¿Dónde están mis datos?

Buscando la transparencia de los intermediarios de Internet en Colombia

Claro Telefónica Movistar Une Etb DirecTv
1 El PSI publica Informes de transparencia
2 El PSI notifica a sus usuarios y usuarias sobre solicitudes de datos del Gobierno
3 Las Políticas de Protección de datos del PSI son públicas y de fácil acceso para los usuarios y usuarias
4 El PSI pubica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias
5 El PSI es claro con sus usuarios y usuarias sobre la forma como filtra, retira o bloquea contenidos y como cancela o suspende servicios.
Descarga en PDF el informe de 2015 "¿Dónde están mis datos?"

Baixe o resumo executivo em Português

Download the executive summary in English.

Índice del informe

  1. Resumen Ejecutivo
  2. Criterios de evaluación
  3. Metodología de evaluación
  4. Observaciones
  5. Evaluaciones por Prestadores de Servicios de Internet - PSI
    1. Claro
    2. Telefónica Movistar
    3. UNE
    4. ETB
    5. DirecTV

1. Resumen Ejecutivo

En la sociedad actual todo está conectado en Internet. La información sobre dónde vivimos o trabajamos, cuáles son nuestros ingresos, nuestros gustos o preferencias, relaciones personales y actividades cotidianas, filiación política, inclinación sexual e identificación religiosa se encuentran en línea, puede ser recogida por terceros y forma parte de la vigilancia que adelantan tanto Gobiernos como otros actores. Mientras las compañías que ofrecen servicios de Internet están sujetos a diversas regulaciones relacionadas con la forma en que manejan nuestros datos personales y confidenciales, sus políticas de privacidad y sus términos de servicio carecen de claridad sobre los protocolos que usan para proteger la información de sus clientes. Por eso v ale la pena preguntarse ¿sabe usted dónde están sus datos en este momento?, ¿acaso estas empresas los cuidan?, ¿le cuentan si el Gobierno los pide? Para responder estas preguntas surge el informe “¿Dónde están mis datos?”

La Fundación Karisma, una de las principales ONG latinoamericanas que trabajan en la promoción de los derechos humanos en el mundo digital, y la Electronic Frontier Foundation (EFF), han unido esfuerzos en una iniciativa que busca fomentar mayor transparencia entre los proveedores de servicios de Internet (PSI) en América Latina. Este esfuerzo es coordinado por la EFF en cinco países de la región en alianza con Red en Defensa de los Derechos Digitales, en México; Hiperderecho, en Perú; InternetLab, en Brasil; TEDIC, en Paraguay y Fundación Karisma, en Colombia.

La Fundación Karisma es pionera en esta iniciativa, publicando el primer informe de este tipo en América Latina bajo el nombre ¿Dónde están mis datos? El informe analiza cuál de los proveedores de acceso a Internet1 apoya a sus clientes y adopta la transparencia como una norma frente a las solicitudes de información del Gobierno. El objetivo es permitir a los y las usuarias tomar decisiones informadas sobre las empresas con las que hacen negocios. El informe busca promover la adopción de buenas prácticas de transparencia por parte de las empresas en relación con el flujo de datos hacia el Gobierno y pretende también fortalecer su compromiso público con la defensa de los derechos de los y las usuarias.

Para este informe, la Fundación Karisma examina las políticas y términos y condiciones de uso públicamente disponibles de las cuatro compañías intermediarias de acceso a Internet más importantes del país de acuerdo con el número de suscriptores. Un dato que se basa en el Boletín Trimestral de las TIC Banda Ancha publicado en septiembre de 2014 por el Ministerio de las Tecnologías de la Información y las Comunicaciones2 colombiano que muestra que cerca del 91% de los suscriptores registrados son clientes de una de estas empresas que operan en Colombia: Telmex Colombia S.A. (CLARO), UNE EPM Telecomunicaciones S.A., Colombia Telecomunicaciones S.A. (Telefónica) y Empresa de Telecomunicaciones de Bogotá S.A. (ETB). Además, se incluyó una quinta compañía -DIRECTV- puesto que recientemente empezó a ofrecer el servicio de acceso a Internet y es una empresa multinacional de gran impacto en el país. También es necesario mencionar que, aunque UNE y Tigo se fusionaron en el 2014, las dos empresas mantienen políticas independientes, por lo tanto se decidió mantener la evaluación sobre UNE con el fin de revisar una empresa que tiene gran influencia por fuera de la capital del país

Fundación Karisma realizó una evaluación de la información pública disponible en las páginas web de las cinco empresas. Fueron evaluadas de acuerdo a qué tanto divulgan a sus clientes sus políticas de privacidad y documentos de términos y condiciones de uso. La evaluación se hizo teniendo en cuenta cinco criterios:

1) Si el PSI publica informes de transparencia. El informe evalúa si las empresas entregan datos sobre los requerimientos de datos personales del Gobierno y otra información sensible. Estos informes ofrecen a las personas alguna información sobre el alcance y naturaleza de las solicitudes de información de los y las usuarias que hacen los Gobiernos para sus procesos de investigación y vigilancia. Si bien las empresas no están obligadas legalmente a publicar estos informes de transparencia y sí están limitados por los Gobiernos en relación con el alcance de lo que pueden publicar, entregar estos documentos es una buena práctica y demuestra que las empresas se preocupan por sus clientes. Cada día más empresas de Internet y de medios alrededor del mundo están publicando estos informes, así lo hacen Google, Facebook, Twitter, Microsoft y Vodafone. Los informes de transparencia incluyen información con cantidad de solicitudes que una empresa recibe del Gobierno, número de veces que la empresa ha rechazado estas solicitudes (con los argumentos que han esgrimido), detalles sobre las peticiones en relación con las autoridades que las piden, tipo de solicitudes, propósito y número de cuentas afectadas en cada petición, por ejemplo;

2) Si el PSI notifica a los y las usuarias sobre las solicitudes de datos del Gobierno. Este es un punto importante porque permite a los y las usuarias enfrentar las peticiones de vigilancia o buscar otros mecanismos de defensa;

3) Si las políticas de protección de datos del PSI son públicas y de fácil acceso para los y las usuarias. Aunque existe la obligación legal para publicar la política de privacidad, esto no significa que en la práctica estos documentos sean fáciles de encontrar o sean comprensibles para los y las usuarias;

4) Si el PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los y las usuarias. Es decir, si tiene manuales que indiquen cómo cumplen con su obligación de entregar datos personales de sus clientes a petición de una autoridad competente, por cuánto tiempo retienen esos datos y cómo los eliminan, si es que lo hacen, y;

5) Si el PSI es claro con los y las usuarias sobre las formas en que filtra, retira o bloquea contenidos y cancela o suspende servicios. Si bien legalmente los PSI deben bloquear contenidos justificados por pornografía infantil e incluso ellos mismos suelen incluir en sus contratos listados de motivaciones para hacer filtrados, bloqueos y retiros de contenidos, se requiere que tengan más claridad con los y las usuarias respecto del por qué y cómo lo hacen e indiquen qué tipo de acciones pueden realizar cuando consideran que hay abusos.

