Il rapporto 2021 di InternetLab “Chi difende i tuoi dati Brasile” mostra miglioramenti nelle pratiche sulla privacy degli ISP brasiliani, ma le lacune rimangono

Secondo InternetLab del 2021, Quem Defende Seus Dados? Report " (" Chi difende i tuoi dati? )". Pubblicato oggi, il rapporto è la sesta valutazione annuale dell'adesione dei fornitori brasiliani ai criteri delle migliori pratiche che esaminano se stanno facendo del loro meglio secondo la legge per proteggere gli utenti quando le forze dell'ordine richiedono le loro informazioni personali, difendere i diritti alla privacy in tribunale e nelle loro posizioni di ordine pubblico e divulgare pubblicamente informazioni sulla raccolta dei dati degli utenti, le richieste del governo per i dati degli utenti e altro ancora.

InternetLab ha valutato sei fornitori in questa edizione, che detengono tutti almeno l'1% del mercato della telefonia in Brasile e ha esaminato sia i servizi mobili che quelli a banda larga. Brisanet, uno dei principali fornitori indipendenti, è stata valutata per la prima volta, mentre Sky è stata abbandonata, così come Nextel, che è stata incorporata in Claro dopo essere stata acquisita da América Móvil, la società madre di Claro.

Il provider di telecomunicazioni TIM, di proprietà di Telecom Italia SpA, ha ricevuto quest'anno il punteggio più alto, così come lo scorso anno. I suoi servizi mobili ea banda larga hanno ricevuto pieno credito per aver soddisfatto gli standard in quattro delle sei categorie e il 75% di credito per una quinta categoria. Claro Mobil e NET, entrambe parte di América Móvil, sono state al secondo posto, con stelle piene in quattro categorie e un quarto di stella in una quinta, mentre Vivo ha ottenuto stelle piene in tre categorie, tre quarti di stella in una quarta e mezza stella in un quinto. Algar ha apportato lievi miglioramenti rispetto ai punteggi dell'anno scorso, con una stella piena, una ¾ stella e una mezza stella, mentre Brisanet Mobil e Brisanet Broadband sono arrivate ultime, guadagnando una mezza stella in una sola categoria.

Come evidenziato da Bárbara Simão, responsabile della ricerca di InternetLab, il rapporto mostra che i provider di servizi Internet (ISP) stanno migliorando la divulgazione di informazioni rilevanti su come gestiscono i dati degli utenti. "Alcune aziende, come TIM, Vivo e Algar, hanno iniziato a pubblicare protocolli specifici con regole per la consegna dei dati alle autorità pubbliche", ha affermato Simão. Tuttavia, c'è ancora molto spazio per i fornitori per rafforzare le migliori pratiche di protezione della privacy. Una questione chiave riguarda la risposta pubblica delle aziende alle violazioni della sicurezza. Secondo Simão, "l'anno scorso sono state segnalate alcune importanti violazioni dei dati relative agli ISP e le società coinvolte non hanno risposto in modo adeguato.

Tutte le società tranne due hanno ricevuto il punteggio più alto per aver fornito informazioni chiare e complete sulle politiche sulla privacy, inclusi quali dati raccolgono e perché, per quanto tempo li memorizza e chi vi ha accesso. I miglioramenti in questa categoria sono in parte attribuiti al nuovo Brasile legge, il regolamento ispirato al General Data Protection Act (GDPR) dell'UE entrato in vigore lo scorso anno. Oi e Vivo, che hanno entrambi ricevuto ¾ stelle l'anno scorso, hanno migliorato i loro punteggi, mentre Algar è scivolato dall'ottenere una stella piena l'anno scorso a ¾ stelle quest'anno. Brisanet Mobil e Brisanet Broadband hanno guadagnato una mezza stella, l'unica categoria in cui l'azienda ha ottenuto un punteggio.

Tutte le società tranne alcune hanno ottenuto buoni risultati nell'assumere una posizione pubblica a sostegno della privacy e nel difendere la privacy degli utenti in tribunale. L'anno scorso InternetLab ha valutato le attività delle aziende a difesa della privacy da pressioni senza precedenti da parte del governo per accedere ai dati delle telecomunicazioni durante la pandemia di COVID-19. Quest'anno l'organizzazione ha rivisto questo parametro e ha esaminato se le aziende hanno preso posizione pubblica, nelle consultazioni e nei dibattiti o nei media, a favore di pratiche che promuovano la sicurezza dei dati dei propri utenti e forniscano informazioni concrete sulle strategie per mitigare i rischi e prevenire violazioni della sicurezza.

