Al menos 100 organismos de gobierno e instancias de seguridad realizaron 35,740 solicitudes para acceder a datos de las comunicaciones de los usuarios de telefonía en México o conocer su ubicación geográfica en tiempo real durante el primer semestre del 2016. La Procuraduría General de la República (PGR), la Fiscalía de Veracruz y la Procuraduría del Distrito Federal son las oficinas que más solicitudes realizaron, con 27% del total. La policía internacional Interpol, el instituto electoral de la Ciudad de México y las secretarías de Hacienda y de Comunicaciones y Transportes se encuentran entre las entidades que hicieron requerimientos a las operadoras.
Del total de las peticiones sobre los datos que conservan las compañías de sus clientes, 91.7% fue resuelto favorablemente, es decir que las operadoras entregaron la información solicitada, conforme a las reglas emitidas por el Instituto Federal de Telecomunicaciones el 2 de diciembre del 2015. Estas reglas también obligan a las entidades públicas a documentar en el Diario Oficial de la Federación (DOF) los nombres de las autoridades designadas para realizar requerimientos, pero a la fecha no se ha publicado ninguno.
Entre la información se incluye el nombre y dirección del suscriptor al que pertenece la línea; el tipo de comunicación (voz o datos), servicios de mensajería o multimedia; los datos necesarios para rastrear e identificar el origen y destino de las comunicaciones y otros servicios (número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago) y los datos para determinar la fecha, hora y duración de la comunicación.
Esta información se conoce como metadatos y a partir de su análisis se pueden construir patrones de conducta y deducir relaciones personales de los usuarios, como saber con quién se comunican y en qué momento, cuál es su círculo de contactos más íntimo, cuáles son sus rutinas de desplazamiento o dónde pasan la noche, cuándo salen de la ciudad y a dónde viajan.
Durante el periodo de enero a junio del 2016, Radiomóvil Dipsa (Telcel) fue la operadora que recibió más requerimientos de información, al sumar 25,757; seguida por AT&T, con 5,503, y Telefónica, con 4,116. De estas tres empresas, sólo Telcel entregó datos al 100% de los requerimientos; la firma española Telefónica lo hizo con el 92.75%, y la estadounidense AT&T (propietaria de Iusacell y Nextel) entregó datos al 53.41% de las peticiones.
Las instancias que pidieron más datos conservados a las operadoras fueron la Procuraduría General de la República (PGR) con 5,399; la Fiscalía General del Estado de Veracruz, con 2,460, y la Procuraduría General de Justicia del Distrito Federal (PGJDF) con 2,004, de acuerdo con un análisis realizado por El Economista a partir de documentación obtenida del IFT a través de una solicitud de información.
Pero no sólo autoridades de seguridad pública han solicitado información sobre las comunicaciones de los mexicanos. En los documentos entregados por el órgano regulador, al 31 de junio de 2016, se revela que institutos electorales, la Secretaría de Hacienda y gobiernos estatales pidieron datos y metadatos que fueron entregados, en la mayoría de las solicitudes, por las operadoras. En la lista también figura un organismo internacional, la Organización Internacional de Policía Criminal (Interpol), integrada por 190 países. Según los registros del IFT, esta organización realizó un requerimiento a Megacable, que respondió negativamente a la solicitud.
SOLICITUDES SOBRE COMUNICACIONES TELEFÓNICAS
La Ley Federal de Telecomunicaciones y Radiodifusión, promulgada por el presidente Enrique Peña Nieto en julio del 2014, permite a entidades de gobierno solicitar información a las compañías de telefonía de México sobre las comunicaciones de sus clientes, incluida la posición geográfica en tiempo real. Entre enero y junio del 2016, las autoridades realizaron 35,740 solicitudes.
Rastrean en tiempo real
De los 12 concesionarios de telecomunicaciones y proveedores de servicios que presentaron al IFT su reporte sobre la recepción de solicitudes de autoridades, sólo Telcel, Telefónica y AT&T señalaron haber recibido requerimientos para realizar rastreo de ubicación en tiempo real. Las tres compañías procesaron 2,269 solicitudes de este tipo durante el primer semestre del 2016. Telcel fue la que más requerimientos tuvo, con 1,888; en segundo lugar fue Telefónica, con 210, y en tercer lugar estuvo AT&T, con 171.
