Además de pactos con empresas dedicadas al espionaje (primera parte de este reportaje), dependencias estatales y juzgados exigieron a empresas de telecomunicaciones, a veces de forma ilegal, que entregaran datos, conversaciones y hasta los desplazamientos de sus clientes. El problema: en casi ninguno de los casos se aclaró cómo se utilizó la información. Todo en un contexto en el cual en México los datos personales tienen precio, y según especialistas en el tema, frecuentemente van a parar a manos del crimen organizado.
Por Eduardo Pérez Arroyo
Morelia, Michoacán.- Los poderes Ejecutivo y Judicial de Michoacán espiaron a sus ciudadanos.
Así lo establecen documentos en poder de este medio, que comprueban que la Procuraduría General de Justicia del Estado (hoy Fiscalía) y algunos jueces ordenaron a empresas de telefonía entregar conversaciones privadas, rutas, contactos y otros datos sensibles.
Esos mismos datos se transan en el mercado dado el interés de miles de empresas de atraer consumidores. El precio es público y conocido desde el informe denominado “Estudio sobre el valor económico de los datos personales”, publicado en junio del 2016 por la Secretaría de Economía.
Lo peor, sin embargo, es que nadie sabe hacia dónde van a parar finalmente esos datos.
En la práctica información como la firma electrónica, domicilio, teléfono particular, número de tarjeta de crédito, estado civil, nombres de los hijos, referencias laborales, trayectoria educativa, reconocimientos, aficiones y pasatiempos, deportes practicados, juegos de interés, salidas y entradas del país, ingresos, información fiscal, tipo de sangre, estatura, color de cabello u ojos, e incluso las cicatrices en el cuerpo, entre otros datos, pueden perfectamente llegar a manos del crimen organizado.
La lista de la información descrita en el párrafo anterior aparece en el informe de la Secretaría de Economía, junto al precio promedio que cualquiera debe pagar por obtenerlos.
Y mientras tanto, dependencias públicas de todo el país, incluido Michoacán, manejan delicadas listas de información de los habitantes.
Para la agrupación R3D, dedicada a la defensa de los derechos humanos en el entorno digital, la situación es de extrema gravedad.
“El creciente uso de tecnologías digitales por parte de la ciudadanía, en particular de teléfonos móviles, ha provocado un gran interés en las autoridades por adquirir capacidades legales y tecnológicas para acceder a la gran cantidad de datos que el uso de dichos dispositivos arroja. El acceso al contenido de las comunicaciones de una persona, así como el análisis de los datos de localización o el historial de comunicaciones de los usuarios de telecomunicaciones, otorga al Estado un alto poder invasivo y control sobre la persona vigilada”.
La agrupación agrega que muchos casos se tratan de interferencias que persiguen fines legítimos como la investigación de delitos graves. Sin embargo, agrega, “es claro que existen riesgos inherentes de abuso”.
La situación está parcialmente amparada en la legislación vigente. El artículo 190, Fracción II de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR), obliga a las empresas que prestan servicios de telecomunicaciones a conservar por 24 meses datos sensibles de los clientes. Entre la lista, los más destacados son:
- Nombre, denominación o razón social y domicilio del suscriptor.
- Tipo de comunicación (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluidos el reenvío o transferencia de llamada) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia y avanzados).
- Datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil: número de destino, modalidad de líneas con contrato o plan tarifario, como en la modalidad de líneas de prepago.
- Datos necesarios para determinar la fecha, hora y duración de la comunicación, así como el servicio de mensajería o multimedia.
- Además de los datos anteriores, se deberá conservar la fecha y hora de la primera activación del servicio y la etiqueta de localización (identificador de celda) desde la que se haya activado el servicio.
- En su caso, identificación y características técnicas de los dispositivos, incluyendo, entre otros, los códigos internacionales de identidad de fabricación del equipo y del suscriptor.
- La ubicación digital del posicionamiento geográfico de las líneas telefónicas.
- La obligación de conservación de datos, comenzará a contarse a partir de la fecha en que se haya producido la comunicación.
“Sin embargo”, indica el informe, “este tipo de obligaciones de conservación obligatoria de datos ha sido rechazada por organismos internacionales de protección de derechos humanos como la ONU y tribunales como el Tribunal de Justicia de la Unión Europea, en tanto este tipo de registros constituyen una interferencia masiva e indiscriminada en la privacidad de millones de personas, lo cual no se adecúa a los principios de necesidad y proporcionalidad”.
Pero a las instancias públicas poco les importan esas limitaciones.
Según estableció la Suprema Corte de Justicia de la Nación, solo están facultadas para intervenir comunicaciones privadas el titular de la Procuraduría General de la República y los procuradores de las entidades federativas; la Policía Federal y Centro de Investigación y Seguridad Nacional (hoy Centro Nacional de Inteligencia, CNI). Cualquier autoridad distinta a las mencionadas está legalmente impedida para realizar medidas de vigilancia.
No es el único filtro. El artículo 16 de la Constitución mexicana exige que toda intervención de comunicaciones privadas debe ser autorizada por autoridades judiciales federales y sustentarse en causas completamente fundadas.
