FOTO: video promocional de Telefónica sobre Smart Steps.

Telefónica del Perú vende ubicación de clientes y pone en riesgo su privacidad

FOTO: video promocional de Telefónica sobre Smart Steps.

Telefónica

La gigante de las telecomunicaciones a nivel global, comercializó al Estado Peruano los datos de ubicación de millones de clientes que se conectan a su servicio celular. Compañía española dice que información es anonimizada para resguardar la privacidad de sus usuarios, pero Ojo-Publico.com logró identificar a uno de los ciudadanos dentro de las bases de datos vendidas y explicó el caso a la Autoridad de Protección de Datos Personales.

8 Octubre, 2019

“Puede sonar aterrador que alguien te esté rastreando todo el tiempo”.
Ingeniero Tom Brealey de Telefónica 
en seminario sobre Smart Steps.

 

Telefónica de España, una de las compañías de telecomunicación más importantes a nivel global, aplica a través de su filial en Lima un moderno programa tecnológico de recolección de datos bautizado como Smart Steps (pasos inteligentes) que registra de manera automática e ininterrumpida la ubicación de millones de clientes que usan los celulares conectados a su red móvil. Según la multinacional, ellos anonimizan la identidad de las personas que aparecen en la base de datos que finalmente comercializan en el Perú y en otros 18 países de América Latina y Europa.

El programa Smart Steps es manejado desde España por una división de Telefónica llamada LUCA (Último antepasado común universal, por sus siglas en inglés Last Universal Common Ancestor), dirigida por Elena Gil Lizasoain, CEO de esta área, y José María ‘Chema’ Alonso, quien se encarga de la privacidad de los datos recolectados por la compañía. A nivel global, Telefónica acepta tener más de 340 clientes de este servicio, incluidos gobiernos locales en Argentina, Brasil, España y México, y empresas de publicidad en Europa.

ENCARGADO. El ingeniero español José María 'Chema' Alonso es el responsable de la privacidad de los datos recolectados por la compañía, según las políticas internas de Telefónica.
ENCARGADO. El ingeniero español José María 'Chema' Alonso es el responsable de la privacidad de los datos recolectados por la compañía, según las políticas internas de Telefónica.
Foto: El Mundo.

Ojo-Publico.com –en el marco del lanzamiento de la Iniciativa Funes, herramienta que analiza miles de contratos del Estado Peruano en los últimos años– descubrió tres contratos que Telefónica firmó con entidades públicas para proveerles datos de ubicación vinculada a sus clientes a nivel nacional. Con esta información en la mano, la Autoridad Nacional de Protección de Datos Personales (APDP) nos dijo que cualquier compañía se arriesgaba a una multa de S/420 mil aproximadamente (131 mil dólares) si es que la información comercializada y declarada como anónima permite identificar al usuario.

Entre 2017 y 2018, Telefónica del Perú firmó tres contratos con el Estado por un total de S/3.9 millones (más de US$1 millón): dos con PromPerú (encargada de la promoción de turismo y adscrito al Ministerio de Comercio Exterior y Turismo) por S/600 mil (187 mil dólares), y uno con la Autoridad Autónoma del Sistema Eléctrico de Transporte Masivo de Lima y Callao - AATE (del Ministerio de Transportes) por S/3.3 millones (US$1 millón). En estos casos, Telefónica entregó a dichas entidades bases de datos recopiladas con Smart Steps con información del recorrido de usuarios en Lima, Callao y otras cinco regiones del país.

Telefónica no solo vende esta información al Estado Peruano sino también al sector privado. Ojo-Publico.com identificó a Clear Channel, compañía de publicidad exterior y digital. En su caso, la empresa española le brinda un análisis de frecuencia y cantidad de personas que transitan cerca de sus soportes publicitarios, su edad, género y nivel socioeconómico. “Nos permite (...) segmentar de acuerdo a la industria, preferencia o afinidad que buscan nuestros anunciantes”, se dijo el gerente comercial de Clear Channel, Tommy Muhvic Pintar, en un video público de Telefónica.

CLIENTE PRIVADO. Telefónica recopila los datos de ubicación de sus usarios en una base de datos declarada como "anónima" . Uno de sus clientes privados es Clear Channel Perú.

CLIENTE PRIVADO. Telefónica recopila los datos de ubicación de sus usarios en una base de datos declarada como "anónima" . Uno de sus clientes privados es Clear Channel Perú. 
Foto: Telefónica.

