INAI resuelve que cliente de AT&T tiene derecho de acceder a todos sus metadatos de comunicaciones

Resolución de la Autoridad Federal de Protección de Datos permite obtener más transparencia para el usuario de servicios de telecomunicaciones sobre la retención de sus metadatos por 2 años.

El INAI resolvió el pasado 13 de julio que los metadatos, incluyendo los datos de geolocalización, que las compañías de telecomunicaciones tienen que almacenar sobre los usuarios en virtud de la Ley Federal de Telecomunicaciones y Radiodifusión son datos personales e incluyen los datos de geolocalización. Decide también que usuarios de servicios de telecomunicaciones tienen el derecho de obtener acceso a estos datos en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.  El INAI inicia ahora un procedimiento de sanción contra AT&T por diversos incumplimientos con esa misma ley.

La Ley Federal de Telecomunicaciones y Radiodifusión (“LFTR”) en sus artículos 189 y 190 obliga a todos los “concesionarios de telecomunicaciones y proveedores de servicios de aplicaciones y contenidos” a conservar un registro de los metadatos de sus usuarios por un periodo de dos años. Los metadatos incluyen detalles tan específicos como la fecha de activación del servicio, nombre y domicilio del suscriptor, además de información de los servicios, detalles de sus comunicaciones (mensajes de texto, datos, llamadas) y datos de geolocalización que permiten identificar el lugar desde donde se realizó la comunicación. La Ley contempla que las autoridades soliciten esos datos a los operadores, pudiendo obtener esta información “en tiempo real”. Cada concesionario debe contar con una persona disponible las 24 horas para atender este tipo de solicitudes. A pesar de los señalamientos de varias asociaciones civiles mexicanas e internacionales de que las disposiciones de estos dos artículos ponen en riesgo el derecho a la privacidad, la Suprema Corte de Justicia de la Nación avaló en mayo de 2016 el almacenamiento de metadatos y geolocalización en tiempo real.

LOS ANTECEDENTES

Extracto de los metadatos que obtuvo Malte Spitz de su compañía telefónica.
Extracto de los 6 meses de metadatos que obtuvo Malte Spitz de Deutsche Telekom.

En enero de 2016, un cliente de AT&T solicitó a esa compañía acceso a todos los metadatos que tuvieran sobre él, con base en la fracción II del artículo 190 de la LFTR. Un caso muy similar se dio en Alemania, donde el ciudadano Malte Spitz, cliente de la empresa alemana de telecomunicaciones Deutsche Telekom, le solicitó todos los metadatos vinculados con sus comunicaciones y, después de pelearlo vía abogados de ambas partes, obtuvo el registro completo de sus comunicaciones.

Con todos estos datos, Spitz realizó con el periódico alemán Zeit una impactante animación donde se visualizan detalles de sus comunicaciones en un periodo de seis meses. A través de esos datos y los detalles de geolocalización proporcionados por el operador de telecomunicaciones alemán, se puede inferir otra información personal como viajes, domicilios, lugar de trabajo, comportamientos, con qué personas se comunicaba, en qué horarios lo hacía y la duración y tipo de sus comunicaciones.

Animación que detalla actividades y comunicaciones de Malte Spitz por un periodo de seis meses. Disponible en Zeit Online
Animación que detalla actividades y comunicaciones de Malte Spitz por un periodo de seis meses. Disponible en Zeit Online

EL PROCESO

Solicitud de acceso a datos personales a los que hace referencia el artículo 190 de la LFTR.
Solicitud de acceso a datos personales a los que hace referencia el artículo 190 de la LFTR.

En México, la solicitud de metadatos del particular a AT&T no resultó tan sencilla. Desde el inicio, AT&T actuó con dilación y negligencia al dificultar a su cliente el acceso a sus metadatos y dándole información imprecisa, lo cual generó que el usuario tuvo que realizar tres procedimientos distintos para poder acceder a sus datos: uno mediante el llenado de un formato vía correo electrónico: uno que requirió presentar nuevamente la solicitud de manera presencial en un Centro de Atención Especializado (“CAE”) y uno vía telefónica con el “equipo de sistemas” de la compañía.