Pero ese mandato es letra muerta.
En la práctica: en Michoacán, como en el resto del país, policías, jueces y otros estamentos tienen acceso directo y sin dificultad a lo que cualquier ciudadano conversó, acordó, pactó o criticó en privado con familiares o amigos.
LAS CIFRAS
Según el informe El estado de la vigilancia fuera de control, publicado en noviembre del 2016 por R3D, solo durante el primer semestre de ese año la Procuraduría General de Justicia del Estado de Michoacán (hoy Fiscalía) envió 354 solicitudes de acceso a la información a empresas de telecomunicaciones, y dos geolocalizaciones en tiempo real. En el portal de Transparencia del Gobierno del Estado de Michoacán aparecen registradas 543 en el año 2016.
Fuente: “El estado de la vigilancia fuera de control”.
Ante las solicitudes de la autoridad, las empresas de telefonía optaron por la obediencia casi absoluta. A nivel nacional Telcel no negó ninguna, y entregó el 100% de los datos requeridos. En contraste, AT&T negó el 46% y Movistar el 7.99% (Megacable también negó el 63 %, pero solo recibió 115 solicitudes; mucho menos, por ejemplo, que las 25 mil 743 que recibió Telcel).
Fuente: “El estado de la vigilancia fuera de control”.
Para 2018 la cifra de datos solicitados en Michoacán aumentó considerablemente. Según el informe “¿Quién no defiende tus datos? La opacidad de la colaboración de empresas de telecomunicaciones en materia de seguridad y justicia”, también de R3D, ese año la PGJE realizó 2 mil 385 solicitudes a las empresas, de las cuales solo se negaron 27. El portal de Transparencia solo registra 31.
Fuente: “¿Quién no defiende tus datos? La opacidad de la colaboración de empresas de telecomunicaciones en materia de seguridad y justicia”.
Lo irregular del asunto fue que tres de esas solicitudes –las tres a la empresa Megacable– fueron iniciadas por el Tercer Juzgado Familiar de Morelia, que según la ley no está autorizada para realizarlas.
Según R3D, el hecho de perseguir fines legítimos no excluye de riesgo a la población, básicamente porque ninguna instancia cumple la ley que obliga a informar acerca del tipo de información que se requirió.
El artículo 70 de la Ley General de Transparencia y Acceso a la Información Pública establece en su Fracción XLVII que:
“la Ley Federal y de las Entidades Federativas contemplarán que los sujetos obligados pongan a disposición del público y mantengan actualizada, en los respectivos medios electrónicos, de acuerdo con sus facultades, atribuciones, funciones u objeto social, según corresponda (…) el listado de solicitudes a las empresas concesionarias de telecomunicaciones y proveedores de servicios o aplicaciones de Internet para la intervención de comunicaciones privadas, el acceso al registro de comunicaciones y la localización geográfica en tiempo real de equipos de comunicación, que contenga exclusivamente el objeto, el alcance temporal y los fundamentos legales del requerimiento, así como, en su caso, la mención de que cuenta con la autorización judicial correspondiente”.
De esta manera, en teoría cada vez que alguna instancia gubernamental recibe datos de los michoacanos debe publicarlo.
Pero el informe de R3D es lapidario:
“se evaluó el cumplimiento de las obligaciones de transparencia expresadas en el artículo XLVII de dicha Ley por parte de las autoridades facultadas en el ejercicio de la vigilancia. A partir de la observación de cuatro criterios expuestos en detalle a continuación, podemos concluir que ninguna de las autoridades facultadas en el ejercicio de la vigilancia cumplió a cabalidad con las obligaciones de transparencia”.
Los números no mienten.
Según el análisis, la entonces PGJE solo cumplió parcialmente en el ítem “Información publicada en la Plataforma Nacional de Transparencia y en Portal de autoridad”; no cumplió en absoluto en “Información actualizada”; sí cumplió en “Información publicada cumple con el formato”; y resultó deficiente en el ítem “Otras Irregularidades”.
El informe indica explícitamente que
“resulta especialmente preocupante que la Procuraduría General de Justicia de Michoacán (…) optó por reservar la información relativa a la obligación de transparencia prevista en el artículo 70 XLVII de la Ley General, situación que resulta contraria a lo previsto en la legislación y con los principios de máxima publicidad y transparencia”.
En pocas palabras:
el estado de Michoacán no explica a nadie qué hace con la información que recaba sobre sus ciudadanos.
En entrevista en junio del 2018 con el periódico El Economista, Luis Fernando García, director de R3D, aseguró que “las normas sobre la transparencia respecto de la vigilancia en México están muy bonitas en la ley, pero en la realidad no han significado un ensanchamiento de la transparencia, ni han sido cumplidas”.
Para el especialista, “las autoridades ejercen este tipo de facultades sin rendir ningún tipo de cuentas, lo que fomenta condiciones en las que el abuso de las medidas de vigilancia, como son la intervención de comunicaciones privadas, la solicitud de información de usuarios a empresas de telefonía y la geolocalización en tiempo real”.
