A finales de octubre de 2017 entró en vigencia la providencia administrativa Nº 171 de la Comisión Nacional de Telecomunicaciones de Venezuela, una regulación que, escondiéndose tras el traje de una norma técnica, reviste las características de una ley de retención de datos personales sin haber pasado por los controles legislativos necesarios en la regulación de un derecho humano básico como la privacidad. Durante los doce años anteriores, la retención de datos de telefonía en Venezuela se rigió por la brevísima Providencia Nº 572 del 21 de marzo de 2005, la norma en la que CONATEL estableció la información a requerir en el acto de la contratación de una línea telefónica, creando así un sistema de registro obligatorio de tarjetas SIM, tan normalizado que nadie en el país cuestiona que esta práctica pudiera llevarse a cabo de otro modo. Durante la última década, en Venezuela ha sido obligatorio consignar el documento de identidad, la firma, la impresión dactilar, el nombre completo y el domicilio del contratante para poder acceder a una línea telefónica, móvil o fija, sin haberse establecido jamás parámetros mínimos de protección con respecto a la captación, almacenamiento y manipulación de estos datos.
La providencia administrativa 171 aumenta esta larga lista de datos, los draconianos requisitos del Registro Único de Información Fiscal del contratante, su dirección de correo electrónico y una foto digital de su rostro, tamaño carnet, que debe ser tomada en el sitio de la transacción. Para que un extranjero no residente pueda contratar una línea telefónica debe proporcionar, además de la copia de su pasaporte, su correo electrónico, su firma, huella digital y fotografía, y una factura a su nombre que refleje la dirección en que se hospeda en Venezuela. Además de aumentar la cantidad de datos recabados, incrementa también los plazos de retención de estos datos: de los dos años desde la fecha de obtención (en físico) y tres meses luego de la extinción del contrato (en digital) que establecía la providencia 572, al absurdo y desproporcionado plazo de cinco años después de la finalización del contrato. Esta norma sitúa a Venezuela -junto a Colombia- entre los países con períodos de retención de datos más largos en Latinoamérica. Cabe recordar, por ejemplo, que la ley Nº 25.873 de Argentina, que establecía un plazo de retención de diez años -el mayor en existir jamás en la región- fue declarada inconstitucional justamente por violar los principios de legalidad, necesidad y proporcionalidad. Si bien el período de retención no es, ni remotamente, el único problema de la providencia administrativa 171, es necesario destacar cuán excesivos son los tiempos fijados, siendo que, además, se incide en una falla que es extensiva a la región, en lo que se refiere a la fijación de plazos mínimos para la retención de los datos, pero no de plazos máximos, lo que, en la práctica, genera toda clase de abusos tanto por parte de las autoridades como de las empresas de telecomunicaciones.
Más captahuellas, más datos
Añadiendo al texto apenas un par de palabras, la providencia 171 cambia radicalmente la naturaleza de las bases de datos de usuarios de telefonía en Venezuela: la inmensa cantidad de información que acumulan las operadoras telefónicas ahora debe estar digitalizada, y sus huellas dactilares serán tomadas “mediante un dispositivo analizador o lector biométrico”, generando así bases de datos biométricos redundantes que vienen a sumarse a las bases de datos de los sistemas electorales y alimentarios. En cuanto respecta a las condiciones mínimas de seguridad en el almacenamiento y tratamiento de estos datos, la providencia solo señala que estas condiciones deberán ser definidas por los operadores del servicio y los órganos de seguridad del Estado, despojando así a los usuarios de toda protección a la privacidad de sus datos personales.
Igualmente, la norma crea un registro de números IMEI e IMSI, bajo la denominación de “registro de los abonados”, que en efecto son tres registros que se intersectan: el de los usuarios, el de los números IMEI y el de los números IMSI, cuya combinación permitirá, por ejemplo, cumplir con el requisito de la existencia de un registro histórico sobre la titularidad de una determinada línea telefónica, donde se comprenda el registro de ventas y traspasos.
El código IMEI identifica a un dispositivo en concreto, y en aquellos países donde existe un registro obligatorio, quienes lo impulsan suelen justificar su necesidad bajo la excusa de poder rastrear la red para identificar a la persona que está usando un determinado dispositivo, y bloquear el acceso del usuario al sistema. Por su parte, el número de IMSI (international mobile subscriber identity) identifica a la línea telefónica y es utilizado para determinar la red a la que pertenece el número y en consecuencia, para enrutar las llamadas. El IMSI no está atado a la tarjeta SIM, sino a la línea telefónica. La combinación de ambos, el IMSI y el IMEI, permite a las operadoras de telefonía identificar y localizar con rapidez a un determinado usuario, dispositivo y línea telefónica, que en este caso se encuentra asociado a un conjunto de datos personales del usuario (desde su dirección hasta su rostro).
Así, en la práctica, esta norma crea un sistema de “lista blanca” de registro de IMEI, es decir, los clientes solo podrán usar dispositivos que hayan sido registrados ante la compañía de telecomunicaciones. La providencia establece una serie de plazos para adecuar los sistemas al cumplimiento de estos requisitos: 120 días para adecuar los dispositivos de captación de datos (entiéndase, para implementar lectores biométricos y dispositivos de digitalización de firmas), 120 días más para adecuar las bases de datos correspondientes, y un último plazo de 120 días, tras el cual deberán suspender el servicio a los abonados que no hayan actualizado sus datos.
No conforme con esto, la norma establece la obligación por parte de los operadores de telefonía de llevar registros sobre los servicios de datos (con las direcciones IP de emisión y recepción, la fecha y hora de conexión y las coordenadas geográficas de la misma), de recarga de saldo (a través de tarjetas prepagadas, plataformas bancarias o portales web) y de llamadas y mensajes de texto (fecha, hora y duración de la comunicación, números telefónicos que originan y reciben la comunicación, coordenadas geográficas). En todos los casos se obliga a los operadores a tener esta información “a disposición” de los órganos de seguridad del Estado, sin establecer ningún tipo de control previo o requisito de orden judicial para acceder a ellos, e incluso sin identificar con precisión qué entes o instituciones se encuentran dentro de la categoría de “órganos de seguridad”.
En ocasiones anteriores hemos alertado sobre los peligros de la creciente capacidad de los gobiernos para acumular y manejar datos sobre las comunicaciones de sus ciudadanos, con la excusa de proporcionar una mayor seguridad, y bajo el argumento falaz de que los datos sobre las comunicaciones son menos sensibles que la comunicación misma. Lo cierto es que la suma de datos personalísimos y de metadatos comprendidos en esta serie de registros puede permitir a las autoridades y a los operadores saber más sobre el comportamiento de un usuario que una comunicación aislada, puesto que permite determinar patrones en sus hábitos, e identificarlo sin sombra de duda. Este factor, sumado a la carencia absoluta de protecciones legislativas o técnicas que protejan al usuario de manejos inadecuados de su información personal por parte del personal de las operadoras telefónicas, o por los propios órganos de seguridad del Estado, deja a la población en un estado de precariedad absoluto frente a la tutela de su derecho básico a la privacidad, y por ende de su libertad de expresión, comunicación y asociación.