forked from qwerty/tupali
18 KiB
18 KiB
| 1 | Identificador | Isp | Pais | Ong (eff) | 1. el psi publica informes de transparencia | 1.1 el informe de transparencia muestra las solicitudes que ha hecho el gobierno, a través de diferentes entidades del estado, solicitando informacion de los usuarios. | 1.2 el informe de transparencia indica la frecuencia con la cuál la empresa entrega información de los usuarios al gobierno | 1.3 el informe de transparencia señala si se ha dado respuesta a las solicitudes hechas por el gobierno y muestra el procedimiento que han tenido las mismas. | 1.4 el informe de tranparencia evidencia el número de usuarios que han sido notificados en el último año en relación con el número de solicitudes por parte del gobierno. | 1.5 el informe de transparencia informa el origen de las solicitudes para bloqueo y/o retiro de contenidos de internet (incluyendo pornografía infantil, infracción al derecho de autor, cumplimiento de sus propias políticas, etc.) | 1.6 el informe de transparencia explica con claridad el manejo de los datos de los usuarios; si estos han sido administrados por terceros y da cuenta de las acciones llevadas a cabo por éstos en relación con la protección de datos de los usuarios. en caso de gestión por terceros informa si ellos han dado información al gobierno por solicitud del mismo. | 1.7 el informe de transparencia indica cuántas veces ha procedido la psi a bloquear y/o retirar contenidos de internet. | 1.8 el informe de transparencia informa sobre si ha habido defensa de los usuarios cuyo contenido ha sido bloqueado y/o retirado y los motivos para ello. | 2.2 ¿el psi notifica al usuario o usuaria de manera oportuna cuando el gobierno nacional ha hecho una solicitud de información de sus datos, es decir, dando tiempo a que el usuario pueda interponer recursos de ser necesario? | 3. las polÍticas de protección de datos del psi son públicas y de fácil acceso para los usuarios y usuarias | El psi es claro con sus usuarios y usuarias sobre la forma como filtra, retira o bloquea contenido y como cancela o suspende servicios. | 5.1 ¿el psi pública los procedimientos que emplea para filtrar/retirar/bloquear contenidos y/o suspender/cancelar servicios, indicando además los soportes legales/contractuales que lo justifican? | 5.2 ¿el psi específica las motivaciones que la llevan a hacer filtros/retiros/bloqueos de contenidos y/o suspensión/cancelación de servicios? | 5.3 ¿el psi específica cómo los procedimientos para filtrar/retirar/bloquear contenidos y/o suspender/cancelar servicios tienen en cuenta el debido proceso? (como mínimo suponen: notificación al usuario, oportunidad de defensa, criterios de proporcionalidad, etcétera) | Mapa | 2.1 ¿el psi notifica al usuario cuando el gobierno nacional ha hecho solicitud de información de sus datos? | 4. el psi publica manuales de cumplimiento de obligaciones legales que pueden afectar la intimidad de los usuarios y usuarias | Comentarios bloque 2 | Comentarios bloque 3 | Comentarios bloque 4 | Comentarios bloque 5 | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 2 | f7add690aa377cfc0ba9bb292d44fd20 | Array | Directv | Colombia | Karisma | No | No | No | No | No | No | No | No | No | No | SÍ | No | No | No | SÍ | SÍ | 2.1 En su “Política de privacidad”1 afirma que “por ejemplo, pudiéramos ser requeridos que desglosemos cierta información de los clientes o IOPI en respuesta a un requerimiento u orden de la corte. En la mayoría de los casos en que la información se provee en respuesta a un requerimiento legal, nosotros le proveeremos notificación previa de dicho requerimiento u orden de modo que usted pueda impugnarla en un procedimiento en corte”. Con esto, el PSI manifiesta su intención de notificar “en la mayoría de los casos”a los y las usuarias de las solicitudes que haga “la corte”, lo cual puede ser considerado como una buena práctica. Pero, se trata de una afirmación que puede considerarse parcial, pues no se trata de todos los casos de requerimientos del Gobierno, sino solo los de ”la corte”, y tampoco se notificará siempre, sino en la mayoría de los casos. Además, no existen explicaciones o criterios para entender estas expresiones. 