EL PELIGRO REAL
El hecho de que policías, jueces y dependencias estatales y federales tengan en su poder información altamente sensible de sus ciudadanos implica un peligro real y muy grave.
Es más: la información tiene precio y en el “Estudio sobre el valor económico de los datos personales” la Secretaría de Economía los dio a conocer.
En 2016 el precio más alto que pagaban empresas y particulares por los datos de los mexicanos correspondía a la firma electrónica, por un total de $235. Otros datos costosos eran la firma autógrafa ($232), el domicilio ($230) y el teléfono particular ($220).
Fuente: “Estudio sobre el valor económico de los datos personales”
Pero según el estudio las empresas y particulares también requerían otros datos, muchos que a primera vista pudieran parecer absurdos. En la página 186 aparece el precio de información relacionada con el entretenimiento personal de los mexicanos, como “Principales temas consultados en la Web” (en venta a $158), “aficiones”, “pasatiempos” y “juegos de su interés”.
Fuente: “Estudio sobre el valor económico de los datos personales”
Pero también se transa información altamente sensible. En la página 187 el estudio grafica el precio de aspectos como números de tarjetas de crédito, información fiscal, ingresos, egresos, bienes inmuebles, afores, seguros, nivel socioeconómico y cantidad de dependientes.
Fuente: “Estudio sobre el valor económico de los datos personales”
La venta de datos personales en tianguis, mercados reales o virtuales y plazas públicas tiene larga data en México.
En 2012 el periódico La Razón descubrió que en las calles de Tepito se vendía por 15 mil pesos una base de datos con el padrón electoral que incluía nombres, direcciones, sección electoral y la clave de elector de los ciudadanos registrados ante el entonces Registro Federal de Electores.
Meses más tarde Excélsior comprobó que el mismo padrón se vendía en la Plaza de Santo Domingo.
“Desde 2009 se ve este fenómeno” explicó entonces a Excélsior Alberto Nava, especialista en delitos informáticos del Instituto Nacional de Ciencias Penales (Inacipe). “En México las grandes bases de datos no están protegidas como debiera ser, de modo que se venden en el mercado negro”.
Y más recientemente, en octubre de 2018, la Fiscalía Especializada para la Atención de Delitos Electorales (Fepade) y la Agencia de Investigación Criminal (AIC) aseguraron una base de datos con información de la Lista Nominal de Electores que estaba a la venta por internet.
A su vez, el “Estudio sobre el valor económico de los datos personales” reporta que en México está prohibida la comercialización de bases de datos sin la autorización expresa del titular de los datos, pero existe un mercado creciente de venta ilegal de bases de datos, generadas tanto por dependencias del sector público como por empresas privadas, especialmente del sector financiero.
“Dentro de las principales bases de datos del sector público que potencialmente se comercializan en mercados ilegales se destacan las listas de los padrones electorales del Institución Nacional Electoral (antes Instituto Federal Electoral), incluyendo información del nombre, dirección, fecha de nacimiento, ocupación y clave electoral, los registros de la Policía Federal y números de registro en el Instituto Mexicano del Seguro Social (IMSS).
“En el caso del sector financiero, se destacan bases de datos de clientes bancarios segmentadas por perfiles, número de cuenta, nombre, dirección, teléfono particular y laboral, ocupación y lugar de trabajo”, indica el reporte.
Y en Michoacán el problema de la información personal que va a dar a manos de particulares de cualquier tipo deja de ser abstracta cuando se producen situaciones completamente reales.
Alberto, un moreliano que pide reserva de su identidad, asegura que “sí me llaman, como mínimo, tres veces al día. A veces mucho más. Un día me llamaron 17 veces… En este mismo instante, producto de que me compré un carro, me llaman a diario los idiotas (SIC) de Seguros BBVA”.
El afectado también asegura que una vez recibió una llamada de un hombre que intentó extorsionarlo comunicándole que había capturado a uno de sus hijos.
Lo corrobora otro testimonio, el de Santín.
“Me han hablado para ofrecerme publicidad de algún producto del que hablamos en alguna reunión con amigos o del que escribimos por Whatsapp. Mi impresión es que nos vigilan de cerca”.
En tanto, los últimos esfuerzos de los gobiernos federales por establecer padrones confiables de datos fueron una muestra de las fallas de cualquier sistema en México.
En 2009 el entonces presidente Felipe Calderón Hinojosa creó el Registro Nacional de Telefonía Móvil (Renaut), que implicó que millones de mexicanos dieran a conocer su CURP a las autoridades. En 2012 la Secretaría de Gobernación de Enrique Peña Nieto admitió que el Renaut iba a morir por duplicidad de CURPs, robo de datos y “registros endebles”.
La realidad es que México completo, y entre ellos el estado de Michoacán, parecen incapaces de manejar con acierto los datos más sensibles de los ciudadanos. Pero en lugar de actuar con cautela, el número de solicitudes de datos a las empresas de telefonía parece ir en aumento.
Hoy las erráticas –y en muchos casos ilegales– acciones de jueces y policías parecen la mejor receta para poner en peligro permanente a los ciudadanos.
Lee la primera parte de este reportaje aquí.