¿Dónde están mis datos? pretende impulsar mejores prácticas empresariales de los PSI para beneficio de los y las usuarias; busca identificar áreas donde es necesaria la transparencia y quiere sensibilizar acerca del uso que los PSI y el Gobierno le están dando a los datos personales de los y las usuarias, para que éstos y éstas puedan tomar decisiones más informadas al elegir un proveedor de servicios de Internet.

Los criterios de análisis se definieron inspirados en la metodología que emplea EFF y otros proyectos similares alrededor del mundo y teniendo en cuenta las particularidades del caso colombiano. Los resultados se pueden visualizar por medio de estrellas o partes de estrellas (dependiendo de si la información consultada se encontraba disponible de manera completa, parcial o nula). Una estrella completa significa que el PSI cumplió con el criterio, media estrella significa que la información encontrada era parcial. En algunos casos se otorgó un cuarto de estrella como reconocimiento al desarrollo de buenas prácticas en sus políticas. No se concedió estrellas cuando no había información.

La Fundación Karisma contactó a las cinco compañías que fueron evaluadas, para explicarles el objetivo del informe, exponerles los resultados preliminares obtenidos por cada una, y darles la oportunidad de retroalimentar el análisis, identificar temas que no se habían contemplado y proporcionar evidencia que pudiera mejorar la evaluación. Las observaciones y comentarios hechos por los PSI fueron considerados en la evaluación final.

Los resultados: Políticas vagas y poco claras, además de ausencia de transparencia acerca del rol que juegan estas empresas en la entrega de información personal al gobierno, dejan mucho espacio para mejorar.

Este año DirecTV fue la única empresa que ganó una estrella completa por publicar su política de protección de datos de forma clara y accesible al público. Desafortunadamente, los resultados del informe ¿Dónde están mis datos? muestran que ésta es la excepción a la regla; lo corriente es que los y las usuarias la tienen difícil para encontrar estos documentos en las páginas oficiales de los PSI, que éstos son vagos y contienen previsiones exageradas como la retención de datos personales incluso después de finalizado el contrato.

Karisma estableció que en la mayoría de los términos y condiciones de uso de los PSI no se establece si estas empresas notifican a sus suscriptores cuando el Gobierno hace solicitudes de información de sus datos, o en caso de hacerlo, no se sabe cómo. Es importante resaltar que esta notificación es esencial para que los usuarios puedan controvertir tales solicitudes o buscar otros recursos legales.

DirecTV es la única empresa que declara públicamente que notifica a sus clientes sobre estas solicitudes, pero tal declaración es discrecional y vaga, no explica la forma en que lo hace. Un resultado alentador es que UNE afirma que analiza la legalidad de tales solicitudes y lleva un registro de la forma en que las atiende, aunque falla al no tomar el siguiente paso y notificar a sus usuarios y usuarias afectados.

Desafortunadamente ninguno de los PSI analizados publica manuales o guías donde se explique la forma en que cumplen con su obligación legal de entregar información personal al Gobierno. De otra parte, tampoco los términos y condiciones de uso de estas empresas describen la forma en que el contenido es filtrado, bloqueado o removido, o lo que sucede si un servicio es cancelado o suspendido.

Los PSI en Colombia aún tienen mucho que mejorar en relación con la protección de los derechos de los y las usuarias y en la transparencia sobre la entrega de datos de sus clientes. Esperamos publicar este informe anualmente para incentivar a las empresas a mejorar sus prácticas de transparencia y protección de la intimidad de sus usuarios. De esta manera todos los colombianos tendrán acceso a información acerca de cómo están siendo usados y controlados sus datos personales por las PSI, y puedan tomar decisiones de consumo inteligentes. Desde Karisma se espera que el próximo año la tabla de resultados brille con muchas más estrellas.

1 Existen aproximadamente 17 categorías de PSI, entre buscadores, empresas que ofrecen alojamiento a contenidos, etc. Como se mencionó antes, en el presente análisis solamente se tuvieron en cuenta los PSI que dan acceso a internet.

2 Documento disponible en la página web del Ministerio de las Tecnología de la Información y las Comunicaciones: colombiatic.mintic.gov.co/602/w3-article-7201.html. Consultado en noviembre de 2014.

2. Criterios de evaluación

  1. El PSI publica informes de transparencia: para ganar una estrella dentro de este criterio el PSI debe contar con un informe de transparencia público que se actualice con regularidad. El informe debe evidenciar las solicitudes realizadas por parte del Gobierno sobre la información de datos de los y las usuarias; la frecuencia con la cual se entrega esta información al Gobierno; el procedimiento para responder o rechazar a estas solicitudes y, en este último caso, informar bajo qué concepto se niega una respuesta. El informe de transparencia también debe indicar el número de usuarios o usuarias que han sido notificados sobre las solicitudes del Gobierno, explicando con claridad el manejo que se hace de sus datos. De igual manera, el informe de transparencia debe mostrar las veces en que el PSI ha bloqueado o retirado contenidos, suspendido o retirado cuentas a los y las usuarias; indicar los motivos relacionados con estas acciones y el procedimiento que se lleva a cabo para hacerlo; de modo que se pueda establecer si incluye un análisis y si hay espacio de defensa para los y las usuarias implicadas.

  2. El PSI notifica a sus usuarios y usuarias sobre solicitudes de datos del Gobierno: aquí los PSI reciben una estrella si su política incluye informar a los y las usuarias acerca de las solicitudes de información por parte del Gobierno y la entrega de esos datos. La notificación o información a los y las usuarias debe ser una política del PSI disponible al público y debe ser establecida de manera oportuna, es decir, permitiendo que efectivamente el o la usuaria implicada pueda interponer recursos, de ser necesario.

  3. Las políticas del PSI son públicas y de fácil acceso para los y las usuarias: se da una estrella al PSI que tiene su política publicada en la página web y esta es clara y de fácil acceso, es decir, está escrita en un lenguaje sencillo, es descriptiva de las diferentes situaciones (agregan ejemplos) e incluye las referencias necesarias a la ley. Además, los y las usuarias pueden encontrar la política fácilmente en la página web del PSI.

  4. El PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias: esta estrella reconoce a los PSI que cuentan con guías o protocolos públicos, claros y de fácil acceso en los siguientes temas: a) requerimientos de información de los y las usuarias; y b) plazos de retención de datos y su eliminación posterior. Para ganar una estrella, el PSI debe tener guías o manuales que describen en lenguaje no técnico los protocolos y procedimientos que el PSI utiliza, incluyendo ejemplos y remisión a las leyes y a sus propias políticas siempre que sea necesario. Deben ser fáciles de encontrar por los y las usuarias y estar en un formato fácil de leer y navegar.