2.2 Aunque el PSI afirma que lo hará, no desarrolla este compromiso con los y las usuarias; por tanto, no es posible establecer el cómo lo hace, ni si es posible que reaccionen oportunamente. Tampoco es posible establecer cuándo el PSI informa al usuario y cuándo no, ni se conocen los criterios para que lo haga. | Las políticas de protección de datos del PSI se encuentran publicadas en el pie de página (footer) de su web y con un nombre que permite una fácil identificación de las mismas por parte del usuario. Además, se encuentran en un documento que permite su navegación y su lenguaje es claro. | Aunque el PSI cuenta con un “Manual de protección de datos” que es público y que complementa su “Política de privacidad”, no hay un desarrollo de los criterios que aquí se evalúan. Si bien en el manual describe el manejo que se le da a la información de los y las usuarias en un lenguaje sencillo, de acuerdo con los criterios de la evaluación sobre claridad, el manual es incompleto porque no incluye los procedimientos objeto de esta evaluación. a) Este PSI señala en su documento titulado “Política de privacidad de DIRECTV”, que podrían “compartir su información con terceros para cumplir con requerimientos legales o según lo permitido por la ley para proteger nuestros derechos y propiedad”. Pero, lo que se dice en el “Manual de protección de datos” es más bien general, porque no desarrolla los procedimientos para atender estas solicitudes, mucho menos se refiere a la forma cómo protege los derechos de los y las usuarias en lo relacionado con el del debido proceso. b) Sobre los plazos de retención de datos de los suscriptores, el PSI señala que mantiene la información del cliente “mientras mantengan una relación de negocios con el mismo y más allá para actividades de negocios relacionadas”. Una vez la información no sea necesaria para los propios propósitos del PSI, destruyen la información “a menos que exista una solicitud extraordinaria para preservarla”. El texto genera muchas dudas sobre los tiempos, pues no describe plazos concretos y tampoco define los detalles sobre cómo atendería la solicitud extraordinaria que puede hacer ampliar el tiempo de retención. Adicionalmente, en el documento titulado “Manual interno de políticas y procedimientos” menciona que el cliente tiene derecho a “revocar la autorización (que dio de usar sus datos personales) mediante la presentación de una solicitud y/o reclamo. Esta no procede cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos”. Aunque esta disposición también es descriptiva de este tema, no es desarrollada en términos de procedimientos. | |||
| 3 | 36651e5793de462b874a986f584298df | Array | Etb | Colombia | Karisma | No | No | No | No | No | No | No | No | No | No | SÍ | No | SÍ | SÍ | No | No | Si bien su política de protección de datos se encuentra publicada en la página web, esta no es de fácil acceso para los y las usuarias. La ruta para acceder a la políticas es muy larga, pues es necesario entrar por diferentes páginas; y la parte final de esa ruta tampoco muestra por dónde ingresar para ver el documento. El pie de página (footer) está oculto y luego de desplegarlo el usuario puede confundirse con el título “Habeas data”, que no corresponde a la política. Esta se encuentra en la sección “Normatividad”, bajo el título de “Guía de consultas”. Luego, dentro de varias pestañas, se deben seleccionar la llamada “Régimen de protección de los derechos de los suscriptores y/o usuarios” y allí, finalmente, dentro de la lista de documentos se encuentra en el cuarto puesto la “política de tratamiento de datos personales”. La política es un archivo JPG, es decir, un archivo de imagen que restringe su navegabilidad e imposibilita la lectura en personas con discapacidad visual. Su lenguaje es bastante jurídico; de hecho, si remite a otras normas no las explica; es bastante descriptivo pero no ayuda a su comprensión con ejemplos. | El PSI no ha publicado guías o manuales que desarrollen la ley en los temas evaluados. Hay algunas disposiciones aisladas de procedimientos dentro de la propia política que se refieren esencialmente al hábeas data o derecho de autodeterminación de los datos de sus usuarios y usuarias. Aunque el PSI cuenta con un documento que denomina “Política de uso aceptable – PUA”, ni este ni las políticas hacen alusión concreta al tema de las solicitudes de información, ni a los plazos de retención de datos o a la forma como los eliminan. Además, no desarrolla los procedimientos y mucho menos se refiere a la forma como el PSI protege los derechos de los y las usuarias (como lo es