad. Este tema fue uno de los más destacados en las movilizaciones civiles durante las semanas en las que se discutió el proyecto de la Ley Federal de Telecomunicaciones y Radiodifusión, la LFTR.

El apartado de colaboración con la justicia contenido en el Título Octavo de la LFTR exige al IFT generar lineamientos por los que se establecerán plataformas para que las autoridades mexicanas puedan conocer la ubicación geográfica de dispositivos de comunicaciones, además de tener acceso a los datos (metadatos) almacenados en un periodo de 2 años por los operadores. Además de esto, la legislación mexicana permite la intervención de las comunicaciones privadas, siempre y cuando medie una orden del Poder Judicial.

Desde el debate de la ley y hasta la consulta de los lineamientos, uno de los problemas centrales ha sido la ambigüedad de algunos conceptos, como las instancias de seguridad pública y de justicia que pueden tener acceso  a los datos de los ciudadanos o localizar geográficamente dispositivos y en qué deben sustentar estas peticiones.

Quizá esta idea quedó sintetizada en la última entrada del blog Frontera Tic de José Otero:

Mi problema con  esta ley es que es muy abstracta al momento de definir elementos importantes sobre quién es la persona del gobierno autorizada a pedir datos a las empresas de telecomunicaciones del país, que tipo de datos son los que pueden ser solicitados o cuales son los datos que deben ser almacenados. Bajo estas condiciones, ¿se protege al ciudadano o se le pone en peligro?

Ley y lineamientos

La redacción de la ley indica que los concesionarios y demás operadores en el país deberán colaborar con las autoridades que presenten mandamiento escrito, fundado y motivado de “la autoridad competente” en los términos que establezcan las leyes en su artículo 189. En este caso, queda ambiguo y “abierto” el concepto autoridad, ya que se puede considerar que una autoridad es el Ministerio Público Federal, pero también los cuerpos de seguridad municipal, por ejemplo. Tampoco se observa qué leyes son las aplicables.

PUBLICIDAD

El artículo 190 enumera obligaciones, como la de conservar datos de comunicaciones en los registros de los operadores en un plazo de 24 meses (en la ley anterior eran 12), y poner a disposición de las autoridades que lo soliciten y fundamenten el pedido en periodos de 24 horas para datos dentro de los 12 meses y de 48 horas para los del plazo restante. También figura la geolocalización y el bloqueo de señales. En este mismo artículo se recuerda que la Constitución en su artículo 16 indica que las comunicaciones privadas son “inviolables” y sólo la autoridad judicial federal a petición de una instancia de seguridad federal o los ministerios públicos de los estados puede ordenar una intervención de estas comunicaciones.

En los lineamientos se mantienen estas ambigüedades que vienen desde el proceso legislativo. Destacan los siguientes temas:

Conservación de datos

Los operadores están obligados a conservar “metadatos”, como duración de las llamadas, número de origen y destino, tipo de comunicación (SMS, llamada desde móvil, mensajería por Internet). En los lineamientos se establece que este almacenamiento no es una intervención al contenido de las comunicaciones privadas, lo que requiere una orden judicial, pero aun sin acceder a las conversaciones, los metadatos generan información sobre el comportamiento de los usuarios.

En este caso hay ambigüedad sobre qué autoridades están facultadas a solicitar el acceso y si se requiere una orden judicial, pues no queda claro si sólo las autoridades investigadoras están facultadas para hacerlo al obtener una autorización de un juez o si autoridades como los gobiernos municipales pueden acceder al cumplir el requisito de designar a un servidor público que tramite estas solicitudes con los operadores.

Factibilidad técnica y económica

La LFTR duplicó el plazo requerido para guardar datos de las comunicaciones de los usuarios. En los lineamientos, el IFT pide plataformas electrónicas y sistemas de sellos o firmas digitales para validar la comunicación con las autoridades y sus requerimientos de acceso a los datos conservados. En este caso, el IFT prevé que los operadores le informen de su capacidad para procesar esta obligación y, en caso contrario, tendrán seis meses para conseguir este objetivo por medio de una calendarización.

Estos costos pueden tener un impacto distinto dependiendo del tamaño de los operadores por su número de suscriptores, acceso a recursos o líneas de crédito y, sobre todo, por la magnitud de metadatos que deben conservar para la consulta de la autoridad. Si la capacidad económica es muy limitada, ¿cuáles serían las alternativas? Si estas soluciones requieren un tercer prestador de servicios, ¿qué estándares de calidad estaría obligado a presentar?

Protección de datos personales

El IFT y los operadores, de acuerdo con los lineamientos, revisarán periódicamente los protocolos y las medidas de manera que los datos personales queden protegidos al ser almacenados. Sin embargo, ninguno de estos dos actores son expertos en protección a datos personales. Sería pertinente incluir instituciones y grupos con experiencia y conocimiento de mejores prácticas para salvaguardar la privacidad.

Rendición de cuentas

El acceso a los datos conservados y a la geolocalización pueden ser más laxos que las intervenciones a comunicaciones privadas, lo que da el incentivo de que se recurra en mayor medida a estos métodos. Sin embargo, hace falta una garantía hacia el ciudadano de manera que si la autoridad accede a su información conservada (metadatos), se le notifique al final de la averiguación en caso de no iniciar una acción en su contra. Establecer una práctica que obligue a la autoridad a notificar que tuvo acceso a datos por motivos fundados en una investigación sancionada ayudaría no sólo a la transparencia, sino a la rendición de cuentas y daría un incentivo para no abusar de este acceso.

Al final de la ruta, los datos de los usuarios funcionan como “moneda de cambio”. Los proporcionamos a cambio de acceso a servicios y aplicaciones que nos son convenientes y que genera información sobre nuestros hábitos. Privacidad no es ocultar nuestros datos, sino tener el derecho de manejar nuestra reputación. Resulta prioritario poner en la agenda del ciudadano la construcción de mínimos fundamentales que vayan dibujando una “declaración de derechos” de la privacidad de los usuarios que fomente la transparencia y la rendición de cuentas en el acceso a nuestros datos (y metadatos). 

Foto portada (cc) Grant Hutchinson

PUBLICIDAD

Tags


Lo Último