Empezaron siendo buenas noticias. La línea 7 del Metro de la Ciudad de México contaba con una red Wi-Fi gratuita para todos los usuarios, colocando al Sistema de Transporte Colectivo (STC) de la capital mexicana "en la frontera de la conectividad tecnológica", según el director general de la STC, Jorge Gaviño. Sin embargo, lo que se inició como un gran paso para uno de los transportes más abarrotados del mundo, acabó convirtiéndose en una alerta para los datos personales de las personas que viajan diariamente en la línea que recorre desde El Rosario hasta Barranca del Muerto.

"Le informamos que sus datos personales se tratarán para fines mercadotécnicos, publicitarios y de prospección comercial", alerta el aviso de privacidad de la empresa BKO Secutity, encargada de manjear los datos de los usuarios al acceder a través de una cuenta de correo electrónico o redes sociales.

Internet a 40 metros de profundidad: los peligros del Wi-Fi en el Metro de CDMX

Además, las condiciones sostienen que se podrá "utilizar, tratar, recolectar, procesar y/o almacenar su información, incluso datos personales, incluidos los envíos por correo electrónico, telefonía celular o todo medio de comunicación electrónica que pueda llegar a desarrollarse". En el caso de que una persona se conecte a través de su cuenta de Twitter, BKO Security podrá leer sus tweets e información adicional como las personas a las que sigue, además de actualizar el perfil, acceder a los mensajes directos y publicar tweets.

Las condiciones tan desproporcionadas son un motivo de alerta, pero después de que una investigación de El Universal sacara a la luz que no se tiene información sobre BKO Security, el Wi-Fi en el Metro de la capital se convirtió en un misterio lleno de preguntas y pocas respuestas. Al parecer, no existe una sede física ni datos de contacto sobre la compañía, por lo que no se ha podido saber hasta el momento el uso y destino de los datos personales de los usuarios.

"A nivel político es altamente preocupante que un gobierno ofrezca servicios al público poniendo en peligro los datos de los usuarios", señala Luis Fernando García, director ejecutivo de la Red en Defensa de los Derechos Digitales (R3D). La organización ha puesto en marcha una investigación para saber más sobre el tratamiento de la información personal y las condiciones de la red Wi-Fi de la línea 7. Asimismo, otra de las incógnitas es el contrato entre BKO Security y el Gobierno de la Ciudad de México, sobre el que no se saben los detalles ni los términos.

"El Gobierno tendría que salir a dar explicaciones y a transparentar mucha información, no solo sobre el aviso de privacidad, sino otro tipo de cosas como la contratación, si hubo licitación y el acceso que se puede tener a los datos y los usos. Levanta sospechas y muchas preguntas, pero de entrada es muy preocupante", sostiene García. Mientras que R3D ya ha solicitado información al respecto, la organización está estudiando con detalle el aviso de privacidad de BKO Security.

Rozando la legalidad

No es un descubrimiento que las condiciones y los términos para conectarse al Wi-Fi de la línea 7 del Metro de la Ciudad de México son abusivas. BKO Security no solamente tiene acceso a los datos personales, sino también a información sensible como los mensajes y los contactos. ¿Qué hace la empresa con esa información, para quién se recolecta y con qué objetivo?

Estas son las preguntas clave que el Gobierno capitalino debe transparentar pero que, mientras tanto, están siendo investigadas por otros actores como R3D. Los primeros datos arrojan que, en un principio, el aviso de privacidad no es ilegal. Sin embargo, apunta el director ejecutivo de R3D, podrían haber irregularidades por la cantidad exorbitante de datos que se recogen. En este punto, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) debe llevar a cabo un procedimiento de verificación para que se aseguren que todo es legal.

Otro de los aspectos que están siendo investigados es si el Gobierno de la Ciudad de México puede deslindarse del tratamiento de los datos personales. Por un lado, el usuario da su consentimiento y acepta el aviso de privacidad antes de conectarse y, por otro lado, quien recolecta la información es BKO Security, no las autoridades capitalinas. La compañía podría utilizar el mismo argumento, en el caso de que se confirme su existencia: el usuario da su consentimiento y ahí acaba su responsabilidad. En cambio, Luis Fernando García y la organización que dirige piensan diferente.

Tenemos una visión distinta, los conceptos aquí son amplios y vagos, ameritan más investigación. Queremos averiguar qué es lo que recolectan y a quien se hacen las transferencias. Ahí podrían documentarse irregularidades.

La ley de datos personales no es suficiente

Sí, los usuarios dan su consentimiento y aceptan los términos y condiciones de BKO Security para conectarse a la red del Metro. La ley lo permite y es posible que el Gobierno y las empresas puedan evadir sus responsabilidades siguiendo este concepto. Sin embargo, el caso del Wi-Fi en el Metro ha puesto de relieve la necesidad de una actualización de la Ley de Protección de Datos Personales.

El aviso tiene una letra pequeña que convierte las condiciones en abusivas y, en opinión del director ejecutivo de R3D, la pregunta consiste en hasta qué punto los usuarios han aceptado los términos y condiciones de una manera libre. "El aviso es casi ilegible, la redacción es difícil de comprender y las personas están en una situación de vulnerabilidad", sostiene Luis Fernando García, quien añade que hasta el momento no hay evidencias de que este punto sea ilegal pero que sin duda debería serlo.

Tendríamos que tener una conversación sobre el consentimiento de datos y reforzar las leyes de datos personales para no permitir que se recolecten datos de manera excesiva. Hay muchos datos sensibles que ponen en riesgo la seguridad y la privacidad.

El aviso de privacidad de BKO Security ha sido motivo de alerta pero, por desgracia, no es un caso aislado. Otras redes gratuitas instaladas en la capital mexicana también ponen como condición para conectarse unos términos y condiciones abusivos, lo que pone de relieve, según García, una preocupación generalizada sobre las políticas de conectividad del Gobierno sustentadas en la explotación de datos.

¿A quién se transfieren los datos personales?

Las sospechas no solamente están basadas en una recolecta masiva de los datos personales de las personas, también en el destino de los mismos. Uno de los puntos del aviso de privacidad de BKO Security señala que la compañía "puede transferir datos personales a autoridades". No se dan más detalles, como en qué contexto se enviaría la información, pero este es un motivo más para que, una vez más, salten las alarmas.

Si ponemos como precedente la polémica en torno al malware espía Pegasus y otros ejemplos de vigilancia o espionaje por parte del Gobierno mexicano, no sería una idea tan descabellada que el Wi-Fi de la línea 7 fuera solamente un intento más por recolectar datos. Las investigaciones que se están llevando a cabo arrojarán más evidencias al respecto, aunque el caso del internet gratuito en el Metro de la capital mexicana no hace más que levantar más sospechas.

Pegasus y ciberataques contra los periodistas en México

"Es extraño que se recurra a esta empresa tan oscura, que no tiene oficinas, que no contesta", afirma Luis Fernando García, quien insiste en la importancia de transparentar el proceso de licitación o adjudicación para poder resolver los misterios.

Hasta el momento de la publicación de este artículo, ni el Gobierno de la Ciudad de México ni BKO Security se han pronunciado al respecto ni han presentado evidencias que sostengan que el Wi-Fi de la línea 7 del Metro de la Ciudad no pone en riesgo los datos personales de los ciudadanos.