Telcel y AT&T fueron las únicas compañías que comunicaron al IFT el número de requerimientos de geolocalización a los que respondieron positivamente. La operadora que dirige Daniel Hajj Aboumrad entregó información de geolocalización de usuarios a todas solicitudes recibidas, mientras que la firma encabezada por Thaddeus Arroyo lo hizo en 90% de los casos. En el reporte de Telefónica no figura esta información.
Además de ser las instancias con mayor número de solicitudes, la PGR, la Fiscalía de Veracruz y la Procuraduría de la Ciudad de México también fueron las autoridades que más solicitaron datos de ubicación geográfica en tiempo real.
Las operadoras de telecomunicaciones en México están obligadas por los artículos 189º y 190º de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) a recopilar y resguardar durante dos años los datos y metadatos del uso que sus clientes hacen de sus líneas fijas y móviles, además de su posición geográfica en tiempo real, y a entregarlos a las autoridades de justicia en menos de 24 horas en caso de que les sean solicitados.
Los Lineamientos en Materia de Seguridad y Colaboración con la Justicia, las reglas publicadas por el IFT para cumplir con la LFTR, obligan a las compañías telefónicas a entregar reportes semestrales sobre el número de solicitudes recibidas, con los nombres de las autoridades designadas que realizaron el requerimiento, el tipo de comunicación solicitada y los requerimientos de localización geográfica en tiempo real, entre otros datos.
Los informes fueron obtenidos por El Economista a partir de una solicitud de información al IFT, bajo el amparo de la Ley Federal de Transparencia y Acceso a la Información Pública, puesto que esta información no ha sido publicada por el regulador en su sitio web, como también lo determinan los lineamientos.
Al borde de lo inconstitucional
En la resolución fechada el 4 de mayo del 2016 de un amparo presentado por la Red en Defensa de los Derechos Digitales (R3D), la Suprema Corte de Justicia de la Nación (SCJN) determinó que los metadatos están protegidos por el artículo 16º constitucional, por lo que sólo las instancias de seguridad y de procuración de justicia, previa autorización de un juez federal, pueden acceder a este tipo de información. Cualquier otro acceso sería inconstitucional.
Pero El Economista encontró que entre los solicitantes y receptores de información hay más que instancias de seguridad y de procuración de justicia. El Instituto Electoral del Distrito Federal (IEDF) realizó dos solicitudes de datos, una a la operadora Maxcom y otra a AT&T, pero sólo Maxcom entregó la información solicitada. La Junta Federal de Conciliación y Arbitraje realizó dos requerimientos a AT&T; el Gobierno de Colima lo hizo con Alestra; la Secretaría de Hacienda y Crédito Público (SHCP) realizó dos solicitudes a Telcel y una a AT&T, y la Secretaría de Comunicaciones y Transportes (SCT) hizo un requerimiento a AT&T en marzo.
El artículo 16º constitucional dice que: “La autoridad judicial federal no podrá otorgar estas autorizaciones cuando se trate de materias de carácter electoral, fiscal, mercantil, civil, laboral o administrativo”. Así, los requerimientos del IEDF, la JFCA o de Hacienda caerían en la inconstitucionalidad de no ser porque, en su mayoría, ocurrieron antes del pronunciamiento de la Corte, según explicó Carlos Brito, director de Incidencia de la organización no gubernamental R3D.
“Cuando la Suprema Corte hizo la sentencia hubo algo que es muy inusual: dijo que eran inconstitucionales a partir de la emisión de la sentencia. Y eso no ocurre todos los días. Cuando se establece la inconstitucionalidad del caso, siempre es inconstitucional y se generan efectos. Las solicitudes que se hicieron después del 4 de mayo del 2016 ya entran bajo otro régimen y sólo las procuradurías de justicia, las procuradurías estatales más la PGR, la Policía Federal y el Cisen pueden tener acceso a los datos resguardados. No los institutos electorales ni otras autoridades”, dijo Brito en entrevista.
Siguiendo el criterio, las solicitudes que Hacienda realizó a Telcel podrían ser declaradas inconstitucionales ya que fueron realizadas en mayo, según el reporte enviado por la compañía. El Economista buscó a la Secretaría de Hacienda para conocer su posición, pero al cierre de esta edición no se recibió respuesta.
