Mejores prácticas

En los últimos años la publicación de reportes de transparencia sobre las solicitudes de acceso a datos de usuarios por parte de autoridades se ha convertido en una práctica común dentro de las empresas de telecomunicaciones e Internet a nivel global.

A pesar de que cada vez más compañías adoptan la práctica de publicar informes de transparencia y en ellos se incluyen una cantidad mayor de parámetros e información desglosada, la gran mayoría de ellos no reportan sobre las solicitudes hechas desde México con un nivel de detalle y claridad deseable, o bien, no son hechos en formato del todo accesible y comparable en el tiempo.

Con la intención de fomentar la adopción de los reportes transparencia en México y de promover que los mismos revelen información suficiente, se han identificado una serie de buenas prácticas que sería deseable que las empresas adopten progresivamente. Las recomendaciones se basan en parte en las investigaciones y recomendaciones de The Transparency Reporting Toolkit, un proyecto del New America’s Open Technology Institute (OTI) y del Harvard University’s Berkman Center for Internet & Society.

En este sentido, hemos identificado las siguientes como las mejores prácticas en la elaboración de reportes de transparencia:

1.El reporte de transparencia explica los distintos procesos legales que reciben las empresas para solicitar datos de usuarios y detalla las diferencias entre ellos.

El reporte de transparencia debería explicar con claridad la manera en la que la compañía categoriza los distintos tipos de solicitudes de datos personales de usuarios provenientes de autoridades mexicanas, asì como las diferencias que existen entre dichas solicitudes. Además, el reporte debería contener una sección (como preguntas frecuentes o un glosario) que explique la terminología jurídica empleada para diferenciar los distintos procesos legales de las solicitudes.

Por ejemplo, los reportes de transparencia sobre solicitudes realizadas por autoridades mexicanas deberían de identificar cuántas solicitudes se refieren a una intervención de comunicaciones privadas, a una solicitud de acceso a datos conservados por virtud del artículo 190, fracción II de la Ley Federal de Telecomunicaciones y Radiodifusión o si se refiere a la geolocalización en tiempo real de equipos de comunicación móvil.

Empresas como AT&T o Facebook detallan, en los reportes que generan desde Estados Unidos, cuál es el proceso jurídico por el cual recibieron la petición, por ejemplo, solicitudes de cortes o tribunales, vigilancia de comunicaciones privadas, citaciones a declarar sobre un determinado proceso o peticiones de emergencia.

2.El reporte de transparencia desagrega los datos por tipos de información solicitada

El reporte de transparencia debería desagregar la información sobre las solicitudes de datos personales de usuarias y usuarios por tipo de información solicitada. Por ejemplo, debería distinguirse entre solicitudes de datos básicos de la cuenta de un usuario como el nombre u otros datos sensibles como datos de localización, la actividad del usuario al utilizar el servicio o incluso el contenido de las comunicaciones privadas o datos derivados de las transacciones generadas por el uso de los servicios de las empresas.

Es el caso de Google, quien en contexto de la realidad jurídica estadounidense, explica claramente los diferentes tipos de acciones jurídicas que recibe y las divide en citaciones (subpoenas), divulgaciones de información de emergencia (emergency disclosures), órdenes de búsqueda (search warrants), órdenes referentes a registros telefónicos (pen register orders), otras órdenes emitidas por cortes así como peticiones legales de intervención telefónica (wiretap orders).

3.El reporte identifica a las autoridades que realizan las solicitudes

El reporte de transparencia debería identificar a las autoridades que realizan las solicitudes y desagregar la información estadística sobre dichas solicitudes por autoridad. Esto es importante para verificar que las autoridades que hacen solicitudes de acceso a datos de usuarios se encuentran legitimadas por la ley para llevarlas a cabo.

Unas 25 empresas de Estados Unidos  identifican y reportan cuando reciben órdenes como las Cartas de Seguridad Nacional (National Security Letter) u ordenes amparadas en la Ley de Vigilancia de la Inteligencia Extranjera (FISA, por sus siglas en inglés).