  5. El PSI es claro con sus usuarios y usuarias sobre la forma cómo filtra, retira o bloquea contenidos y cancela o suspende servicios: para ganar una estrella en este criterio se evaluó si el PSI pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios; advierte sobre los soportes legales/contractuales que justifican estas acciones y especifica las motivaciones. Además, se tuvo en cuenta si el PSI especifica cómo estos procedimientos tienen en cuenta el debido proceso, es decir, como mínimo suponen: notificación al usuario, oportunidad de defensa, criterios de proporcionalidad, entre otros.

3. Metodología de Evaluación

Este apartado contiene las preguntas y los parámetros con los cuales se hizo la calificación final de cada uno de los PSI que fueron evaluados en el informe “¿Dónde están mis datos?”.

3.1. El PSI publica informes de transparencia

Parámetro de Respuesta

  1. Publica un informe de transparencia que evidencia los siguientes puntos. (Obtiene estrella)

  2. Publica parcialmente un informe de transparencia que evidencia algunos de los siguientes puntos. (Obtiene media estrella)

  3. No publica informe de transparencia. (No obtiene estrella)

3.2. El PSI notifica a sus usuarios y usuarias sobre solicitudes de datos del Gobierno

Parámetro de Respuesta

  1. El PSI notifica de manera oportuna a los y las usuarias cuando han habido solicitudes de datos por parte del Gobierno, es decir, dando tiempo para que —de ser necesario— puedan interponer recursos. (Obtiene estrella)

  2. El PSI notifica a los y las usuarias cuando han habido solicitudes de datos por parte del Gobierno, pero no de manera oportuna. (Obtiene media estrella)

  3. El PSI no notifica a los y las usuarias cuando ha habido solicitudes de datos por parte del Gobierno. (No obtiene estrella)

3.3 Las políticas de protección de datos del PSI son públicas y de fácil acceso para los y las usuarias

Parámetro de Respuesta

  1. El PSI cuenta con políticas de protección de datos, las cuales han sido publicadas en su página web, son claras y de fácil acceso en relación con los criterios indicados. (Obtiene una estrella)

  2. El PSI cuenta con políticas de protección de datos, las cuales han sido publicadas en su página web; sin embargo, no son claras o no son de fácil acceso en relación con los criterios indicados. (Obtiene media estrella)

  3. El PSI no cuenta con políticas de protección de datos o no han sido publicadas en la página web. (No obtiene estrella)

3.4. El PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias

Parámetro de Respuesta

  1. Las guías para el manejo de datos de los y las usuarias han sido publicadas en la página web y son claras en relación con los criterios señalados. (Obtiene una estrella)

  2. Las guías para el manejo de los datos de los y las usuarias han sido publicadas en la página web; sin embargo, no son claras en relación con los criterios señalados. (Obtiene media estrella)

  3. SNo tiene guías para el manejo de los datos de los y las usuarias o no han sido publicadas en la página web. (No obtiene estrella)

3.5. El PSI es claro con los y las usuarias sobre las formas en que filtra, retira o bloquea contenidos y cancela o suspende servicios

Parámetro de Respuesta

  1. El PSI pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios, y advierte sobre las motivaciones y los soportes legales/contractuales que lo justifican. (Obtiene una estrella)

  2. El PSI pública algunos de los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios, pero no advierte sobre las motivaciones y los soportes legales/contractuales que lo justifican. (Obtiene media estrella)

  3. El PSI no pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios. (No obtiene estrella)

En esta primera evaluación se decidió hacer un reconocimiento a algunas buenas prácticas de los PSI que hicieron parte de la evaluación, otorgando un cuarto de estrella a los que tienen avances en algunos de los criterios antes mencionados. Este reconocimiento permite mostrar cómo en algunos temas, al menos ciertos PSI, han planteado ya una posición interesante, aunque no suficiente.

4. Observaciones

5. Evaluación por empresa

5.1 Claro

La política de protección de datos de Claro se encuentra disponible en la página web http://www.claro.com.co/portal/recursos/co/comcel/Politicas_Seguridad_Inf_Claro.pdf

1 El PSI publica Informes de Transparencia 2 El PSI notifica a sus usuarios y usuarias sobre solicitudes de datos del Gobierno 3 Las Políticas de Protección de datos del PSI son públicas y de fácil acceso para los usuarios y usuarias 4 El PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias 5 El PSI es claro con sus usuarios y usuarias sobre la forma como filtra, retira o bloquea contenidos y como cancela o suspende servicios.
  1. El PSI especifica Informes de transparencia

El informe de transparencia muestra las solicitudes que ha hecho el Gobierno, a través de diferentes entidades del Estado, solicitando información de los y las usuarias. No
El informe de transparencia indica la frecuencia con la cual la empresa entrega información de los y las usuarias al Gobierno. No
El informe de transparencia señala si se ha dado respuesta a las solicitudes hechas por el Gobierno y muestra el procedimiento que han tenido las mismas. No
El informe de transparencia evidencia el número de usuarios y usuarias que han sido notificados en el último año con relación al número de solicitudes por parte del Gobierno. No
El informe de transparencia notifica el origen de las solicitudes para el bloqueo o retiro de contenidos de Internet (incluyendo pornografía infantil, infracción al derecho de autor, cumplimiento de sus propias políticas, etc.). No
El informe de transparencia explica con claridad el manejo de los datos de los y las usuarias, si han sido administrados por terceros y da cuenta de las acciones llevadas a cabo por estos en relación con la protección de datos de los y las usuarias. En caso de que exista gestión por parte de terceros, el IPS comunica si estos han dado información al Gobierno por solicitud del mismo. No
El informe de transparencia indica cuántas veces el PSI ha bloqueado o retirado contenidos de Internet. No
El informe de transparencia informa sobre si ha habido defensa de los usuarios cuyo contenido ha sido bloqueado y/o retirado y los motivos para ello. No
  1. EL PSI NOTIFICA A SUS USUARIOS Y USUARIAS SOBRE SOLICITUDES DE DATOS DEL GOBIERNO

El PSI notifica a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos. No
El PSI informa de manera oportuna a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos, es decir, dando tiempo a que —de ser necesario— los y las usuarias puedan interponer recursos. No
  1. LAS POLÍTICAS DE PROTECCIÓN DE DATOS DEL PSI SON PÚBLICAS Y DE FÁCIL ACCESO PARA LOS USUARIOS Y USUARIAS

