Propuestas sobre el ‘‘Reglamento de usuarios de los servicios de radiocomunicaciones móviles’’

Octubre de 2013 – Comentarios sobre el Reglamento de Usuarios de Telefonía Móvil presentados por Fundación Via Libre, entregados a la CNC en el marco del programa de Consulta Pública Usá tu Voz.

1. Introducción

Fundación Vía Libre agradece la oportunidad de presentar comentarios al proyecto de “Reglamento de usuarios de los servicios de radiocomunicaciones móviles”. Creemos que los procesos de construcción participativa de normas redundan en favor de la equidad de la norma y contribuyen a que esta tenga en cuenta en su justa medida todos los intereses que confluyen en la prestación del servicio.

Nuestra preocupación se centra en la defensa de derechos fundamentales de las personas en el entorno de las tecnologías de la información y de las comunicaciones. En un contexto de rápida evolución de estas tecnologías, y de una creciente extracción de renta a partir del tratamiento de información (por ejemplo, mediante el seguimiento de los hábitos de consumo de los usuarios para dirigirles publicidad específica), se ponen en riesgo derechos fundamentales como aquellos relativos a la preservación de la esfera íntima. Véase, entre otros Simitis, Spiros. “Reviewing Pivacy in an Information Society”. University of Pennsylvania Law Review 135(3):707‐746, marzo 1987. Por la propia dinámica del uso de las tecnologías, sumada a la falta de adecuada comprensión de los riesgos por el público en general, y a acciones u omisiones de los prestadores de servicios que procuran sobre todo obtener las rentabilidades marginales que antes mencionábamos, existe una fuerte probabilidad de que los usuarios incurran en conductas que no habrían adoptado de haber procedido sobre una base informada.

Por otra parte, la introducción de nuevas tecnologías no está exenta de riesgos para los usuarios o para terceros, que el público en general no evalúa de manera completa por falta de información y por el deslumbramiento que las facilidades (reales o meramente percibidas) de la nueva tecnología aportan. Un moderno equipo terminal es una computadora con una notable complejidad, con recursos de hardware que igualan los de una computadora de escritorio o los superan. Por ejemplo, un dispositivo Samsung Galaxy S III combina un procesador de propósitos generales de cuatro núcleos a 1.4GHz (ARM Cortex‐A9) con un procesador gráfico dedicado (ARM Mali‐400) capaz de trazar 50 millones de triángulos por segundo, y una memoria principal de 2 gigabytes. Y estas computadoras, como cualquier otra, y el software que albergan (muchas veces liberado apresuradamente al mercado sin suficientes controles de fiabilidad), están sujetas a ataques que pueden derivar en serios perjuicios para su usuario, para terceros, o para la seguridad y estabilidad de las redes.

En este panorama, la intervención de la autoridad regulatoria es fundamental para garantizar el cumplimiento de estándares mínimos de protección de la privacidad y la seguridad de los usuarios. Estas protecciones deben ser, necesariamente, coherentes con el marco más general que proporcionan las leyes, la Constitución Nacional, y los instrumentos internacionales de Derechos Humanos.

Normas de protección de la privacidad

El proyectado reglamento es demasiado escueto respecto de las protecciones específicas de la privacidad de los usuarios, en particular con referencia a la protección de los datos personales y a las características del consentimiento previo, expreso e informado. En consecuencia, deja abiertas numerosas posibilidades de abuso. Al respecto, nos parece necesario regular taxativamente, al menos, los siguientes aspectos:

2.1 Conservación de datos.

La jurisprudencia Véase el fallo de la Corte Suprema de Justicia de la Nación en autos “Halabi, Ernesto c/Poder Ejecutivo Nacional ‐ ley 25.873 ‐ dto. 1563/04 s/ amparo ley 16.986”. H.270.XLII.REX. ha sostenido que los datos de tráfico, en tanto permiten identificar entre quiénes, cuándo, dónde y con qué extensión se produjo una comunicación, son datos personales y exigen la protección que la ley confiere a tales datos. Por otra parte, la ley establece que los datos personales deben ser conservados solo mientras fueran necesarios o pertinentes a los fines para los cuales hubieran sido recolectados.Artículo 4 inc. 7 Ley 25.326. B.O. 2/11/2000. En consecuencia, resulta necesario incorporar a la reglamentación una prescripción del siguiente tenor:

El Prestador tomará todas las medidas operativas, técnicas y de procedimiento necesarias para garantizar la adecuada protección de los datos personales de los usuarios. Los datos de tráfico en tanto permitan identificar directa o indirectamente las partes en una comunicación, se consideran incluidos en la categoría “datos personales”.

