teléfono

SUTEL y las herramientas jurídicas para la protección de datos personales

4 minutos

En la edición de la Revista Firma de mayo 2017, página 48 y 49, explicaba los motivos por los cuales a la SUTEL le corresponde atender los temas de protección de datos cuando existe una posible afectación a datos personales a un usuario de una empresa u operador de telecomunicaciones. Ahora bien, siguiendo en ese mismo análisis, surge la duda de ¿con cuáles herramientas jurídicas cuenta la SUTEL para poder realizar un debido proceso contra las empresas u operadores que se necesite investigar si realmente esta cometió una falta contra los datos personales o la privacidad de sus clientes?

El primer elemento por señalar es que la Ley General de Telecomunicaciones, N° 8642, establece en el Capítulo II.- Régimen de protección a la intimidad y derechos del usuario final, el régimen de privacidad y de protección de los derechos e intereses de los usuarios de los servicios de telecomunicaciones en materia de protección de la privacidad e intimidad de los usuarios.

El artículo 41 de la citada normativa, deja claramente establecido que le corresponde a la SUTEL velar por que los operadores y proveedores efectivamente cumplan su debe de proteger los datos de sus clientes, al respecto señala dicho artículo

Artículo 41.- Régimen jurídico

El presente capítulo desarrolla el régimen de privacidad y de protección de los derechos e intereses de los usuarios finales de los servicios de telecomunicaciones. Los acuerdos entre operadores, lo estipulado en las concesiones, autorizaciones y, en general, todos los contratos por servicios de telecomunicaciones que se suscriban de conformidad con esta Ley, tendrán en cuenta la debida protección de la privacidad y los derechos e intereses de los usuarios finales. A la Sutel le corresponde velar por que los operadores y proveedores cumplan lo establecido en este capítulo y lo que reglamentariamente se establezca.

 

Efectivamente, dicho artículo deja claro que debe existir un reglamento que desarrolle cómo debe ser este cumplimiento del régimen de protección de la privacidad de los usuarios de telecomunicaciones, al respecto ampliaremos más adelante.

El artículo 42 del mismo marco normativo, establece los deberes que deben cumplir los operadores de redes públicas y proveedores de servicios de telecomunicaciones, dicho numeral señala que los operadores de redes públicas y proveedores de servicios de telecomunicaciones disponibles al público, deberán garantizar el secreto de las comunicaciones, el derecho a la intimidad y la protección de los datos de carácter personal de los abonados y usuarios finales, mediante la implementación de los sistemas y las medidas técnicas y administrativas necesarias. Estas medidas de protección serán fijadas reglamentariamente por el Poder Ejecutivo.

Es importante explicar que los datos de carácter personal son en general cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. (Agencia Española de Protección de Datos, 2017), nuevamente las medidas de protección que se van a aplicar se deberán establecer reglamentariamente. Resulta interesante resaltar, que el mismo artículo obliga a los operadores y proveedores de telecomunicaciones a informar en caso de un riesgo que se haya generado en la seguridad de sus sistemas o redes y deberá informar a la Sutel y a los usuarios finales sobre dicho riesgo.

De igual forma, impone el deber de proteger cualquier de las comunicaciones y datos que se generen en sus redes de sus clientes o usuarios con relación a terceros, siempre con la excepción del consentimiento que pueda brindar el usuario para transferir estos datos a terceros o por autorización judicial.

Ahora bien, ¿existe el reglamento que establezca el proceso de protección de la privacidad e intimidad de los usuarios presentes en la ley de telecomunicaciones? La respuesta es sí; por lo que mediante el decreto N. 35205-MINAET del 16 de abril del 2009, publicado en La Gaceta del 18 de mayo del 2009, se creó el Reglamento sobre Medidas de Protección de la Privacidad de las Comunicaciones, que en su artículo 1, deja muy claro que dicho reglamento responde a esa necesidad de reglamentar el Capítulo II.- Régimen de protección a la intimidad y derechos del usuario final:

Artículo 1.- Objeto del Reglamento.

El presente reglamento tiene por objeto establecer las disposiciones reglamentarias, sobre las medidas de protección a la privacidad y confidencialidad de las comunicaciones, derivadas del capítulo II del título II de la Ley General de Telecomunicaciones (Ley N° 8642).

Es importante indicar que este reglamento responde a temas de índole jurídico y técnico, que puede en algunos aspectos generar dudas, por lo que debe ser visto de manera integral. Uno de los puntos que quisiera resaltar y explicar, es las medidas de seguridad, el artículo 7 del citado reglamento no indica las medidas técnicas explicitas, solamente señala aspectos generales, como, por ejemplo:

  • Los proveedores y operadores de servicios de telecomunicaciones deberán adoptar las medidas técnicas y administrativas adecuadas para preservar la seguridad de sus servicios
  • Para tales efectos, los operadores o proveedores deberán considerar las técnicas más avanzadas a fin de garantizar un nivel de seguridad adecuado al riesgo existente

Podría pensarse que esta forma de redacción es un error, pero desde la perspectiva jurídico-informática, la misma estaría correcta, imaginemos si en el 2009, fecha de publicación del reglamento, se hubiera establecido expresamente cuáles eran las medidas técnicas y administrativas de seguridad más adecuada, el avance tecnológico ya habrían hecho que dichas medidas no tuvieran lógica ni sentido nueve años después, o por lo menos tuvieran un enorme desfase; es por esta razón que dejar abierto a que dichas medidas sean las más adecuadas, sin especificar cuáles, hace que la norma tenga una actualización constante, haciendo que las empresas deban aplicar lo más reciente, o las medidas técnicas y administrativas que correspondan según el tipo de datos que manejan o transmitan, con respecto al cumplimiento de la norma, en este sentido le corresponderá a SUTEL valorar si esas medidas son las adecuadas con relación a la protección de la información privada de los usuarios. Es importante indicar que, en el tema de gestión de riesgo, la misma normativa prevé que la empresa tome las acciones que considere pertinentes, pero las debe informar:

(…) Asimismo corresponderá al proveedor u operador del servicio informar cuando el riesgo quede fuera del ámbito de las medidas que éste deberá tomar, así también sobre las posibles soluciones, los costos y las vulnerabilidades que aún quedan al descubierto.

Luego de este breve análisis, queda claro que la SUTEL tiene el marco normativo, tanto por ley y reglamento, para poder actuar en pro de la protección de la privacidad e intimidad de las personas y de sus datos personales frente las empresas proveedores de servicios de telecomunicaciones.

Facebook Comments
SOBRE EL AUTOR:
mm
Roberto Lemaître
Roberto es Abogado e Ingeniero informático. Se especializa en delitos informáticos.