Las políticas de protección de datos están públicas en la página web del PSI, son claras y de fácil acceso para los y las usuarias. Por claras nos referimos a que están escritas en un lenguaje sencillo, son descriptivas de las diferentes situaciones (agregan ejemplos) e incluyen las referencias necesarias a la ley. Por fácil acceso entendemos que se pueden encontrar de manera simple por los y las usuarias en la página web del PSI. Si
Aunque su política de protección de datos se encuentra pública en su página web, no es fácil de encontrar. Para hallarla es necesario ir a la última parte de la página en donde, con un tamaño pequeño, hay una sección identificada bajo el nombre de legal y regulatorio. Además, la política no es clara pues solo copia los términos de la ley.
  1. EL PSI PUBLICA MANUALES DE CUMPLIMIENTO DE OBLIGACIONES LEGALES QUE PUEDEN AFECTAR LA INTIMIDAD DE LOS USUARIOS y USUARIAS

El PSI cuenta con guías o protocolos públicos, claros y de fácil acceso en los siguientes temas: a) requerimientos de información de usuarios y usuarias; y (b) plazos de retención de datos y su eliminación posterior. Para evaluar este criterio las guías deberán ser públicas, claras y de fácil acceso. Por claras entendemos que describen en lenguaje no técnico los protocolos y procedimientos que el PSI utiliza, incluyendo ejemplos y remisión a las leyes y a sus propias políticas siempre que sea necesario. Por fácil acceso nos referimos a que se pueden encontrar de manera sencilla por los usuarios y usuarias y están en un formato fácil de leer y navegar. No
El PSI no ha publicado guías o manuales que desarrollen la ley en los temas evaluados. Existen algunas disposiciones aisladas de procedimientos dentro de la propia política que se refieren esencialmente al hábeas data o derecho de autodeterminación de los datos de sus usuarios y usuarias. Es decir, atendiendo a la ley, el PSI menciona algunos temas como quién es el responsable del manejo de datos sensibles y describe derechos y deberes de los usuarios en virtud de la prestación del servicio; pero no se refiere a los temas que están siendo evaluados. En los temas analizados el PSI: a) Describe su obligación legal de entregar datos personales sin la autorización del titular cuando la solicitud provenga de una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, pero no hay desarrollo sobre el procedimiento que se emplea; mucho menos la forma en que el PSI protege los derechos de los y las usuarias (como el del debido proceso).
b) No hay mención al plazo durante el cual el PSI conserva los datos de los y las usuarias, ni al modo en que descartan los datos.
  1. El PSI es claro con los y las usuarias sobre las formas en que filtra, retira o bloquea contenidos y cancela o suspende servicios

El PSI pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios y, además, indica los soportes legales/contractuales que justifican dichas acciones. No
El PSI aclara las motivaciones que lo llevan a filtrar/retirar/bloquear contenidos o a suspender/cancelar servicios. No
¿El PSI específica como los procedimientos para filtrar/retirar/bloquear contenidos y/o suspender/cancelar servicios tienen en cuenta el debido proceso? (como mínimo suponen: notificación al usuario, oportunidad de defensa, criterios de proporcionalidad, etc.) No

5.2 Telefónica Movistar

La política de protección de datos de Movistar se encuentra disponible en la página web http://atencionalcliente.movistar.co/documentos/Politica_Tratamiento_Datos_Personales.pdf

1 El PSI publica Informes de Transparencia 2 El PSI notifica a sus usuarios y usuarias sobre solicitudes de datos del Gobierno 3 Las Políticas de Protección de datos del PSI son públicas y de fácil acceso para los usuarios y usuarias 4 El PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias 5 El PSI es claro con sus usuarios y usuarias sobre la forma como filtra, retira o bloquea contenidos y como cancela o suspende servicios.
  1. El PSI especifica Informes de transparencia

El informe de transparencia muestra las solicitudes que ha hecho el Gobierno, a través de diferentes entidades del Estado, solicitando información de los y las usuarias. No
El informe de transparencia indica la frecuencia con la cual la empresa entrega información de los y las usuarias al Gobierno. No
El informe de transparencia señala si se ha dado respuesta a las solicitudes hechas por el Gobierno y muestra el procedimiento que han tenido las mismas. No
El informe de transparencia evidencia el número de usuarios y usuarias que han sido notificados en el último año con relación al número de solicitudes por parte del Gobierno. No
El informe de transparencia notifica el origen de las solicitudes para el bloqueo o retiro de contenidos de Internet (incluyendo pornografía infantil, infracción al derecho de autor, cumplimiento de sus propias políticas, etc.). No
El informe de transparencia explica con claridad el manejo de los datos de los y las usuarias, si han sido administrados por terceros y da cuenta de las acciones llevadas a cabo por estos en relación con la protección de datos de los y las usuarias. En caso de que exista gestión por parte de terceros, el IPS comunica si estos han dado información al Gobierno por solicitud del mismo. No
El informe de transparencia indica cuántas veces el PSI ha bloqueado o retirado contenidos de Internet. No
El informe de transparencia informa sobre si ha habido defensa de los usuarios cuyo contenido ha sido bloqueado y/o retirado y los motivos para ello. No
  1. EL PSI NOTIFICA A SUS USUARIOS Y USUARIAS SOBRE SOLICITUDES DE DATOS DEL GOBIERNO

El PSI notifica a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos. No
El PSI informa de manera oportuna a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos, es decir, dando tiempo a que —de ser necesario— los y las usuarias puedan interponer recursos. No
  1. LAS POLÍTICAS DE PROTECCIÓN DE DATOS DEL PSI SON PÚBLICAS Y DE FÁCIL ACCESO PARA LOS USUARIOS Y USUARIAS

Las políticas de protección de datos están públicas en la página web del PSI, son claras y de fácil acceso para los y las usuarias. Por claras nos referimos a que están escritas en un lenguaje sencillo, son descriptivas de las diferentes situaciones (agregan ejemplos) e incluyen las referencias necesarias a la ley. Por fácil acceso entendemos que se pueden encontrar de manera simple por los y las usuarias en la página web del PSI. Si
La política de protección de datos se encuentra publicada en su página web bajo el nombre de “Política de Colombia Comunicaciones para el manejo de Datos, Personales”. Sin embargo, no es de fácil acceso para los y las usuarias, pues, aunque se encuentra en el pie de página (footer), se confunde con el vínculo titulado “Régimen de Protección al Usuario”, que no es otra cosa que el listado de leyes y normas nacionales. El lenguaje de la política es claro y descriptivo. Quizá, por lo breve, no hay desarrollo y remisiones a la ley. Adicionalmente, Telefónica pública un PDF que contiene la política como imagen, lo que dificulta su navegación para los y las usuarias, especialmente para quienes tienen discapacidad visual.
  1. EL PSI PUBLICA MANUALES DE CUMPLIMIENTO DE OBLIGACIONES LEGALES QUE PUEDEN AFECTAR LA INTIMIDAD DE LOS USUARIOS y USUARIAS

El PSI cuenta con guías o protocolos públicos, claros y de fácil acceso en los siguientes temas: a) requerimientos de información de usuarios y usuarias; y (b) plazos de retención de datos y su eliminación posterior. Para evaluar este criterio las guías deberán ser públicas, claras y de fácil acceso. Por claras entendemos que describen en lenguaje no técnico los protocolos y procedimientos que el PSI utiliza, incluyendo ejemplos y remisión a las leyes y a sus propias políticas siempre que sea necesario. Por fácil acceso nos referimos a que se pueden encontrar de manera sencilla por los usuarios y usuarias y están en un formato fácil de leer y navegar. No
El PSI no ha publicado guías o manuales que desarrollen la ley en los temas evaluados. Hay algunas disposiciones sobre los procedimientos que el PSI adelanta para implementar su política en materia de hábeas data, esto es, en lo relacionado con la autodeterminación de los datos de los y las usuarias. Pero, para encontrar esta información es necesario dirigirse a la sección de los contratos.
a) Sobre la notificación de requerimientos de información del Gobierno, el PSI no hace alusión concreta al tema de las solicitudes de información, no desarrolla los procedimientos para atenderlas y, mucho menos, se refiere a la forma como el PSI protege los derechos de los y las usuarias (como lo es el debido proceso).
b) Se debe mencionar que su política de protección de datos señala que “la base de datos de Colombia Telecomunicaciones tiene vigencia indefinida. Los datos personales recolectados se conservarán por el tiempo que dure la relación existente entre la Empresa y el Titular de los datos, y por el tiempo necesario para el cumplimiento de los deberes legales o contractuales que Colombia Telecomunicaciones deba observar”. Aunque este texto desarrolla el tema del plazo, no hay claridad sobre el mismo; de hecho, al hablar de “indefinido” resulta preocupante para los y las usuarias.
  1. El PSI es claro con los y las usuarias sobre las formas en que filtra, retira o bloquea contenidos y cancela o suspende servicios

El PSI pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios y, además, indica los soportes legales/contractuales que justifican dichas acciones. No
El PSI aclara las motivaciones que lo llevan a filtrar/retirar/bloquear contenidos o a suspender/cancelar servicios. No
¿El PSI específica como los procedimientos para filtrar/retirar/bloquear contenidos y/o suspender/cancelar servicios tienen en cuenta el debido proceso? (como mínimo suponen: notificación al usuario, oportunidad de defensa, criterios de proporcionalidad, etc.) No

5.3 Une

La política de protección de datos de Une se encuentra disponible en la página web http://www.une.com.co/images/compania/articulos/Normatividad/politica/disposicion%20768%20-%20politica%20de%20tratamiento%20de%20datos%20personales.pdf

1 El PSI publica Informes de Transparencia 2 El PSI notifica a sus usuarios y usuarias sobre solicitudes de datos del Gobierno 3 Las Políticas de Protección de datos del PSI son públicas y de fácil acceso para los usuarios y usuarias 4 El PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias 5 El PSI es claro con sus usuarios y usuarias sobre la forma como filtra, retira o bloquea contenidos y como cancela o suspende servicios.
  1. El PSI especifica Informes de transparencia

El informe de transparencia muestra las solicitudes que ha hecho el Gobierno, a través de diferentes entidades del Estado, solicitando información de los y las usuarias. No
El informe de transparencia indica la frecuencia con la cual la empresa entrega información de los y las usuarias al Gobierno. No
El informe de transparencia señala si se ha dado respuesta a las solicitudes hechas por el Gobierno y muestra el procedimiento que han tenido las mismas. No
El informe de transparencia evidencia el número de usuarios y usuarias que han sido notificados en el último año con relación al número de solicitudes por parte del Gobierno. No
El informe de transparencia notifica el origen de las solicitudes para el bloqueo o retiro de contenidos de Internet (incluyendo pornografía infantil, infracción al derecho de autor, cumplimiento de sus propias políticas, etc.). No
El informe de transparencia explica con claridad el manejo de los datos de los y las usuarias, si han sido administrados por terceros y da cuenta de las acciones llevadas a cabo por estos en relación con la protección de datos de los y las usuarias. En caso de que exista gestión por parte de terceros, el IPS comunica si estos han dado información al Gobierno por solicitud del mismo. No
El informe de transparencia indica cuántas veces el PSI ha bloqueado o retirado contenidos de Internet. No
El informe de transparencia informa sobre si ha habido defensa de los usuarios cuyo contenido ha sido bloqueado y/o retirado y los motivos para ello. No
  1. EL PSI NOTIFICA A SUS USUARIOS Y USUARIAS SOBRE SOLICITUDES DE DATOS DEL GOBIERNO

El PSI notifica a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos. No
El PSI informa de manera oportuna a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos, es decir, dando tiempo a que —de ser necesario— los y las usuarias puedan interponer recursos. No
  1. LAS POLÍTICAS DE PROTECCIÓN DE DATOS DEL PSI SON PÚBLICAS Y DE FÁCIL ACCESO PARA LOS USUARIOS Y USUARIAS

Las políticas de protección de datos están públicas en la página web del PSI, son claras y de fácil acceso para los y las usuarias. Por claras nos referimos a que están escritas en un lenguaje sencillo, son descriptivas de las diferentes situaciones (agregan ejemplos) e incluyen las referencias necesarias a la ley. Por fácil acceso entendemos que se pueden encontrar de manera simple por los y las usuarias en la página web del PSI. Si
Su política de protección de datos se encuentra publicada en la página web bajo el nombre “Políticas y Seguridad”; sin embargo, se confunde con el vínculo titulado “Protección al Usuario”, que es el listado de algunas resoluciones y circulares nacionales y los términos y condiciones de los contratos de prestación de servicio de la compañía. La política es un archivo JPG, es decir, un archivo de imagen que restringe su navegabilidad e imposibilita la lectura en personas con discapacidad visual. Su lenguaje es muy técnico en algunos aspectos; hace referencia a otras disposiciones legales, aunque estas son explicadas solo brevemente en el documento. También menciona documentos internos que no se encuentran en su página web; por ejemplo, la circular interna No. 60 de abril de 2014, que es su primera “Política de Protección de Datos Personales”.
  1. EL PSI PUBLICA MANUALES DE CUMPLIMIENTO DE OBLIGACIONES LEGALES QUE PUEDEN AFECTAR LA INTIMIDAD DE LOS USUARIOS y USUARIAS