Inicialmente, AT&T entregó al solicitante datos básicos como los del titular, su domicilio y la fecha de contratación del servicio, e indicó que para tener acceso a los metadatos, el solicitante tenía que acudir a un CAE:

“[Las] obligaciones que tienen los concesionarios de telecomunicaciones de cooperación con las Autoridades de Seguridad Nacional y la información que debe conservar y proporcionar a dichas autoridades en caso de ser requerida, NO así para ser compartida con los titulares. Sin embargo, dicha información, siendo el titular de la cuenta, puede ser requerida de forma personal en nuestros Centros de Atención de forma gratuita”.

Pese a esa indicación, en el CAE le negaron los datos bajo diversos argumentos que demuestran una falta de conocimiento del procedimiento de ejercicio del derecho de acceso a nivel de los representantes de la compañía, por lo menos en el centro de atención a clientes al cual acudió el solicitante.

Extracto de los metadatos que entregó AT&T al solicitante.
Extracto de los metadatos que entregó AT&T al solicitante.

Tras su insistencia, el 26 de febrero 2016 la empresa envió por correo electrónico la información, casi dos meses después de iniciada su solicitud. No obstante, lo que recibió el particular fue un documento en formato de texto plano de 755 páginas que contiene detalles generales de todas sus llamadas entre el 13 de septiembre de 2014 y el 26 de febrero de 2016 en un formato no entendible y que hacía uso de códigos y abreviaturas técnicas cuyo significado no se especificaba.

Además, el correo electrónico que contenía esa información fue enviado con copia a dos direcciones de correo electrónico de terceros. AT&T nunca aclaró a quienes pertenecían esos correos o con qué finalidad compartieron la información del solicitante.
El denunciante siguió su trámite inconformándose ante el INAI ya que los datos entregados no correspondían con la información que había solicitado, se encontraban en un formato incomprensible y habían sido compartidos con terceros desconocidos. Al respecto, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”) establece en su artículo 45 que:

[…] La solicitud de protección de datos también procederá en los mismos términos cuando el responsable no entregue al titular los datos personales solicitados; o lo haga en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos personales, el titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la información requerida.

Concatenado con lo anterior, el artículo 115 del Reglamento de la Ley de la materia indica:

El procedimiento de protección de derechos procederá cuando exista una inconformidad por parte del titular, derivada de acciones u omisiones del responsable con motivo del ejercicio de los derechos ARCO cuando:
I. El titular no haya recibido respuesta por parte del responsable
II. El responsable no otorgue acceso a los datos personales solicitados o lo haga en un formato incomprensible;
III. El responsable se niegue a efectuar las rectificaciones a los datos personales;
IV. El titular no esté conforme con la información entregada por considerar que es incompleta o no corresponde a la solicitada, o bien, con el costo o modalidad de la reproducción.

Solicitud de protección de derechos.
Solicitud de protección de derechos.

Por lo anterior, el 7 de marzo 2016 el solicitante inició un procedimiento de protección de derechos, el cual fue admitido bajo el expediente PPD.0050/16.

Su denuncia desencadenó un proceso de verificación que duró tres meses, durante los cuales el INAI solicitó en diversas ocasiones a AT&T información sobre el caso, así como los alegatos que considerara pertinentes para su defensa. De forma inusual, AT&T ignoró a la autoridad y no respondió a ninguna de sus comunicaciones. Tampoco respondió a la invitación para conciliar con el denunciante.

LA RESOLUCIÓN

El procedimiento de protección de derechos implicó un análisis de los hechos con base a los argumentos presentados, no habiendo duda de que AT&T es un sujeto obligado por la LFPDPPP, el INAI consideró en su resolución que el argumento principal de la compañía es que no está obligado a dar acceso a la información que señala el artículo 190 de la LFTR, ya que dicha información se relaciona únicamente con las obligaciones de los concesionarios de telecomunicaciones para la cooperación con instancias de seguridad y de procuración de justicia. En ese sentido, la LFTR y los Lineamientos de Colaboración en Materia de Seguridad y Justicia en su artículo 17, hacen referencia expresa a que los datos conservados se tratan de datos personales, ya que los mismos son datos que identifican o hacen identificable a una persona física, como lo dispone el artículo 3°, fracción V, de la LFPDPPP. El artículo 190 de la LFTR señala:

“Sin perjuicio de lo establecido en esta Ley, respecto a la protección, tratamiento y control de los datos personales en posesión de los concesionarios o de los autorizados, será aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares”.