Il parametro rivisto riflette le preoccupazioni per la sicurezza e le violazioni dei dati che hanno coinvolto TIM, Claro e altri fornitori leader che si sono verificate nel 2020 e nel 2021, in cui sono stati esposti oltre 100 milioni di numeri di cellulare e informazioni personali. Indagini sugli incidenti sono state aperte dal Segretariato nazionale dei consumatori (Senacon) e da Procon-SP. Le società coinvolte hanno fornito solo spiegazioni generiche e poche informazioni sulle misure di sicurezza per prevenire future intrusioni nella sicurezza. Le agenzie di regolamentazione, in risposta, hanno implementato iniziative volte a contrastare le minacce alla cybersecurity, tra cui la creazione del Regolamento sulla Cybersecurity applicata al settore delle telecomunicazioni da parte di Anatel (autorità di regolamentazione delle telecomunicazioni brasiliana) e la nota tecnica pubblicata dall'Autorità nazionale per la protezione dei dati (ANPD), con linee guida per i fornitori in caso di violazione della sicurezza. In quanto tale, il rapporto di quest'anno ha valutato gli impegni delle aziende nel proteggere i dati personali dei propri utenti e nel dare voce pubblicamente al sostegno di queste iniziative.

Sfortunatamente, le aziende continuano a non essere all'altezza delle migliori pratiche per informare gli utenti sulle richieste di dati. Quest'anno, come nel 2020, nessuna azienda ha ricevuto una stella per questa categoria. Nessuna legge brasiliana obbliga le aziende a notificare gli obiettivi di sorveglianza, ma non è loro impedito di avvisare gli utenti quando la segretezza non è legalmente o giuridicamente richiesta. Le aziende sono in ritardo anche per quanto riguarda i rapporti sulla trasparenza e le valutazioni d'impatto sulla protezione dei dati. TIM, NET e Claro hanno ricevuto stelle parziali in questa categoria, mentre il resto non ha ricevuto stelle.

Risultati principali

Nel complesso, il rapporto di quest'anno valuta i fornitori in base a sei criteri: politiche di protezione dei dati, linee guida per l'applicazione della legge, difesa degli utenti nella magistratura, difesa della privacy nei dibattiti politici o nei media, rapporti sulla trasparenza e valutazione dell'impatto sulla protezione dei dati e notifica agli utenti. Il rapporto completo è disponibile in portoghese . Questi i principali risultati:

Risultati Categoria 1: Politiche di protezione dei dati

Mentre la maggior parte dei fornitori ora comunica agli utenti quali dati raccolgono su di loro, per quanto tempo vengono conservate le informazioni e con chi le condividono, alcuni non riescono a essere completamente trasparenti nel rispondere alle richieste degli utenti di informazioni sui propri dati personali. I ricercatori di InternetLab hanno testato le pratiche aziendali richiedendo i loro dati personali. Oi, TIM, Vivo e Brisanet hanno rispettato, ma hanno divulgato solo le informazioni sugli abbonati, anche se la legge brasiliana sulla protezione dei dati garantisce il diritto degli utenti di accedere a tutti i dati personali che le società raccolgono su di loro.

TIM, quest'anno e lo scorso anno, ha compiuto ulteriori passi per certificare l'identità del richiedente prima di divulgare i dati, una buona pratica che merita di essere evidenziata. Algar aveva fatto lo stesso nel 2020, ma quest'anno non ha nemmeno risposto alle richieste di accesso ai dati.

InternetLab ha aggiunto un nuovo standard che le aziende devono soddisfare per ottenere pieno credito in questa categoria: fornire informazioni su in quali circostanze trasferiranno i dati personali degli utenti in altri paesi. Le forze dell'ordine in tutto il mondo cercano sempre più dati oltre confine nelle indagini penali, quindi è importante che le aziende forniscano informazioni chiare e dettagliate su come gestiscono le richieste di dati degli utenti da parte della polizia straniera.

Il rapporto mostra che, ad eccezione di TIM e Algar, le aziende non sono completamente trasparenti, non fornendo informazioni specifiche su dove sono archiviati i dati o quali passaggi sono necessari per trasferirli in altri paesi.