“A nivel de industria se ha manifestado a la autoridad y al regulador que el tema de autoridades competentes quedó muy abierto, sin embargo Telcel revisa las facultades de las autoridades requirentes en Términos de los lineamientos”, comentó el equipo de prensa de Telcel en un pronunciamiento vía correo electrónico
Desde AT&T comentaron, también por correo electrónico: “Respecto a los Lineamientos en Materia de Seguridad y Colaboración con la Justicia, que rigen la colaboración de los concesionarios con las autoridades, AT&T reafirma que continuará con su política de respeto y cumplimiento del marco regulatorio en México. En AT&T tomamos muy en serio la privacidad de nuestros clientes; es un compromiso fundamental para la manera en que hacemos negocios a nivel mundial”. Telefónica México, que opera bajo la marca Movistar, no emitió respuesta.
La falta de claridad en la definición y controles sobre las autoridades que pueden solicitar los datos y metadatos de los usuarios de telecomunicaciones pavimentó el camino para que la mayoría de los requerimientos fueran otorgados sin autorización de un juez y a entidades ajenas a la seguridad. Carlos Brito advirtió: “Nosotros sabemos de muchos más, del INE [Instituto Nacional Electoral], el SAT [Servicio de Administración Tributaria], del Instituto de Migración, todo el mundo estaba muy feliz pidiendo esto”.
Consultado sobre si existe un registro sobre las autoridades facultadas y designadas para solicitar información, el IFT citó vía correo electrónico la resolución de la Corte y agregó: “Con relación a las autoridades designadas, es de señalarse que en términos del artículo 189º de la Ley Federal de Telecomunicaciones y Radiodifusión, las autoridades facultadas publican su designación en el Diario Oficial de la Federación, por lo que es consultable por el público en general”. El Economista no encontró dichas publicaciones en el sitio web del DOF.
Una incertidumbre prevista
Antes de la publicación de los lineamientos, el sector privado ya preveía esta incertidumbre, e incluso la Asociación Mexicana de Internet (Amipci) propuso al IFT la creación de un sitio con acceso restringido a los operadores y a autoridades de seguridad y justicia donde existiera el registro de cada una de las autoridades designadas y su fecha de consignación en el DOF. Pero esto no ocurrió.
“No hay una lista concreta y es caso por caso. Y en cada uno la autoridad tiene que justificar para acreditarse como autoridad facultada y haber definido a una autoridad designada. Vamos a seguir insistiendo que haya una lista porque va a dar certidumbre y no dependemos de la interpretación de la ley ya sea de la dependencia o de nosotros mismos”, dijo Ángel Martínez, vicepresidente de Infraestructura de la Amipci
Con la publicación de los Lineamientos de Colaboración en Materia de Seguridad y Justicia en diciembre del año pasado, como parte de la reforma a la Ley Federal de Telecomunicaciones y Radiodifusión impulsada por el presidente Enrique Peña Nieto, el IFT facilitó a las autoridades el acceso a la información de las comunicaciones de los usuarios. Tanto el sector privado como los defensores de la privacidad, la libertad de expresión y de los derechos digitales han advertido que las reglas posibilitan que prácticamente cualquier autoridad tenga acceso a la información de los usuarios, en un contexto donde entidades de los distintos niveles de gobierno habían intervenido las comunicaciones de periodistas y activistas utilizando tecnología de empresas como Hacking Team, Gamma International o NSO Group.
Se trata de un escenario donde los más desprotegidos son los usuarios de las telecomunicaciones en México, que se encuentran expuestos al escrutinio de las autoridades y ni siquiera existe la obligación de notificarles de que su información fue solicitada por un tercero.
¿QUÉ SE PUEDE HACER CON LOS DATOS DE LAS COMUNICACIONES DE TELEFONÍA?
Los datos y metadatos de las comunicaciones de telefonía son información que identifica el uso de la línea. La regulación mexicana contempla por lo menos ocho conjuntos informativos, desde el nombre y la dirección del usuario, hasta las características técnicas del dispositivo. A partir del análisis de datos y metadatos se puede:
