Por segundo año consecutivo, el informe ¿Quién defiende tus datos? deja en evidencia las prácticas de las empresas de telecomunicaciones sobre privacidad, transparencia y compromiso con derechos humanos.


• 
  Únicamente dos empresas requieren explícitamente una orden judicial para colaborar con autoridades; solamente una presentó un informe de transparencia sobre solicitudes de acceso por parte del gobierno.

• 
  Ninguna empresa ha tomado la iniciativa para notificar a usuarios que hayan sido objeto de acciones de vigilancia.


Por segunda ocasión, la Red en Defensa de los Derechos   Digitales (R3D), en conjunto con la Electronic Frontier Foundation, han conducido el reporte ¿Quién defiende tus datos?  una investigación sobre la forma en que las empresas de telecomunicaciones en México adoptan políticas de respeto y protección a los derechos humanos de sus usuarios. 


Ocho empresas (AT&T, Axtel, Izzi, Megacable, Movistar, Telcel, Telmex y Total Play) fueron evaluadas con base en seis criterios: 1) política de privacidad, 2) autorización judicial, 3) notificación al usuario, 4) transparencia, 5) compromiso con los derechos humanos, y 6 derecho de acceso a tus datos. 


En resultados generales, solamente AT&T obtuvo un promedio aprobatorio (60%), seguida de Movistar (35%), Megacable  (20%), Telmex (15%), Telcel (10%) y Axtel (5%), en tanto que Izzi y Total Play no obtuvieron ni un solo punto en la evaluación.


Sobre políticas de privacidad, todas las compañías tienen una política o aviso de privacidad disponible en su página principal de Internet. Sin embargo, únicamente AT&T y Movistar indican de manera clara qué información se recaba sobre el usuario y sus comunicaciones.


Respecto a la autorización judicial, únicamente AT&T y Telmex establecen explícitamente este requisito para la colaboración con autoridades de seguridad y justicia que implique la intervención del contenido de comunicaciones privadas. Así mismo, se ha detectado que AT&T, Megacable y Movistar han rechazado solicitudes de acceso a datos de usuarios por no cumplir con los requisitos legales.


Por ejemplo, en el primer semestre de 2016, AT&T rechazó 46.6% de las 5503 solicitudes de acceso a datos de usuarios; Megacable, 63.55% de las 115 solicitudes que recibió, y Movistar rechazó 7.9% de 4341 solicitudes totales. En contraste, Axtel y Telcel no rechazaron ninguna solicitud.

Lo anterior es particularmente preocupante, en tanto Telcel fue la compañía que recibió más solicitudes con 27672 en el primer semestre de 2016.

La investigación no encontró que alguna empresa evaluada tenga una política pública de notificación a usuarios afectados por medidas de vigilancia, ni se detectó que hayan combatido legalmente algún impedimento legal para efectuar la notificación.


Sobre transparencia, únicamente AT&T publicó un informe individual de transparencia respecto de solicitudes gubernamentales de intervención de comunicaciones y de acceso a datos de usuarios y sus comunicaciones, pero el reporte se encuentra disponible solamente en inglés y no ofrece suficiente información que permita saber el volumen, origen, motivos y alcance de solicitudes, ni el número e identidad de las autoridades que solicitan a acceder a datos de comunicaciones de usuarios.


Se detectó evidencia de que AT&T interpuso recursos judiciales en contra de solicitudes ilegales o abusivas de acceso a datos de usuarios, mientras que no se halló que las compañías hayan llevado a cabo acciones de incidencia legislativa o ante otros entes regulatorios en defensa del derecho a la privacidad y/o la protección de los datos personales de sus usuarios.


Por último, R3D solicitó a AT&T, Movistar y Telcel, el acceso a sus metadatos de comunicaciones conservados por esas empresas, sin embargo, ninguna de ellas accedió a entregar la información. Sin embargo, en agosto de 2016, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), resolvió en todos los casos que los metadatos recabados por las compañías proveedoras de servicios de telecomunicaciones son datos personales, por lo que estas empresas deben entregarlos a los usuarios que así lo soliciten.