En los últimos años, entidades de derechos digitales en Perú, EE.UU. y Europa han advertido que los gigantes de las telecomunicaciones como Telefónica amenazan la privacidad cuando recopilan la ubicación de sus clientes. Consultada para este reportaje, Telefónica respondió desde las oficinas de Lima y Madrid aceptando que sí recopilan y venden esta información a gobiernos y al sector privado, pero que Smart Steps tiene la “premisa de mantener la privacidad de sus clientes” vía “estrictos procedimientos de anonimización” y que no existe “un flujo de recolección de datos automático”.

Entidades como la Electronic Frontier Foundation (EFF) y expertos de universidades como Harvard y Princeton han advertido que las bases de datos supuestamente “anonimizadas” por empresas de comunicaciones pueden ser fácilmente re-identificadas. “[Aunque los] celulares entregan información de seguimiento a las empresas (...) esto no es motivo para rendirse en la defensa por la privacidad de nuestra ubicación”, alertaba ya hace diez años la EFF. 

“La literatura científica ha encontrado muchas formas de re-identificar personas en bases de datos anónimas. La ubicación del teléfono sí permite identificar con facilidad a una persona, especialmente si se cruza con más datos”, nos dijo el director de investigación y políticas públicas de la ONG Derechos Digitales de Chile, Juan Carlos Lara. “Existe un riesgo en el Big Data, que era la gran promesa detrás de Smart Steps, con la sola presencia de información que pueda re-identificar a una persona”, advirtió.

Consultados sobre los contratos suscritos con la compañía española en Lima, PromPerú dijo que “[Telefónica] se comprometió a proteger la privacidad de los ciudadanos (…) las bases de datos deben estar anonimizadas”; mientras que de la Autoridad Autónoma del Sistema Eléctrico de Transporte Masivo de Lima y Callao no hubo respuesta.

Ojo-Publico.com puso a prueba el proceso de anonimización de Smart Steps de Telefónica. Hoy revelaremos el caso del ciudadano peruano J.C.L., cliente de la empresa española en Lima a quien solo identificaremos con las siglas de su apellido.

Smart Steps en Lima y el ciudadano J.C.L.

A través de más de 21 mil antenas instaladas a nivel nacional, cuya ubicación es clasificada como información confidencial por el Estado Peruano, Telefónica recopila datos de sus usuarios cuando aquellos se conectan a Internet a través de sus celulares o interactúan con llamadas telefónicas o mensajes de texto, incluso cuando un usuario pasa de la zona de cobertura de una antena a otra con el dispositivo encendido. Entonces, de acuerdo a la propia versión de la compañía en eventos públicos, empieza un proceso automático de recolección de información, las 24 horas del día, los 365 días del año.

Luego, según Telefónica, la información acopiada por Smart Steps es almacenada en “una base de datos anónima y agregada”, siendo los registros agrupados en listas de por lo menos 10 personas, como medida de seguridad de la empresa para evitar la identificación de las más de 15 millones de líneas móviles en el Perú. Finalmente, la ubicación de las listas es guardada en bases de datos relacionales, que son transformadas en hojas de cálculo, según los requerimientos de los clientes que quieren pagar para acceder a dicha información.

TODOS LOS DÍAS. Las presentaciones comerciales de Telefónica, a través de su división llamada LUCA, indican que Smart Steps recopila información con la ubicación de sus clientes de manera automática, todos los días del año.

TODOS LOS DÍAS. Las presentaciones comerciales de Telefónica, a través de su división llamada LUCA, indican que Smart Steps recopila información con la ubicación de sus clientes de manera automática, todos los días del año. 
Foto: Luca / Telefónica.

Por ejemplo, Telefónica vendió a la Comisión de Promoción del Perú para la Exportación y el Turismo (PromPerú) y a la Autoridad Autónoma del Sistema Eléctrico de Transporte Masivo de Lima y Callao (AATE) tres bases de datos etiquetadas como “anonimizadas, agregadas y extrapoladas” con información recopilada por Smart Steps. Las hojas de cálculo a las que accedió Ojo-Publico.com detallan los traslados y recorridos de usuarios de la compañía en Lima, Callao y el sur (Cusco, Arequipa e Ica) y norte del país (Piura y Trujillo) durante tres meses entre los años 2016 y 2017.

Esta información entregada a PromPerú y a la AATE contienen el rastro de cientos de traslados en estas regiones. Aunque los nombres y apellidos de las personas que realizaron cada recorrido fueron eliminados por Telefónica de las bases de datos vendidas –a través de un procedimiento denominado hash– estas mantienen la siguiente información: rango de edad y género de la persona, nivel socioeconómico, origen y destino de su recorrido, así como la duración del viaje junto al mes y año en se realizó.

En el contrato de Telefónica con PromPerú, el procedimiento fue utilizado para analizar los patrones de movilidad de los turistas entre la capital y otras seis regiones del país; mientras que en el servicio prestado a la AATE el objetivo consistió en conocer el detalle de los viajes diarios de los ciudadanos de Lima y el Callao. “Los resultados del estudio [desarrollado por LUCA] nos permite ver cómo se mueve la gente en Lima”, explicó el director ejecutivo de AATE, Carlos Ugaz, en otro video de Telefónica.