El prestador debe destruir los datos de tráfico inmediatamente de transcurrido el plazo establecido para que el usuario titular pueda reclamar errores de facturación. Si hubiera un reclamo, el Prestador conservará los datos correspondientes al período en disputa hasta tanto recaiga resolución definitiva sobre la cuestión.

El Prestador podrá conservar datos sobre tráfico para propósito estadísticos y de análisis de comportamiento de sus redes, siempre que estos, por sí o en correlación con otros cualesquiera, no permitan directa ni indirectamente identificar a ninguna de las partes en la comunicación.

En el mismo sentido, no hallamos razonabilidad en los plazos de conservación en soporte digital establecido en el artículo 25 del Proyecto. Si el contrato fuera objeto de contencioso por acción del Prestador luego de su finalización o resolución, el soporte digital carecerá de eficacia probatoria; si el accionante fuera el usuario, cuenta con una copia válida del contrato en su poder. Si no contara con ella, y no pudiera probar la existencia del contrato por otros medios, rige el principio ‘nemo auditur propriam turpitudinem allegans’. En lugar de este gravamen innecesario e ineficaz, resulta razonable exigir un plazo mínimo de conservación del soporte físico (cuya destrucción no es exigible), y una cláusula de protección de datos del siguiente tenor:

Transcurridos noventa días de finalizado el vínculo contractual, el Prestador deberá eliminar de sus registros informatizados todos los datos personales del usuario registrados en el contrato. Como excepción parcial, podrá conservar el nombre del usuario y su identificador (documento de identidad o identificador tributario) y los datos relativos a plazo y modalidades del contrato.

Finalmente, la protección de los datos personales requiere no solo un marco adecuado de salvaguardas técnicas sino también un marco jurídico acorde. El almacenamiento de datos en servidores fuera de la República Argentina, en jurisdicciones donde la protección de los datos personales es cualitativamente inferior y donde los terceros prestadores de tales servicios de almacenamiento están fuera del alcance de los tribunales locales, entraña riesgos adicionales. En sentido preventivo, lo más razonable aquí es la prohibición taxativa, admitiéndose excepciones:

Queda prohibido el alojamiento de datos personales en sistemas informáticos propios del prestador o de propiedad de terceros ubicados fuera de la República Argentina. Cuando por razones de mejor calidad de servicio el Prestador considerara necesario tal alojamiento remoto, que no constituya cesión, deberá solicitar autorización previa a la Autoridad de Aplicación, que no la concederá si la legislación del país de destino no contempla salvaguardas de protección de los datos personales al menos equivalentes a las vigentes en la República Argentina.

2.2 Cesión de datos personales.

La ley establece que la cesión a terceros de datos personales exige consentimiento previo, expreso e informado del titular de los datos. Art. 11 Ley 25.326, cit. Ahora bien, en la práctica, cuando se incluyen efectivamente cláusulas relativas a la cesión en los contratos, estas suelen ser de carácter genérico y suelen estar intercaladas entre otras previsiones contractuales, de modo tal que el consentimiento informado que la ley exige resulta absolutamente ficticio. Para que este derecho pueda ser efectivamente ejercido, es necesario incluir una prescripción del sentido siguiente:

Los datos personales de los usuarios no podrán ser cedidos a terceros sin autorización previa, expresa, informada y revocable de aquellos.

La autorización de cesión de datos personales debe hacerse por instrumento separado del cuerpo principal del contrato, que indique clara y taxativamente a quiénes y por qué motivo serán cedidos, con indicación de la razón social y el domicilio legal de cada uno de los cesionarios y de los fines con que estos tratarán los datos. La definición de “cesionarios” comprende también a matrices, subsidiarias, controlantes o controladas del Prestador, en tanto estas constituyan personas jurídicas independientes.

El mismo instrumento debe informar al usuario que puede revocar la cesión en cualquier momento y sin necesidad de expresar causa. El consentimiento no puede ser “en bloque”. el usuario tiene derecho a consentir la cesión a uno o más cesionarios y negarse respecto de los restantes. El instrumento, del que el usuario conservará copia, debe informar también que el prestador (cedente) es solidaria y conjuntamente responsable de cualquier uso indebido que el cesionario haga de la información cedida, y que se obliga a informar fehacientemente al usuario los cambios que se produzcan en los datos identificatorios de los cesionarios.

Queda prohibida la cesión a terceros domiciliados en el exterior.

La negativa a autorizar la cesión, así como la revocatoria de una autorización concedida, no pueden en ningún caso implicar negativa del Prestador a prestar el servicio, ni tarifas diferenciales respecto de otros usuarios que hubiesen autorizado la cesión.