El PSI cuenta con guías o protocolos públicos, claros y de fácil acceso en los siguientes temas: a) requerimientos de información de usuarios y usuarias; y (b) plazos de retención de datos y su eliminación posterior. Para evaluar este criterio las guías deberán ser públicas, claras y de fácil acceso. Por claras entendemos que describen en lenguaje no técnico los protocolos y procedimientos que el PSI utiliza, incluyendo ejemplos y remisión a las leyes y a sus propias políticas siempre que sea necesario. Por fácil acceso nos referimos a que se pueden encontrar de manera sencilla por los usuarios y usuarias y están en un formato fácil de leer y navegar. No
El PSI señala que un mismo documento contiene su política y manual, pero en él no se desarrollan los temas evaluados; sin embargo, sí encontramos una disposición que puede considerarse como una buena práctica en relación con el compromiso del PSI de respetar los derechos de sus suscriptores.
Dentro de las políticas hay algunas disposiciones aisladas de procedimientos que se refieren sobre todo al hábeas data o al derecho de autodeterminación de los datos de los y las usuarias; por ejemplo, el PSI menciona algunos temas como quién es el responsable del manejo de datos sensibles y describe los derechos y deberes de los y las usuarias.
De otro lado, aunque el documento no es específico sobre los temas que se evalúan sí tiene como disposición a destacar: a) la notificación a los y las usuarias. UNE afirma que “la Ley contempla excepciones a la autorización del Titular y a la entrega de información a ciertas autoridades judiciales y administrativas que actúan en cumplimiento de sus funciones. Ante estas, UNE procederá a dejar constancia y en caso de duda solicitará las verificaciones correspondientes en los términos que lo establezca la normatividad respetando la confidencialidad [...] en la constancia se referenciará la autoridad y funcionario que ha solicitado la información o dato personal y la fuente legal de competencia”. Esto quiere decir que se establece públicamente un proceso interno donde se incluye un análisis de la legalidad de la petición de información y se deja constancia de su resultado. No obstante, no incluye la disposición de notificar al usuario o usuaria, por tanto, no se cumple con el criterio.b) No hay mención al plazo durante el cual conservan los datos de los y las usuarias, ni al modo en que descartan los datos.
  1. El PSI es claro con los y las usuarias sobre las formas en que filtra, retira o bloquea contenidos y cancela o suspende servicios

El PSI pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios y, además, indica los soportes legales/contractuales que justifican dichas acciones. NoEl PSI reconoce en su política de privacidad’ su compromiso con las medidas legales para evitar la pornografía infantil, pero no hay una descripción sobre los procedimientos que puede seguir un usuario o usuaria en caso de que se considere afectado indebidamente por una de estas disposiciones. En general, no hay ninguna otra referencia al tema que se evalúa.
El PSI aclara las motivaciones que lo llevan a filtrar/retirar/bloquear contenidos o a suspender/cancelar servicios. No
¿El PSI específica como los procedimientos para filtrar/retirar/bloquear contenidos y/o suspender/cancelar servicios tienen en cuenta el debido proceso? (como mínimo suponen: notificación al usuario, oportunidad de defensa, criterios de proporcionalidad, etc.) No

5.4 Etb

La política de protección de datos de ETB se encuentra disponible en la página web http://www.etb.com.co/guiadeconsulta/contratos/POLITICAS%20TRATAMIENTO%20DATOS%20PERSONALES%20ETB%20%2000638.pdf

1 El PSI publica Informes de Transparencia 2 El PSI notifica a sus usuarios y usuarias sobre solicitudes de datos del Gobierno 3 Las Políticas de Protección de datos del PSI son públicas y de fácil acceso para los usuarios y usuarias 4 El PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias 5 El PSI es claro con sus usuarios y usuarias sobre la forma como filtra, retira o bloquea contenidos y como cancela o suspende servicios.
  1. El PSI especifica Informes de transparencia

El informe de transparencia muestra las solicitudes que ha hecho el Gobierno, a través de diferentes entidades del Estado, solicitando información de los y las usuarias. No
El informe de transparencia indica la frecuencia con la cual la empresa entrega información de los y las usuarias al Gobierno. No
El informe de transparencia señala si se ha dado respuesta a las solicitudes hechas por el Gobierno y muestra el procedimiento que han tenido las mismas. No
El informe de transparencia evidencia el número de usuarios y usuarias que han sido notificados en el último año con relación al número de solicitudes por parte del Gobierno. No
El informe de transparencia notifica el origen de las solicitudes para el bloqueo o retiro de contenidos de Internet (incluyendo pornografía infantil, infracción al derecho de autor, cumplimiento de sus propias políticas, etc.). No
El informe de transparencia explica con claridad el manejo de los datos de los y las usuarias, si han sido administrados por terceros y da cuenta de las acciones llevadas a cabo por estos en relación con la protección de datos de los y las usuarias. En caso de que exista gestión por parte de terceros, el IPS comunica si estos han dado información al Gobierno por solicitud del mismo. No
El informe de transparencia indica cuántas veces el PSI ha bloqueado o retirado contenidos de Internet. No
El informe de transparencia informa sobre si ha habido defensa de los usuarios cuyo contenido ha sido bloqueado y/o retirado y los motivos para ello. No
  1. EL PSI NOTIFICA A SUS USUARIOS Y USUARIAS SOBRE SOLICITUDES DE DATOS DEL GOBIERNO

El PSI notifica a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos. No
El PSI informa de manera oportuna a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos, es decir, dando tiempo a que —de ser necesario— los y las usuarias puedan interponer recursos. No
  1. LAS POLÍTICAS DE PROTECCIÓN DE DATOS DEL PSI SON PÚBLICAS Y DE FÁCIL ACCESO PARA LOS USUARIOS Y USUARIAS

Las políticas de protección de datos están públicas en la página web del PSI, son claras y de fácil acceso para los y las usuarias. Por claras nos referimos a que están escritas en un lenguaje sencillo, son descriptivas de las diferentes situaciones (agregan ejemplos) e incluyen las referencias necesarias a la ley. Por fácil acceso entendemos que se pueden encontrar de manera simple por los y las usuarias en la página web del PSI. Si
Si bien su política de protección de datos se encuentra publicada en la página web, esta no es de fácil acceso para los y las usuarias. La ruta para acceder a la políticas es muy larga, pues es necesario entrar por diferentes páginas; y la parte final de esa ruta tampoco muestra por dónde ingresar para ver el documento. El pie de página (footer) está oculto y luego de desplegarlo el usuario puede confundirse con el título “Habeas data”, que no corresponde a la política. Esta se encuentra en la sección “Normatividad”, bajo el título de “Guía de consultas”. Luego, dentro de varias pestañas, se deben seleccionar la llamada “Régimen de protección de los derechos de los suscriptores y/o usuarios” y allí, finalmente, dentro de la lista de documentos se encuentra en el cuarto puesto la “política de tratamiento de datos personales”. La política es un archivo JPG, es decir, un archivo de imagen que restringe su navegabilidad e imposibilita la lectura en personas con discapacidad visual. Su lenguaje es bastante jurídico; de hecho, si remite a otras normas no las explica; es bastante descriptivo pero no ayuda a su comprensión con ejemplos.
  1. EL PSI PUBLICA MANUALES DE CUMPLIMIENTO DE OBLIGACIONES LEGALES QUE PUEDEN AFECTAR LA INTIMIDAD DE LOS USUARIOS y USUARIAS