De igual forma, en el Capítulo I de los Lineamientos de Colaboración en Materia de Seguridad y Justicia del Instituto Federal de Telecomunicaciones se especifica:

“Sin perjuicio de lo establecido en la LFTR respecto a la protección, tratamiento y control de los Datos Personales en posesión de los Concesionarios o de los Autorizados, así como de los proveedores de servicios y aplicaciones, es aplicable lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Las autoridades a que se refiere el artículo 189 de la LFTR, estarán sujetas a las disposiciones legales y administrativas que en materia de protección, tratamiento y control de Datos Personales resulten aplicables”.

Si bien el INAI encontró que el marco normativo analizado únicamente establece reglas especiales respecto del consentimiento, la cancelación y oposición de los datos personales, así como las finalidades a las que deben atenerse los concesionarios, como en este caso AT&T, determinó que en todo aquello que no exista una regla especial en la normatividad de telecomunicaciones, se deberá aplicar la LFPDPPP.

A juicio del pleno del INAI, se encuentra debidamente acreditado que AT&T no dio acceso a la totalidad de los datos personales que solicitó el denunciante y que, se presume, están en su posesión por tener que cumplir con el artículo 190, fracción 11, de la LFTR. Así mismo, la respuesta que AT&T envió el 26 de febrero de 2016 mediante correo electrónico no cumple con los requisitos establecidos en el artículo 45 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 98 de su Reglamento, en virtud de que AT&T no explicó los significados de las siglas, códigos y abreviaturas utilizadas en dicha respuesta.

Con base a lo anterior, el pleno del INAI dictaminó el 13 de julio lo siguiente:

  1. Que la información que señala el artículo 190, fracción 11, de la LFTR constituye “datos personales”.
  2. Que las respuestas otorgadas por AT&T incumplen los requisitos previstos en la LFPDPPP.

Como consecuencia de que los metadatos mencionados en el artículo 190 son considerados datos personales, los titulares tienen en cualquier momento el derecho a acceder a ellos y el acceso debe cumplirse otorgando una respuesta comprensible. Esto abre la posibilidad de que, de hoy en adelante, los clientes de las empresas de telecomunicaciones que operan en el país puedan ejercitar su derecho de acceder a sus metadatos de comunicaciones.

El INAI notificó el 10 de agosto a las partes sobre el sentido de la resolución y otorgó a AT&T un plazo de diez días para emitir una nueva respuesta a la solicitud de datos personales del particular. También inició un procedimiento de imposición de sanciones debido a que AT&T habría incurrido en conductas que presuntamente pudieran incumplir con alguno de los principios y disposiciones previstos en la LFPDPPP al actuar con negligencia en la tramitación y respuesta de la solicitud de acceso de datos personales. Anteriormente, el INAI había sancionado a empresas de telecomunicaciones por violación a la LFPDPPP.  En 2015 por ejemplo, Nextel fue multada por más de ocho millones de pesos por infringir la ley (véase expediente PS.0008/15 partes 1 y 2).

La resolución del INAI es un precedente importante, pues gracias a ella cada usuario puede conocer toda la información que los concesionarios de servicios de telecomunicaciones poseen sobre ellos, y por ende, todas las categorías de metadatos a los que puede acceder el gobierno a través de las instancias de seguridad, procuración y administración de justicia.

La incertidumbre, más allá de si estos dos artículos (189 y 190) son inconstitucionales o no, es que existen causas suficientes que pueden hacer suponer que el actuar de las autoridades no siempre es apegado a la ley. La desconfianza se da en el marco de una etapa donde México vive bajo constantes hechos de corrupción y una abierta penetración de las instituciones por el crimen organizado. Si los metadatos de algún usuario o grupo de usuarios – en particular sus datos de geolocalización – llegaran a caer en las manos equivocadas, fácilmente se podría deducir información muy delicada que pudiera revelar los hábitos, rutas, domicilios, lugar de trabajo, familiares y círculo cercano del titular. Incluso pueden inferirse datos personales sensibles como la preferencia sexual, creencias religiosas, afiliación política y hasta la condición médica, al observar por ejemplo, el historial de geolocalizaciones de algún usuario en particular.

By Valentín Fuentes

Valentín Fuentes fue Investigador Técnico del Programa de protección de datos “SonTusDatos” de la Asociación Civil “Artículo 12” entre agosto y diciembre del año 2016. Más información sobre Valentín: https://sontusdatos.org/staff/valentin-fuentes/.