el debido proceso). | 5.2 No se puede decir que cumpla con el criterio; sin embargo, ETB es el único PSI que, en un documento titulado “Política de uso aceptable – PUA”1, describe públicamente los usos que ETB considera indebidos de los servicios que provee: “(i) Interceptación de llamadas sin orden legal autorizada, así como el uso total o parcial de la información obtenida de esta forma. (x) Intentar acceder sin autorización a los sitios o servicios de ETB o de otro operador, mediante la utilización de herramientas intrusivas (hacking), descifre de contraseñas, descubrimiento de vulnerabilidades o cualquier otro medio no permitido o ilegítimo. (xiii) Presentar, alojar o transmitir información, imágenes o textos que en forma directa o indirecta se relacionen con actividades sexuales con menores de edad. El Cliente declara que conoce lo dispuesto en la Ley 679 de 2001 y el Decreto 1524 de 2002, de acuerdo con lo cual se prohíbe expresamente el alojamiento de contenidos de pornografía infantil [...] entre otros”. Si se presenta alguno de los casos que allí describe, ETB podrá dar por terminado el contrato y, por tanto, suspender o cancelar los servicios que presta unilateralmente y sin que medie declaración judicial. Esta resolución entonces, no es garante de los derechos de los y las usuarias. De otra parte, no hay disposiciones sobre el bloqueo o retiro de contenidos. 5.3 Sin embargo, es importante resaltar que en el PAU este PSI afirma que en determinados casos se comunicará con los clientes que considere, para pedirles que corrijan alguna conducta inadecuada. Aunque en tal afirmación se ve al menos una intención de notificar a los y las usuarias y permitirles que se defiendan; se trata de una disposición vaga, discrecional y bastante limitada que no puede considerarse como el cumplimiento de este criterio de evaluación. | |||
| 4 | 3553eb337e5164d66ec723ee853065c5 | Array | Une | Colombia | Karisma | No | No | No | No | No | No | No | No | No | No | SÍ | No | No | No | No | SÍ | Su política de protección de datos se encuentra publicada en la página web bajo el nombre “Políticas y Seguridad”; sin embargo, se confunde con el vínculo titulado “Protección al Usuario”, que es el listado de algunas resoluciones y circulares nacionales y los términos y condiciones de los contratos de prestación de servicio de la compañía. La política es un archivo JPG, es decir, un archivo de imagen que restringe su navegabilidad e imposibilita la lectura en personas con discapacidad visual. Su lenguaje es muy técnico en algunos aspectos; hace referencia a otras disposiciones legales, aunque estas son explicadas solo brevemente en el documento. También menciona documentos internos que no se encuentran en su página web; por ejemplo, la circular interna No. 60 de abril de 2014, que es su primera “Política de Protección de Datos Personales”. | El PSI señala que un mismo documento contiene su política y manual, pero en él no se desarrollan los temas evaluados; sin embargo, sí encontramos una disposición que puede considerarse como una buena práctica en relación con el compromiso del PSI de respetar los derechos de sus suscriptores. Dentro de las políticas hay algunas disposiciones aisladas de procedimientos que se refieren sobre todo al hábeas data o al derecho de autodeterminación de los datos de los y las usuarias; por ejemplo, el PSI menciona algunos temas como quién es el responsable del manejo de datos sensibles y describe los derechos y deberes de los y las usuarias. De otro lado, aunque el documento no es específico sobre los temas que se evalúan sí tiene como disposición a destacar: a) la notificación a los y las usuarias. UNE afirma que “la Ley contempla excepciones a la autorización del Titular y a la entrega de información a ciertas autoridades judiciales y administrativas que actúan en cumplimiento de sus funciones. Ante estas, UNE procederá a dejar constancia y en caso de duda solicitará las verificaciones correspondientes en los términos que lo establezca la normatividad respetando la confidencialidad [...] en la constancia se referenciará la autoridad y funcionario que ha solicitado la información o dato personal y la fuente legal de competencia”. Esto quiere decir que se establece públicamente un proceso interno donde se incluye un análisis de la legalidad de la petición de información y se deja constancia de su resultado. No obstante, no incluye la disposición de notificar al usuario o usuaria, por tanto, no se cumple con el criterio.b) No hay mención al plazo durante el cual conservan los datos de los y las usuarias, ni al modo en que descartan los datos. | 5.1 El PSI reconoce en su política de privacidad1 su compromiso con las medidas legales para evitar la pornografía infantil, pero no hay una descripción sobre los procedimientos que puede seguir un usuario o usuaria en caso de que se considere afectado indebidamente por una de estas disposiciones. En general, no hay ninguna otra referencia al tema que se evalúa. | |||
