Las empresas de telecomunicaciones e Internet recolectan, conservan e intercambian diariamente un gran volumen de datos personales de usuarios y usuarias en México: nombres reales, fechas de nacimiento, ubicaciones físicas, perfiles de búsqueda, entre muchos otros. Las autoridades, por su parte, están interesadas en acceder y procesar estos datos personales, a menudo, con argumentos legítimos como la investigación criminal o la atención de amenazas a la seguridad nacional.
No obstante, existe un riesgo inherente de abuso con el acceso a esta información personal. Por esa razón, las empresas emiten reportes de transparencia donde dan a conocer cómo colaboran con las autoridades, lo que permite identificar con mayor facilidad los posibles abusos en el acceso o tratamiento de datos personales.
Dentro de este panorama, R3D: Red en Defensa de los Derechos Digitales presenta el Observatorio de Reportes de Transparencia, un sitio web que tiene como objetivo facilitar a los usuarios mexicanos la consulta y navegación de los datos revelados por las empresas en sus informes de transparencia.
Igualmente, el observatorio tiene como objetivo el que las empresas reportadas mejoren progresivamente la calidad de los reportes de transparencia, implementando una serie de buenas prácticas que mejoren la manera en que las empresas y las autoridades rinden cuentas en torno a la protección de datos personales de las personas que usan los servicios en México.
Para la elaboración de este reporte, fueron revisados los reportes de transparencia
de Google, Twitter, Facebook, Yahoo!, Microsoft, Wikimedia Foundation, WordPress, AT&T y Telefónica.
A partir del análisis de los reportes de transparencia fueron identificados los siguientes hallazgos principales:
1. Ninguna de las entidades observadas reporta tipo de proceso legal de las solicitudes que recibe de autoridades mexicanas, ni los clasifica.
2. Tampoco existen glosarios, preguntas frecuentes o bases de conocimiento que le permitan saber a las y los usuarios mexicanos de los servicios de dichas entidades los términos jurídicos descritos en los reportes con base en un contexto mexicano.
3. Los datos personales involucrados en la operación de las entidades observadas pueden ser diferentes de una empresa a otra, dependiendo el tipo de servicio que provean y las características de
los mismos.
4. Ninguna de las entidades reportadas identifica específicamente qué autoridades les solicitan datos personales. En 2016 la Segunda Sala de la Suprema Corte de Justicia de la Nación (SCJN) resolvió el juicio de amparo que interpusimos en R3D en contra de los artículos 189 y 190 de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR), y entre otras cosas, limitó a las procuradurías de justicia, la Policía Federal y el CISEN la atribución de estos procedimientos.
5. La mayoría de las entidades reportadas cuentan con procedimientos explícitos por los cuales pueden aceptar o rechazar una petición de datos personales. Igualmente la mayoría indica que en su proceder hace lo posible por limitar la atención a una petición de datos o bien, la cantidad de los mismos emitidos.
6. Las entidades consideradas en el observatorio, a excepción de AT&T y Telefónica, notifican previamente a las y los usuarios cuando una autoridad ha iniciado una petición de sus datos y coinciden en la excepción de notificar cuando una investigación o algún procedimiento policiaco pueda verse comprometido por la acción.
7. La mayoría de los reportes se presentan en inglés y están determinados por las condiciones legales de dónde están basadas las empresas. En algunas de las empresas, como Google y Facebook, es perceptible un esfuerzo por traducir y localizar tanto reportes como glosarios, pero no es un esfuerzo generalizado.
El reporte también puede ser descargado en formato PDF.