A fines del año pasado, la Comisión de Defensa del Consumidor del Congreso (Codeco) aprobó un dictamen que modifica la ley de funciones y facultades del OSIPTEL y le permite solicitar a las empresas operadoras la remisión de información de datos personales relacionadas con la prestación de los servicios públicos de telecomunicaciones y usar herramientas automatizadas para el proceso.
La medida ha sido cuestionada por expertos en seguridad y representantes de la industria en los medios de comunicación y redes sociales. En RPP, el exviceministro en seguridad pública, Nicolás Zevallos Trigoso, señaló que era un «enorme riesgo» para la ciudadanía que datos personales tan sensibles como la información de geolocalización, el tráfico, direcciones IP, registros detallados de llamadas y sesiones de datos (CDR), entre otra sean acumulados por una institución pública que podría ser vulnerada por redes criminales para alimentar el enorme mercado negro de datos personales.
El experto en derecho digital y CEO de eBIZ, el Dr. Erick Iriarte, manifestó su preocupación por el dictamen y advirtió que ninguna autoridad puede pedir acceso indiscriminado a los datos personales que gestionan las distintas instituciones públicas o privadas. «No se puede entregar una lista sábana a una autoridad porque no se sabe cómo va a utilizar los datos», enfatizó.
Iriarte remarcó que Osiptel puede usar herramientas informáticas para realizar investigaciones, pero no con data individualizada, sino que debe ser anónima y globalizada. La norma, tal como se publicó, no tiene los candados pertinentes y deja un espacio abierto que puede utilizarse de forma indebida.
Rafael Muente, presidente de Osiptel, respondió a las críticas en el diario Gestión asegurando que no les interesa el nombre del usuario o a quién llamó, sino cuánto facturó y cuánto tiempo habló para determinar si la tarifa que le impusieron era la correcta. Con el acceso a esa información se han podido emitir 68 multas por 2836 UIT (14 millones) entre el 2016 y 2022, por no devolver a los usuarios montos que debían devolverse por servicio interrumpido, señaló. La novedad ahora es que se podrá acceder a la información por vía electrónica, y no a través de oficios.
En cuanto al dato de la georreferenciación, en el diario El Peruano explicó que se necesita para identificar si la venta de los equipos se realizó en forma ambulatoria, en la calle, o si se concretó en una agencia de la empresa operadora. No les interesa el contenido de las comunicaciones, dijo, sino fiscalizar el cumplimiento de la ley que prohíbe la comercialización y contratación de líneas móviles en la vía pública.
“Osiptel puede usar herramientas informáticas para realizar investigaciones, pero no con data individualizada (…) La norma, tal como se publicó, no tiene los candados pertinentes y deja un espacio abierto que puede utilizarse de forma indebida”.
– Dr. Erick Iriarte, CEO de eBIZ.
Rechazo institucional
El Proyecto de Ley 3752/2022-CR, que está listo para su debate en el Pleno, fue presentado por la congresista Norma Martina Yarrow en la Codeco en diciembre de 2022 y desde entonces recibió varias comunicaciones institucionales opinando sobre la propuesta hasta su aprobación en noviembre del 2023.
La Autoridad Nacional de Protección de Datos Personales, la Presidencia del Consejo de Ministros, el Ministerio Fiscalía de la Nación y Osiptel están entre las entidades públicas consultadas por la comisión. Además, se recibió comentarios de la Asociación para el Fomento de la Infraestructura Nacional (AFIN), la Cámara de Comercio Americana del Perú (AmCham Perú) y del Ministerio de Transportes y Comunicaciones.
Desde AFIN enviaron dos cartas. Una mientras se estudiaba la norma y otra después de ser aprobada. En dicha misiva señalaron que han experimentado una “profunda preocupación por la aprobación del mencionado proyecto, que pone en grave riesgo los datos personales y secreto de las telecomunicaciones de todos los peruanos que acceden a dichos servicios y constituye un intervencionismo en la gestión de las empresas privadas, afectando la libertad de empresa”.
El proyecto permite a Osiptel un acceso irrestricto, permanente y en línea a los sistemas de operación de red, los sistemas comerciales, las bases de datos, las plataformas de las operadoras y la información de datos personales de los clientes, sin limitación, según los criterios que defina el propio regulador.
Según comentaron, el proyecto permite a Osiptel un acceso irrestricto, permanente y en línea a los sistemas de operación de red, los sistemas comerciales, las bases de datos, las plataformas de las operadoras y la información de datos personales de los clientes, sin limitación, según los criterios que defina el propio regulador.
Estos sistemas y plataformas contienen información de las llamadas telefónicas (quién llamó, a quién llamó y cuándo llamó), navegación de internet (qué páginas visitó), ubicación de los clientes móviles (inclusive de menores de edad), contraseñas de los routers, documentos de identidad, direcciones y demás datos privados a los que es inconstitucional y desproporcionado acceder.
Bajo el texto planteado, detallaron, ya no se necesitaría la orden de un juez para acceder a la información de los usuarios. Osiptel estaría conectado directamente a los sistemas de las telcos (compañías telefónicas) para, según sus propios criterios, extraer la información que ellos mismos determinen o que terceros a los que subcontrate soliciten. Este acceso es excesivo y supera la facultad de supervisión que tiene esta entidad, concluyeron.
El Proyecto de Ley apunta a extraer información muy reservada de los usuarios por medios automáticos o electrónicos, lo cual excede y va en contra de la Ley Nº 29733, Ley de Protección de Datos Personales.
– Cámara de Comercio Americana del Perú (AmCham).
Coincidió en esta perspectiva AmCham, quien en su carta reafirmó que la conexión directa a los sistemas de las empresas significaría un grave atentado en contra de la garantía constitucional de que solo con orden judicial se accede al secreto de las telecomunicaciones y a la información personal de los usuarios. Una disposición de esa naturaleza va en contra de lo que dicta la Constitución vigente y los contratos de concesión, por tanto, sería inconstitucional, afirmaron categóricamente.
El Proyecto de Ley apunta a extraer información muy reservada de los usuarios por medios automáticos o electrónicos, lo cual excede y va en contra de la Ley Nº 29733, Ley de Protección de Datos Personales. Los riesgos para su confidencialidad son altos porque no se están considerando los graves perjuicios que se podrían generar en el caso de filtraciones de esta información tan sensible para los usuarios, acotó AmCham.
La mejor forma de optimizar la atención de los reclamos, indicaron, es someterlos al juicio de los propios usuarios y contribuyendo a la buena o mala reputación publicando, por ejemplo, un ranking comparativo mensual de reclamos, donde se vea qué empresa brinda los mejores servicios y cual trata peor. El camino no es fiscalizar atentando contra la libertad de empresa al meterse en el proceso productivo de una telco, remarcaron.