| 5 | 46c9dab3eae70d71fe7ed8f918d6a852 | Array | Telefónica | Colombia | Karisma | No | No | No | No | No | No | No | No | No | No | SÍ | No | No | No | No | No | La política de protección de datos se encuentra publicada en su página web bajo el nombre de “Política de Colombia Comunicaciones para el manejo de Datos, Personales”. Sin embargo, no es de fácil acceso para los y las usuarias, pues, aunque se encuentra en el pie de página (footer), se confunde con el vínculo titulado “Régimen de Protección al Usuario”, que no es otra cosa que el listado de leyes y normas nacionales. El lenguaje de la política es claro y descriptivo. Quizá, por lo breve, no hay desarrollo y remisiones a la ley. Adicionalmente, Telefónica pública un PDF que contiene la política como imagen, lo que dificulta su navegación para los y las usuarias, especialmente para quienes tienen discapacidad visual | El PSI no ha publicado guías o manuales que desarrollen la ley en los temas evaluados. Hay algunas disposiciones sobre los procedimientos que el PSI adelanta para implementar su política en materia de hábeas data, esto es, en lo relacionado con la autodeterminación de los datos de los y las usuarias. Pero, para encontrar esta información es necesario dirigirse a la sección de los contratos. a) Sobre la notificación de requerimientos de información del Gobierno, el PSI no hace alusión concreta al tema de las solicitudes de información, no desarrolla los procedimientos para atenderlas y, mucho menos, se refiere a la forma como el PSI protege los derechos de los y las usuarias (como lo es el debido proceso). b) Se debe mencionar que su política de protección de datos señala que “la base de datos de Colombia Telecomunicaciones tiene vigencia indefinida. Los datos personales recolectados se conservarán por el tiempo que dure la relación existente entre la Empresa y el Titular de los datos, y por el tiempo necesario para el cumplimiento de los deberes legales o contractuales que Colombia Telecomunicaciones deba observar”. Aunque este texto desarrolla el tema del plazo, no hay claridad sobre el mismo; de hecho, al hablar de “indefinido” resulta preocupante para los y las usuarias. | ||||
| 6 | ba2d96e9986a626c5327f7aff6810a16 | Array | Claro | Colombia | Karisma | No | No | No | No | No | No | No | No | No | No | SÍ | No | No | No | No | -75.5570125579834 6.246374284186 16 | No | No | Aunque su política de protección de datos se encuentra pública en su página web, no es fácil de encontrar. Para hallarla es necesario ir a la última parte de la página en donde, con un tamaño pequeño, hay una sección identificada bajo el nombre de legal y regulatorio. Además, la política no es clara pues solo copia los términos de la ley. | El PSI no ha publicado guías o manuales que desarrollen la ley en los temas evaluados. Existen algunas disposiciones aisladas de procedimientos dentro de la propia política que se refieren esencialmente al hábeas data o derecho de autodeterminación de los datos de sus usuarios y usuarias. Es decir, atendiendo a la ley, el PSI menciona algunos temas como quién es el responsable del manejo de datos sensibles y describe derechos y deberes de los usuarios en virtud de la prestación del servicio; pero no se refiere a los temas que están siendo evaluados. En los temas analizados el PSI: a) Describe su obligación legal de entregar datos personales sin la autorización del titular cuando la solicitud provenga de una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, pero no hay desarrollo sobre el procedimiento que se emplea; mucho menos la forma en que el PSI protege los derechos de los y las usuarias (como el del debido proceso). b) No hay mención al plazo durante el cual el PSI conserva los datos de los y las usuarias, ni al modo en que descartan los datos. |