Ad esempio, la politica sulla privacy di Claro afferma che l'azienda assume servizi di cloud storage, che "potrebbero aver luogo al di fuori del territorio nazionale". Tuttavia, non ci sono ulteriori dettagli su quali entità internazionali ricevano tali dati. La politica di Oi ha un linguaggio generico che afferma che potrebbe trasferire i dati personali degli utenti all'estero per l'archiviazione su cloud o, se necessario, per fornire un servizio. La politica di Vivo ha informazioni limitate, affermando che “come parte del Gruppo Telefónica, (esso) può, in determinate circostanze e quando necessario, condividere dati personali con altre società all'interno del Gruppo. Inoltre, i tuoi dati potranno essere condivisi con partner e fornitori con sede in altri paesi, sempre nel rispetto della legge applicabile e in conformità con le clausole contrattuali.

TIM ha ricevuto pieno credito per i criteri, comunicando che i principali server di terze parti che conservano i dati personali sotto il controllo di TIM si trovano in Brasile, SEE (Area Economica Europea) e California (USA). Algar ha anche ricevuto un punteggio pieno per aver spiegato i criteri legali applicati per i trasferimenti internazionali di dati. Le politiche di Brisanet non sono conformi alle linee guida di InternetLab.

Risultati della categoria 2: Linee guida per le forze dell'ordine

Per guadagnare stelle in questa categoria, le aziende devono avere una guida chiara per le forze dell'ordine sull'accesso ai dati degli utenti e seguire le interpretazioni di legge più tutelate dalla privacy quando i dati personali sono richiesti dalle forze dell'ordine.

Claro/NET, TIM e Vivo hanno ricevuto stelle piene dopo aver ricevuto solo stelle parziali l'anno scorso. Vivo e TIM per la prima volta hanno ricevuto il merito di aver pubblicato un documento specifico su come rispondono alle richieste di dati del governo. Sebbene entrambi i documenti possano fornire maggiori informazioni sulle procedure adottate e scomporre i dettagli per le diverse tipologie di dati di comunicazione, rappresentano sicuramente un buon inizio.

Claro è più trasparente rispetto allo scorso anno, dicendo agli utenti che divulga i dati degli abbonati alle autorità, che identifica, oltre a identificare quali reati giustificano la divulgazione dei dati degli abbonati senza un mandato. Fornisce inoltre informazioni sulle circostanze in cui fornisce dati di geolocalizzazione e promette di fornire alle autorità i record di connessione solo su ordine del tribunale. Tuttavia, non pubblica un documento specifico con informazioni sulle procedure e le regole seguite per fornire i dati degli utenti alle autorità, altro criterio per la categoria 2.

Algar ha avuto il miglioramento più drammatico in questa categoria. La società è passata dall'aver ricevuto nessuna stella l'anno scorso a una stella piena quest'anno. Le prime linee guida delle forze dell'ordine pubblicate da Algar sono le uniche a fornire informazioni più dettagliate suddivise per tipo di dati richiesti, affermando chiaramente i dettagli e gli impegni che il rapporto di InternetLab cerca di ottenere nella Categoria 2.

Risultati della categoria 3: Difesa degli utenti nei tribunali

Per guadagnare stelle in questa categoria, le aziende dovrebbero contestare la legislazione abusiva della privacy e le richieste amministrative o giudiziarie abusive di dati degli utenti.

Claro, NET e TIM hanno ottenuto il pieno avvio per il rispetto di entrambi i parametri dopo aver ricevuto mezze stelle l'anno scorso. Oi ha ricevuto una stella piena questo e l'anno scorso. Algar e Brisanet non hanno ricevuto alcun punteggio in questa categoria.

Claro, Oi, TIM e Vivo hanno intentato una causa impugnando una legge statale che obbliga le aziende a identificare il numero del chiamante per ogni telefonata (impedendo ad esempio i numeri bloccati). Vivo, insieme ad altre società di telecomunicazioni, ha contestato le modifiche al Regolamento generale sui diritti dei consumatori dei servizi di telecomunicazione che obbligherebbero le società a fornire, a qualsiasi destinatario di telefonate, i dati personali della persona che ha effettuato la chiamata.

Nel frattempo, Oi ha impugnato un'ordinanza giudiziaria che autorizza una richiesta della polizia a fornire password che consentano l'accesso a tutti i dati memorizzati relativi al telefono per 6 mesi, comprese le informazioni sugli abbonati, i record di chiamate e SMS e i dati sulla posizione. La società ha contestato la natura generale dell'ordine e ha chiesto alla polizia di specificare quali utenti e dispositivi fossero presi di mira. Ha anche richiesto informazioni su a quale indagine penale fosse correlato l'ordine.

Claro ha negato una richiesta di consegna dei dati degli abbonati direttamente all'Ufficio del Controllore Generale ( Controladoria Geral da União) , senza previa autorizzazione giudiziaria, affermando che ciò costituirebbe una violazione delle garanzie costituzionali e legali. Vivo ha anche respinto le richieste di polizia e pubblici ministeri per i registri delle chiamate degli utenti e i dati sulla posizione senza precedenti ordini giudiziari.