El PSI cuenta con guías o protocolos públicos, claros y de fácil acceso en los siguientes temas: a) requerimientos de información de usuarios y usuarias; y (b) plazos de retención de datos y su eliminación posterior. Para evaluar este criterio las guías deberán ser públicas, claras y de fácil acceso. Por claras entendemos que describen en lenguaje no técnico los protocolos y procedimientos que el PSI utiliza, incluyendo ejemplos y remisión a las leyes y a sus propias políticas siempre que sea necesario. Por fácil acceso nos referimos a que se pueden encontrar de manera sencilla por los usuarios y usuarias y están en un formato fácil de leer y navegar. NoEl PSI no ha publicado guías o manuales que desarrollen la ley en los temas evaluados. Hay algunas disposiciones aisladas de procedimientos dentro de la propia política que se refieren esencialmente al hábeas data o derecho de autodeterminación de los datos de sus usuarios y usuarias. Aunque el PSI cuenta con un documento que denomina “Política de uso aceptable – PUA”, ni este ni las políticas hacen alusión concreta al tema de las solicitudes de información, ni a los plazos de retención de datos o a la forma como los eliminan. Además, no desarrolla los procedimientos y mucho menos se refiere a la forma como el PSI protege los derechos de los y las usuarias (como lo es el debido proceso).
  1. El PSI es claro con los y las usuarias sobre las formas en que filtra, retira o bloquea contenidos y cancela o suspende servicios

El PSI pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios y, además, indica los soportes legales/contractuales que justifican dichas acciones. No
El PSI aclara las motivaciones que lo llevan a filtrar/retirar/bloquear contenidos o a suspender/cancelar servicios. NoNo se puede decir que cumpla con el criterio; sin embargo, ETB es el único PSI que, en un documento titulado “Política de uso aceptable – PUA”6, describe públicamente los usos que ETB considera indebidos de los servicios que provee: “(i) Interceptación de llamadas sin orden legal autorizada, así como el uso total o parcial de la información obtenida de esta forma. (x) Intentar acceder sin autorización a los sitios o servicios de ETB o de otro operador, mediante la utilización de herramientas intrusivas (hacking), descifre de contraseñas, descubrimiento de vulnerabilidades o cualquier otro medio no permitido o ilegítimo. (xiii) Presentar, alojar o transmitir información, imágenes o textos que en forma directa o indirecta se relacionen con actividades sexuales con menores de edad. El Cliente declara que conoce lo dispuesto en la Ley 679 de 2001 y el Decreto 1524 de 2002, de acuerdo con lo cual se prohíbe expresamente el alojamiento de contenidos de pornografía infantil [...] entre otros”.
Si se presenta alguno de los casos que allí describe, ETB podrá dar por terminado el contrato y, por tanto, suspender o cancelar los servicios que presta unilateralmente y sin que medie declaración judicial. Esta resolución entonces, no es garante de los derechos de los y las usuarias. De otra parte, no hay disposiciones sobre el bloqueo o retiro de contenidos.
¿El PSI específica como los procedimientos para filtrar/retirar/bloquear contenidos y/o suspender/cancelar servicios tienen en cuenta el debido proceso? (como mínimo suponen: notificación al usuario, oportunidad de defensa, criterios de proporcionalidad, etc.) NoSin embargo, es importante resaltar que en el PUA este PSI afirma que en determinados casos se comunicará con los clientes que considere, para pedirles que corrijan alguna conducta inadecuada. Aunque en tal afirmación se ve al menos una intención de notificar a los y las usuarias y permitirles que se defiendan; se trata de una disposición vaga, discrecional y bastante limitada que no puede considerarse como el cumplimiento de este criterio de evaluación.

5.5 DirecTv

La política de protección de datos de DirecTv se encuentra disponible en la página web http://www.directv.com.co/pdf_colombia/Manual-Politicas-y-Procedemiento-sobre-Tratamiento-de-Datos-Personales.pdf

1 El PSI publica Informes de Transparencia 2 El PSI notifica a sus usuarios y usuarias sobre solicitudes de datos del Gobierno 3 Las Políticas de Protección de datos del PSI son públicas y de fácil acceso para los usuarios y usuarias 4 El PSI publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias 5 El PSI es claro con sus usuarios y usuarias sobre la forma como filtra, retira o bloquea contenidos y como cancela o suspende servicios.
  1. El PSI especifica Informes de transparencia

El informe de transparencia muestra las solicitudes que ha hecho el Gobierno, a través de diferentes entidades del Estado, solicitando información de los y las usuarias. No
El informe de transparencia indica la frecuencia con la cual la empresa entrega información de los y las usuarias al Gobierno. No
El informe de transparencia señala si se ha dado respuesta a las solicitudes hechas por el Gobierno y muestra el procedimiento que han tenido las mismas. No
El informe de transparencia evidencia el número de usuarios y usuarias que han sido notificados en el último año con relación al número de solicitudes por parte del Gobierno. No
El informe de transparencia notifica el origen de las solicitudes para el bloqueo o retiro de contenidos de Internet (incluyendo pornografía infantil, infracción al derecho de autor, cumplimiento de sus propias políticas, etc.). No
El informe de transparencia explica con claridad el manejo de los datos de los y las usuarias, si han sido administrados por terceros y da cuenta de las acciones llevadas a cabo por estos en relación con la protección de datos de los y las usuarias. En caso de que exista gestión por parte de terceros, el IPS comunica si estos han dado información al Gobierno por solicitud del mismo. No
El informe de transparencia indica cuántas veces el PSI ha bloqueado o retirado contenidos de Internet. No
El informe de transparencia informa sobre si ha habido defensa de los usuarios cuyo contenido ha sido bloqueado y/o retirado y los motivos para ello. No
  1. EL PSI NOTIFICA A SUS USUARIOS Y USUARIAS SOBRE SOLICITUDES DE DATOS DEL GOBIERNO