4.Reporta la cantidad de usuarias y usuarios afectados por la solicitud

El reporte de transparencia debería reportar el número de cuentas o personas afectadas por una solicitud de acceso a datos de usuarios y no únicamente reportar el número de solicitudes atendidas. Lo anterior es importante en tanto en una sola solicitud podría requerirse información de múltiples cuentas o personas, por lo que es la precisión en este punto es vital para que la sociedad pueda valorar el verdadero volumen y alcance de este tipo de medidas.

Como ejemplo de esto, Snapchat denomina a las y los usuarios de sus servicios como “identificadores de cuenta”, explicando a detalle lo que significa este término, que dichos identificadores pueden referirse a varias personas y que las cuentas de las que se solicitó información pueden generar información a distintas peticiones.

5.Explica las circunstancias en las que se cumplen o rechazan las solicitudes

El reporte de transparencia debería explicar con claridad las circunstancias en las que la empresa cumple o rechaza las solicitudes de acceso a datos de usuarias y usuarios por parte de autoridades, los fundamentos y requisitos que deben cumplir dichas solicitudes y explicar en qué casos y bajo qué parámetros se decide el cumplimiento total o parcial de las mismas.

En sus reportes, Apple reporta las condiciones en que da cumplimiento a las solicitudes y divide sus respuestas reportadas en “solicitudes de cuentas en las que alguna información fue otorgada, “peticiones controvertidas por Apple”, “solicitudes que no brindaron información” y “solicitudes que brindaron información”.

6.Reporta estadísticas sobre el cumplimiento

El reporte de transparencia debería divulgar de manera detallada estadísticas respecto del cumplimiento, rechazo u otras conclusiones derivadas de solicitudes de acceso a datos de usuarios por parte de autoridades. Como mínimo, debería reportarse información respecto de la cantidad de solicitudes cumplidas, rechazadas o respecto de las cuáles se haya tomado otra decisión. Idealmente dicha información se encontraría desagregada por tipo de solicitud, autoridad solicitante y por cantidad de usuarios o cuentas afectadas.

Digital Ocean, una empresa estadounidense de alquiler de servidores, detalla en sus reportes las solicitudes recibidas, las que están en proceso, las que no encontraron datos, las rechazadas, las que garantizaron o no contenidos, los diferentes tipos de procesos legales que se incluyeron en las solicitudes, o aquellas que podrían involucrar daños o afectaciones a usuarios y usuarias.

7.Reporta sobre notificación a usuarias y usuarios afectados

El reporte de transparencia debería divulgar información sobre si se notifica a los usuarios afectados por solicitudes de acceso a datos. El reporte debería informar con claridad si la notificación se lleva a cabo de manera previa, simultánea o posterior a la entrega de datos. Asimismo, el reporte debería contener información sobre la cantidad de ocasiones en las que no se ha realizado la notificación y explicar las razones y fundamentos legales que han impedido a la compañía para realizarla

Twitter realiza notificaciones previas a la emisión de información a sus usuarios y usuarias excepto en “circunstancias contraproducentes o urgentes (p. ej., emergencias o cuentas intervenidas).” La mayor parte de las empresas citadas en este reporte hacen este procedimiento en los Estados Unidos, con excepciones claras como el compromiso de una investigación, el probable daño hacia una persona o la acción ante una emergencia como un secuestro.

8.Los datos están presentados de manera accesible, manejable y en español

Esta práctica consiste en presentar los reportes de transparencia y sus datos correspondientes en formatos accesibles, legibles por máquinas o bien, manejables para su posterior uso, manejo y comparación en procesos informáticos. Dicha práctica implica contar con los datos en formatos como hojas de cálculo, datos simples separados por comas, o documentos generados por procesadores de texto. Asimismo, el reporte de transparencia debería estar disponible en el idioma español, incluidos sus resultados, parámetros y glosarios, con el fin de hacerlo entendible a las personas en el idioma del país sobre el que tratan. Debido a que la realidad jurídica es diferente país a país, los reportes deberían incluir la explicación de los términos legales usados localmente y una breve descripción de los mismos.

Los reportes de transparencia de Wikimedia Foundation están disponibles en formato HTML o en formato wiki, y los datos de los mismos se encuentran disponibles en formato CSV. Los reportes, glosarios y secciones de Preguntas frecuentes de Google se encuentran en español.

La Red en Defensa de los Derechos Digitales (R3D) es una organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital, en particular la libertad de expresión, la privacidad, el acceso al conocimiento y la cultura libre.