Risultati Categoria 4: Posizione pubblica a favore della privacy

Claro, NET e TIM hanno ricevuto stelle piene per aver preso posizione pubblica a sostegno della privacy, mentre Oi, Vivo e Algar hanno ricevuto 1/2 stelle. I punti salienti includevano un nuovo documento intitolato "Politica sulla sicurezza delle informazioni e sulla sicurezza informatica", che, tra le altre cose, fornisce un canale di comunicazione specifico per i casi di sicurezza. Il rapporto di InternetLab si congratula con l'azienda per aver messo a disposizione un documento specifico che fornisce informazioni dettagliate sulle pratiche di sicurezza e sui mezzi per esercitare i diritti.

Ma le notizie non erano tutte buone. Anche se Claro, Oi e TIM hanno ricevuto stelle per dichiarazioni pubbliche in merito alla sicurezza e alla mitigazione del rischio informatico, InternetLab sottolinea che tutte non hanno fornito risposte solide alle accuse di violazione dei dati ( Claro nel 2020 e Oi e TIM nel 2021) .

Gli ISP hanno fornito solo "risposte generiche", riporta InternetLab. "Non sono state fornite solide spiegazioni sul caso, né sono stati concretamente sostenuti standard o tecniche in grado di affrontare le accuse [di violazione dei dati]", ha affermato l'organizzazione. Vivo ha anche affrontato accuse di violazione dei dati nel 2020, ricevendo notifica dalle autorità dei consumatori e delle telecomunicazioni. InternetLab ha affermato che la società ha inviato risposte pubbliche alle autorità, sostenendo di aver valutato i suoi sistemi interni e di non aver riscontrato incidenti di sicurezza. Le risposte non menzionavano alcun miglioramento nelle misure di sicurezza di Vivo.

Risultati della categoria 5: rapporti sulla trasparenza e valutazioni dell'impatto sulla protezione dei dati

I provider Internet e di telecomunicazioni brasiliani non sono dove dovrebbero essere quando si tratta di pubblicare rapporti sulla trasparenza, una best practice che è cresciuta nel settore tecnologico. Algar, Oi e Brisanet non hanno ricevuto stelle, mentre Claro e Net hanno ricevuto un quarto di stella: divulgano dati aggregati sulle richieste degli utenti per i propri dati, ma nessun dato statistico sulle richieste di dati del governo.

TIM ha ricevuto ¾ stelle; la società non pubblica un rapporto sulla trasparenza, ma pubblica un Rapporto di sostenibilità con informazioni generali sulle richieste di dati del governo e cifre totali per le richieste di intercettazione telefonica dell'anno scorso, informazioni sugli abbonati ed "estratti telefonici". Vivo ha migliorato il suo marchio rispetto allo scorso anno. Telefónica Brazil, di cui Vivo fa parte, ha pubblicato per la prima volta il suo rapporto completo sulla trasparenza in portoghese.

Come nel rapporto dell'anno scorso, nessuna delle società in primo piano ha pubblicato una valutazione d'impatto sulla protezione dei dati (DPIA). La legge brasiliana sulla protezione dei dati contiene regole sulla DPIA, ma l'Autorità per la protezione dei dati deve ancora regolamentare quando questa valutazione è obbligatoria.

Risultati della categoria 6: notifica utente

Nessuna azienda informa gli utenti quando le autorità governative cercano i loro dati, quindi non sono state assegnate stelle. Questo è invariato rispetto allo scorso anno.

Conclusione

Dalla sua prima edizione nel 2016, i rapporti brasiliani hanno mostrato solidi progressi, favorendo la concorrenza degli ISP verso standard più rigorosi a favore della trasparenza e della privacy degli utenti. Il rapporto di quest'anno evidenzia i progressi nella divulgazione delle linee guida delle forze dell'ordine e il continuo impegno dei fornitori brasiliani nella difesa dei propri utenti nei tribunali. Mostra inoltre che c'è spazio per migliorare la notifica agli utenti, le valutazioni dell'impatto sulla protezione dei dati e persino i rapporti sulla trasparenza, una best practice già consolidata in altri paesi e per altri attori, come le aziende tecnologiche. Il lavoro di InternetLab fa parte di una serie di rapporti in America Latina e Spagna adattati da Who Has Your Back? report, che da quasi un decennio valuta le pratiche delle principali aziende tecnologiche globali.