El PSI notifica a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos. NoEn su “Política de privacidad” afirma que “por ejemplo, pudiéramos ser requeridos que desglosemos cierta información de los clientes o IOPI en respuesta a un requerimiento u orden de la corte. En la mayoría de los casos en que la información se provee en respuesta a un requerimiento legal, nosotros le proveeremos notificación previa de dicho requerimiento u orden de modo que usted pueda impugnarla en un procedimiento en corte”.
Con esto, el PSI manifiesta su intención de notificar “en la mayoría de los casos”a los y las usuarias de las solicitudes que haga “la corte”, lo cual puede ser considerado como una buena práctica. Pero, se trata de una afirmación que puede considerarse parcial, pues no se trata de todos los casos de requerimientos del Gobierno, sino solo los de ”la corte”, y tampoco se notificará siempre, sino en la mayoría de los casos. Además, no existen explicaciones o criterios para entender estas expresiones.
El PSI informa de manera oportuna a los y las usuarias cuando el Gobierno nacional ha hecho una solicitud de información sobre sus datos, es decir, dando tiempo a que —de ser necesario— los y las usuarias puedan interponer recursos. NoAunque el PSI afirma que lo hará, no desarrolla este compromiso con los y las usuarias; por tanto, no es posible establecer el cómo lo hace, ni si es posible que reaccionen oportunamente. Tampoco es posible establecer cuándo el PSI informa al usuario y cuándo no, ni se conocen los criterios para que lo haga.
  1. LAS POLÍTICAS DE PROTECCIÓN DE DATOS DEL PSI SON PÚBLICAS Y DE FÁCIL ACCESO PARA LOS USUARIOS Y USUARIAS

Las políticas de protección de datos están públicas en la página web del PSI, son claras y de fácil acceso para los y las usuarias. Por claras nos referimos a que están escritas en un lenguaje sencillo, son descriptivas de las diferentes situaciones (agregan ejemplos) e incluyen las referencias necesarias a la ley. Por fácil acceso entendemos que se pueden encontrar de manera simple por los y las usuarias en la página web del PSI. Si
Las políticas de protección de datos del PSI se encuentran publicadas en el pie de página (footer) de su web y con un nombre que permite una fácil identificación de las mismas por parte del usuario. Además, se encuentran en un documento que permite su navegación y su lenguaje es claro.
  1. EL PSI PUBLICA MANUALES DE CUMPLIMIENTO DE OBLIGACIONES LEGALES QUE PUEDEN AFECTAR LA INTIMIDAD DE LOS USUARIOS y USUARIAS

El PSI cuenta con guías o protocolos públicos, claros y de fácil acceso en los siguientes temas: a) requerimientos de información de usuarios y usuarias; y (b) plazos de retención de datos y su eliminación posterior. Para evaluar este criterio las guías deberán ser públicas, claras y de fácil acceso. Por claras entendemos que describen en lenguaje no técnico los protocolos y procedimientos que el PSI utiliza, incluyendo ejemplos y remisión a las leyes y a sus propias políticas siempre que sea necesario. Por fácil acceso nos referimos a que se pueden encontrar de manera sencilla por los usuarios y usuarias y están en un formato fácil de leer y navegar. NoAunque el PSI cuenta con un “Manual de protección de datos” que es público y que complementa su “Política de privacidad”, no hay un desarrollo de los criterios que aquí se evalúan. Si bien en el manual describe el manejo que se le da a la información de los y las usuarias en un lenguaje sencillo, de acuerdo con los criterios de la evaluación sobre claridad, el manual es incompleto porque no incluye los procedimientos objeto de esta evaluación.
a) Este PSI señala en su documento titulado “Política de privacidad de DIRECTV”, que podrían “compartir su información con terceros para cumplir con requerimientos legales o según lo permitido por la ley para proteger nuestros derechos y propiedad”. Pero, lo que se dice en el “Manual de protección de datos” es más bien general, porque no desarrolla los procedimientos para atender estas solicitudes, mucho menos se refiere a la forma cómo protege los derechos de los y las usuarias en lo relacionado con el del debido proceso.
b) Sobre los plazos de retención de datos de los suscriptores, el PSI señala que mantiene la información del cliente “mientras mantengan una relación de negocios con el mismo y más allá para actividades de negocios relacionadas”. Una vez la información no sea necesaria para los propios propósitos del PSI, destruyen la información “a menos que exista una solicitud extraordinaria para preservarla”. El texto genera muchas dudas sobre los tiempos, pues no describe plazos concretos y tampoco define los detalles sobre cómo atendería la solicitud extraordinaria que puede hacer ampliar el tiempo de retención. Adicionalmente, en el documento titulado “Manual interno de políticas y procedimientos” menciona que el cliente tiene derecho a “revocar la autorización (que dio de usar sus datos personales) mediante la presentación de una solicitud y/o reclamo. Esta no procede cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos”. Aunque esta disposición también es descriptiva de este tema, no es desarrollada en términos de procedimientos
  1. El PSI es claro con los y las usuarias sobre las formas en que filtra, retira o bloquea contenidos y cancela o suspende servicios

El PSI pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos o suspender/cancelar servicios y, además, indica los soportes legales/contractuales que justifican dichas acciones. No
El PSI aclara las motivaciones que lo llevan a filtrar/retirar/bloquear contenidos o a suspender/cancelar servicios. No
¿El PSI específica como los procedimientos para filtrar/retirar/bloquear contenidos y/o suspender/cancelar servicios tienen en cuenta el debido proceso? (como mínimo suponen: notificación al usuario, oportunidad de defensa, criterios de proporcionalidad, etc.) No

Sobre la fundación karisma

La Fundación Karisma es una organización de la sociedad civil dedicada a apoyar y difundir el buen uso de las tecnologías en los entornos digitales, en procesos sociales y en las políticas públicas colombianas y de la región, desde una perspectiva de protección y promoción de los derechos humanos. Durante su trayectoria ha mantenido un interés constante en la convergencia de las TIC y el derecho, y en la promoción y participación ciudadana en relación a estos temas. En la actualidad, desarrollamos nuestra labor a través del grupo Derecho, Internet y Sociedad (DIS) y del Laboratorio de Innovación y Tecnologías Sociales Lab ITS.

La elaboración de este informe estuvo a cargo de Carolina Botero, directora del Grupo Derecho, Internet y sociedad, y de la investigadora Laura Mora. El DIS es un grupo multidisciplinar que trabaja por una apropiación responsable y reflexiva de las TIC en los diversos sectores de la sociedad, considerando el papel que juega el marco legal en las dinámicas de Internet. Con este fin, promueve actividades de estudio, análisis y acción frente a los retos que representan los entornos digitales relacionados con el marco jurídico en la sociedad colombiana y latinoamericana, con un especial interés en temas de “apertura”, colaboración y construcción entre pares.

Agradecimientos

Agradecemos especialmente las contribuciones de los miembros del grupo Derecho, Internet y Sociedad, de la Fundación Karisma, para la elaboración de este informe. Así como a Katitza Rodríguez, Directora de Derecho Internacional de la Electronic Frontier Foundation y al equipo de EFF que nos acompañó en todo el proceso.

Diseño gráfico y sitio web: Hugh D'Andrade (EFF), Julian García (Fundación Karisma).
Comunicaciones: María Juliana Soto y Nathalie Espitia (Fundación Karisma).

Esta investigación se llevó a cabo gracias al financiamiento de la Electronic Frontier Foundation.
Las opiniones expresadas son, por supuesto, las de las autoras.

cc