TURISMO. Sabrina Muñoz, una de las trabajadoras de LUCA de Telefónica en Latinoamérica, presenta el servicio prestado a PromPerú como una experiencia de éxito de Smart Steps.

TURISMO.Sabrina Muñoz, una de las trabajadoras de LUCA de Telefónica en Latinoamérica, presenta el servicio prestado a PromPerú como una experiencia de éxito de Smart Steps. 
Foto: Movistar Chile.

En la información entregada a PromPerú, Telefónica registró a un grupo de usuarios de entre 30 y 39 años que tenían 58 traslados desde el distrito de Chorrillos (Lima) hasta la provincia de Yauyos en junio del 2017. Ojo-Publico.com, después de acceder a esta data a través de un pedido de transparencia hecho a PromPerú, indagó en redes sociales (en especial Instagram), y cruzó las pistas con el Registro de Identificación y Estado Civil (Reniec) y el Organismo Supervisor de Inversión Privada en Telecomunicaciones (Osiptel). Así llegamos a una persona que coincidía con el patrón señalado como anónimo por Smart Steps.

La persona que identificamos dentro de la base de datos entregada por Telefónica a PromPerú respondía a las iniciales J.C.L. Luego de ubicar su cuenta en Facebook, le escribimos, pero no obtuvimos respuesta. Sin embargo, conseguimos un teléfono fijo vinculado a dicha persona en las páginas blancas online de Telefónica, el titular de la línea era su pariente. Llamamos y finalmente, el pasado 20 de septiembre, ubicamos a la persona supuestamente anonimizada por la empresa española. Le dijimos que éramos periodistas, el interlocutor de la llamada confirmó su identidad y empezamos a contarle los detalles de nuestro reportaje.

Le contamos que Telefónica usa un programa llamado Smart Steps para recopilar datos de sus clientes para luego comercializarlos, aunque ellos dicen que la información es anonimizada. Le advertimos que aún así habíamos logrado ubicarlo. J.C.L. se mostró sorprendido cuando hicimos un recuento de sus viajes entre Chorrillos (su lugar de residencia) y Yauyos y las fechas de sus recorridos. Luego de reconocer la información que le brindamos, basada en lo vendido a PromPerú, J.C.L. nos dio el número de su celular y aceptó brindar una entrevista.

RECOLECCIÓN. Los datos de ubicación son recopilados por Smart Steps cada vez que los clientes de Movistar hacen una llamada, envían un mensaje de texto o acceden a Internet.

RECOLECCIÓN. Los datos de ubicación son recopilados por Smart Steps cada vez que los clientes de Movistar hacen una llamada, envían un mensaje de texto o acceden a Internet.
Captura: Luca / Movistar.

Una semana después, lo volvimos a llamar, pero ya más reservado, prefirió mantenerse en el anonimato y declinó el pedido de entrevista. En los minutos en los que hablamos, J.C.L. dijo ser consciente de que al publicar sus fotos en redes sociales (sobre todo en Instagram) el resto de sus contactos podía saber los lugares que visitaba, pero que nunca imaginó el nivel de conocimiento que Telefónica podría tener sobre sus recorridos diarios y menos que dicha información podía ser recolectada, tratada o vendida sin su consentimiento.

Casi en simultáneo, Telefónica nos dijo –en respuesta a un cuestionario sobre las operaciones de LUCA y Smart Steps– que ellos borran “toda información personal o sensible para que no exista identificación de las personas”, pues es “de vital importancia (...) resguardar y proteger la privacidad de nuestros clientes”. La multinacional además indicó que en las consultorías ejecutadas en base a la ubicación de su red móvil “no realiza tratamiento de información de usuarios individuales”.

Luego del ejemplo de desanonimización de J.C.L., uno de los tantos registros en la base de datos vendida a PromPerú, Ojo-Publico.com entrevistó a Eduardo Luna, jefe de la Autoridad Nacional de Protección de Datos Personales (APDP) para consultarle sobre las sanciones en este tipo de casos: “Si no tengo forma de identificar a ‘Juan Pérez’ [en una base de datos], no es una base que recoja datos personales. Si hay forma de identificar que ‘Juan Pérez’ esté en esa base de datos, esta sí sería de materia de competencia de la Ley de Protección de Datos Personales”. 

INVESTIGACIÓN. El jefe de la Autoridad Nacional de Protección de Datos Personales, Eduardo Luna, dijo a Ojo-Publico.com que una base de datos que permita identificar a un ciudadano está obligada a cumplir con la normativa peruana.