2.3 Mensajes y servicios no solicitados

Los artículos 57 a 59 del proyecto se ocupan de “mensajes no deseados”. Como observación marginal, señalaremos que resultaría más lógico identificarlos como “mensajes no solicitados”, por cuanto el desearlos o no es una condición subjetiva imposible de determinar a priori, en tanto la condición de no haberlos solicitado es un hecho objetivo. Idéntica observación corresponde a la definición del artículo 2 del proyecto.

La redacción del segundo párrafo artículo 57 es algo confusa. En efecto, no queda claro qué es aquello que, en caso de no ser respondido por el usuario en un lapso de veinticuatro horas, implicará la negativa. Por otra parte, no queda claro si el Prestador actúa como intermediario en este proceso (en cuyo caso, de adoptarse las reglas sobre cesión del punto anterior, la cuestión se vuelve superflua) o los terceros que desean enviar mensajes publicitarios o comerciales actúan por sí mismos, en cuyo caso el Prestador resultaría inexigible (salvo por la grave infracción que importaría una cesión indebida). Resultaría conveniente una redacción más clara, por ejemplo:

La falta de respuesta afirmativa del usuario (…) a la solicitud que en tal sentido le curse el Prestador (…)

Para el caso de que los terceros actúen por sí mismos, resultará asimismo necesario incluir una previsión que permita al usuario solicitar al Prestador el bloqueo de recepción de llamadas de determinados orígenes. Por ejemplo:

El usuario puede solicitar al prestador que bloquee las llamadas o mensajes de carácter publicitario o promocional originadas por terceros sin intervención del Prestador. Este aplicará su mejor esfuerzo para identificar el origen de tales comunicaciones bloquearlas, respecto del usuario reclamante o de la generalidad de los usuarios, si determinase que se trata de un comportamiento generalizado por parte del originante.

Los artículos 60 a 62 se ocupan de las suscripciones a contenidos y aplicaciones. Independientemente del costo del servicio o aplicación, es también crítico identificar en estos casos qué datos del usuario son extraídos, y con qué propósito. En consecuencia, es pertinente agregar:

En el inciso a) Los datos del proveedor, incluyendo su razón social y domicilio legal;

Un nuevo inciso d) Los privilegios de acceso a los datos del usuario que el servicio requiere, los datos que extrae, el propósito con que serán tratados estos datos, y si tales datos extraídos serán cedidos a terceros, en cuyo caso deberán identificarse tales terceros y los propósitos con que tratarán los datos cedidos.

3. Seguridad

3.1 Seguridad del sistema operativo

Los equipos terminales son suministrados a los usuarios por los prestadores o por terceros legalmente autorizados. Un número significativo y creciente de estos equipos son los denominados smartphones, que se basan en distintas versiones de sistemas operativos, como Android con vulnerabilidades de seguridad conocidas y explotables para las cuales se han ha publicado actualizaciones que las remedian (“fixes”), pero que no han sido distribuidas a los usuarios por las prestadores o las empresas fabricantes de los dispositivos. Adicionalmente, los prestadores y los fabricantes de los equipos terminales introducen modificaciones no debidamente documentadas en los sistemas operativos que impiden a los usuarios realizar las actualizaciones por sí mismos.

Los smartphones que no reciben actualizaciones de seguridad regulares y oportunas son defectuosos e irrazonablemente peligrosos. El organismo federal de protección de los consumidores en los Estados Unidos (Federal Trade Commission), en un caso similar al que aquí planteamos, determinó que las vulnerabilidades de seguridad en los dispositivos pueden ser empleadas para “registrar y transmitir información ingresada al dispositivo o almacenada en él (…) para direccionar campañas de estafas (spear‐phishing), seguir o acechar digitalmente a las personas, y perpetrar fraudes que resultan en altos costos para los consumidores (…) [y abusar] funciones sensitivas de los dispositivos tales como su capacidad de registrar audio (…) para capturar detalles privados de la vida de una persona”. Véase Federal Trade Commission, ‘In the matter of HTC America Inc.’, F.T.C. No. 122 3049, pág. 6. Disponible en línea en http://ftc.gov/os/caselist/1223049/130222htccmpt.pdf (consultado 19 de abril de 2013).