INVESTIGACIÓN. El jefe de la Autoridad Nacional de Protección de Datos Personales, Eduardo Luna, dijo a Ojo-Publico.com que una base de datos que permita identificar a un ciudadano está obligada a cumplir con la normativa peruana.
Foto: Ojo-Publico.com

“Si una entidad declara que cuenta con una base de datos anónima, pero en realidad no lo es, claramente está aportando información falsa a la APDP (...) califica como una infracción muy grave”, dijo Luna. La encargada de la Dirección de Fiscalización e Instrucción de la APDP, Olga Escudero Vílchez, además explicó que si es posible la re-identificación de una persona en una base declarada como anónima, la empresa se enfrenta a “posibles sanciones por incumplir los principios de finalidad y consentimiento, y posibles sanciones penales”.  

A la fecha, Telefónica registra una sanción de S/7.900 (US$2.400) emitida en 2016 por la misma APDP por no atender de manera oportuna “el ejercicio de los derechos del titular de datos personales”. Esta empresa además registró ante la APDP una base que recopila "los datos personales de los clientes" a través de formularios o contratos de servicio, aunque no indica si la misma recopila información de ubicación de sus usuarios.

Los contratos de telefonía móvil emitidos por esta empresa –bajo custodia del Osiptel desde 2016– solicitan consentimiento para tratar datos personales brindados “en la contratación del servicio, así como la información que se derive del mismo". Con estos datos, Telefónica crea “perfiles y ofertas comerciales personalizadas” para sus clientes. Todos estos documentos no hacen referencia a los datos recopilados por Smart Steps ni su posterior venta a entidades públicas y privadas.

No es la primera vez que una base de datos anónima es reidentificada, como mostramos en el caso del peruano J.C.L. Desde 2006, periodistas y académicos han puesto en evidencia que las bases de datos recogidas por operadoras de comunicaciones u otro plataformas no siempre garantizan el anonimato. El caso más conocido ocurrió en 2007 con la compañía de streaming Netflix. “No hay evidencia de que la anonimización funcione (…) promueve una falsa sensación de seguridad”, dijeron Edward Felten y Arvind Narayanan, de la Universidad de Princeton en 2014.

Telefónica: recopilamos data de “todos los clientes de Movistar”

Ojo-Publico.com pidió una entrevista con Telefónica en Lima a través de un cuestionario de preguntas sobre Smart Steps, pero solo nos enviaron un comunicado. Luego, recibimos una respuesta más detallada desde su sede en Madrid. En el documento, la compañía aceptó que recopila la ubicación de sus clientes “para proporcionar un servicio celular óptimo”. La recopilación incluye a “todos los clientes de Movistar” sin importar el servicio contratado, y el nivel de precisión “incluye varias cuadras” aunque “no se utilizan ubicaciones concretas sino zonas visitadas”.

Telefónica también dice que “no existe un ‘flujo automático’ de recolección de datos”. Sin embargo, esta respuesta es contradictoria. En el documento titulado “Uso inteligente de los datos de posición celular para medir el turismo doméstico en Perú”, elaborado el 2018 por funcionarios de PromPerú, en base a uno de los contratos con la compañía española, uno de los anexos dice que el proceso de recolección de la información de los clientes de Telefónica es “automático” antes de la anonimización.

CONTRATO. Telefónica utilizó su tecnología Smart Steps para brindar una consultoría sobre turismo a Promperú, entidad adscrita al Ministerio de Comercio Exterior y Turismo.

CONTRATO. Telefónica utilizó su tecnología Smart Steps para brindar una consultoría sobre turismo a Promperú, entidad adscrita al Ministerio de Comercio Exterior y Turismo.
Documento: Organismo Supervisor de las Contrataciones del Estado.

La multinacional precisó que “Smart Steps en Perú no está procesando eventos pasivos”. Esta versión también es contradictoria. En octubre de 2017 durante un seminario virtual de LUCA, dos trabajadores de Telefónica explicaron que esta tecnología también recoge información cada vez que un usuario se traslada de la cobertura de una antena a otra. “Una persona en particular no ha utilizado su teléfono (...) solo genera eventos pasivos cuando se mueve de un grupo [de antenas] a otro”, dijo Tom Brealey, uno de los empleados en dicho evento.

Finalmente, Telefónica dijo que sus procesos cumplen “con los altos umbrales regulatorios para la anonimización” y que incluso introducen “ruido aleatorio para dificultar aún más (...) la posibilidad de identificar un determinado usuario en un grupo concreto”. Los datos personales recopilados en Perú, continúa la empresa, son eliminados y reemplazados “por un identificador irreversible que impide recalcular datos de origen”.