Programas malignos (‘malware’) ampliamente distribuidos han explotado vulnerabilidades conocidas del sistema operativo Android para las cuales existían reparaciones publicadas por Google, pero que la mayoría de los dispositivos no había recibido al momento de la infección. Véase “An Update on Android Market Security”. Google Mobile Blog (5 de marzo de 2011), http://googlemobile.blogspot.com/2011/03/update‐on‐android‐market‐security.html (“Las aplicaciones sacaron ventaja de vulnerabilidades conocidas que no afectan a las versiones de Android 2.2.2 o superiores”.. Véase también Ryan Paul: “Google using remote kill switch to swat Android malware apps”. Ars Technica, 6 de marzo de 2011, http://arstechnica.com/gadgets/2011/03/google‐using‐remote‐kill‐switch‐to‐swat‐android‐malware‐apps/ (“Si bien Google puede desplegar software que deshará el daño provocado por el malware, la vulnerabilidad subyacente explotada por los atacantes no podrá ser resuelta tan fácilmente. Google dice que el defecto ha sido arreglado en Android 2.2.2 y posteriores, pero hay aún un gran número de usuarios en riesgo porque sus equipos corren una versión previa del sistema operativo. Google ha puesto a disposición un parche, pero corresponderá a las operadoras y a los fabricantes de equipos asegurarse de que ese parche se despliega. En vista de la pobre historia de la industria de la telefonía móvil respecto de la actualización de los teléfonos Android, es posible que esta falla continúe siendo explotable en un considerable número de equipos”.)

Suministrar equipos con vulnerabilidades conocidas y reparables al momento de la provisión, u omitir proporcionar las actualizaciones necesarias para el correcto funcionamiento del dispositivo, son actitudes cuando menos negligentes por parte de los proveedores que ponen a los usuarios en riesgo innecesario y perfectamente evitable. La norma, en consecuencia, debe contemplar esta obligación a cargo de quienes suministren los equipos terminales:

Los prestadores durante la duración del Contrato y sus prórrogas, y todo otro proveedor legalmente autorizado por un período de garantía no inferior a dos años o mientras dure el contrato de alquiler, cesión o comodato respectivo, deberán suministrar a los usuarios sin
sin cargo y a la mayor brevedad todas las actualizaciones de seguridad aplicables al sistema operativo del equipo terminal, con instrucciones detalladas y específicas que permitan al usuario aplicar la actualización.

Si debido a modificaciones en el sistema operativo introducidas por el fabricante, el Prestador o el proveedor legalmente autorizado resultara imposible para el usuario acceder normalmente a las funciones de administración requeridas para la instalación de las actualizaciones, el prestador o el proveedor legalmente autorizado, según corresponda, deberán realizar la instalación a solicitud del usuario y sin interrupción del servicio.

Cuando se conociese una vulnerabilidad en los equipos terminales para la que no estuviera inmediatamente disponible una reparación, el prestador notificará a los usuarios la existencia de la falla y los remedios transitorios existentes.

3.2 Seguridad de aplicaciones

Los problemas de seguridad no se agotan con el correcto mantenimiento del sistema operativo. Por una parte, funciones del propio sistema operativo introducen riesgos para el usuario y para terceros (en los que probablemente el usuario no hubiera incurrido si hubiese sido debidamente advertido de dichos riesgos), y por otro, las propias aplicaciones tienen fallas de seguridad explotables, o apropian datos de manera subrepticia o insidiosa.

Baste citar, como ejemplo, que las funciones de resguardo (back up) del sistema operativo Android, que equipa a la mayoría de los teléfonos celulares “inteligentes” existentes en el país, transfieren a Google, una corporación con sede en los Estados Unidos cuya colaboración con los organismos de inteligencia de dicho país es un hecho de público y notorio, todos los datos de acceso (incluyendo las contraseñas) a todas las redes WiFi a las que el usuario se haya conectado. Véase, por ejemplo, Horowitz, Michael “Google knows nearly every Wi‐Fi password in the world”. Computerworld, 12/9/2013; Rank, Christian ’Speicherung von Zugangsdaten auf Servern der Fa. Google’, IT‐Sichercheitsbeauftragte Universität Passau, 8/7/2013.

Estas cuestiones son complejas, porque es difícil alertar a los usuarios sobre los riesgos potenciales de cada aplicación que instalen, teniendo en cuenta además que en muchos casos tales acciones escapan a la órbita de responsabilidad estricta del prestador. Pero, por otra parte, es evidente que cuando el Prestador o un tercero legalmente autorizado proveen un equipo terminal, el usuario no es suficientemente informado de estos riesgos.

La información sobre la seguridad del equipo terminal debería proporcionarse a los usuarios en forma clara y precisa, pero la experiencia indica que la reiteración de alertas, o el suministrarlas impresas en un folleto que se entregue al usuario en ocasión de la provisión del equipo terminal, hace que a la larga terminen siendo ignoradas, más aún cuando en la práctica los agentes del proveedor no pueden dedicar tiempo suficiente a explicar estas cuestiones al usuario.

La Autoridad de Aplicación puede tomar aquí acción preventiva, probablemente a través de exigir a los prestadores la instalación en todo equipo terminal de una aplicación, de activación opcional y activada por defecto, que advierta al usuario sobre permisos excesivos de las aplicaciones instaladas.

Archivo