A finales del año 2023, la Comisión de Defensa del Consumidor y Organismos Reguladores de los Servicios Públicos (“Comisión de Defensa”) del Congreso recomendó aprobar el Proyecto de Ley No. 3752/2022-CR (“Proyecto de Ley”). ¿Qué propone dicha iniciativa y cuáles han sido los principales cuestionamientos? A continuación, resumimos lo comentado hasta el momento y analizamos los artículos 6-A y 15-A del Proyecto de Ley bajo el principio de proporcionalidad, a fin de sustentar que lo propuesto es ilegal. Si bien existen otros temas por comentar en relación al Proyecto de Ley, por razones de extensión, sólo comentaremos los artículos mencionados.

MODIFICACIONES PROPUESTAS POR EL PROYECTO DE LEY

El Proyecto de Ley propone, entre otras cosas, modificar los artículos 6-A^[1] y 15-A^[2] de la Ley No. 27336, Ley de Desarrollo de las Funciones y Facultades del Organismo Supervisor de Inversión Privada en Telecomunicaciones – OSIPTEL, de manera tal que, dicha entidad pueda:

• Solicitar a las empresas operadoras la remisión de datos personales de sus usuarios, siendo que dicha información sería remitida a través de mecanismos informáticos automatizados.
• Acceder a los sistemas de la empresa operadora, de manera permanente y vía remota o en línea (tales como, los sistemas gestión y operación de red, sistemas comerciales, de atención al cliente, de reclamos, bases de datos, entre otros).

De acuerdo a la Exposición de Motivos del Proyecto de Ley^[3], dicha iniciativa busca optimizar las acciones de fiscalización, “procurando que la información que se obtenga sea la más directa y confiable”, así como, “la reducción de tiempos en la obtención de datos relevantes para el cumplimiento de las funciones del regulador”.

PRINCIPALES CUESTIONAMIENTOS

El pronunciamiento de la Comisión de Defensa del Congreso a favor del Proyecto de Ley generó gran polémica y diversos actores no dudaron en mostrar su preocupación por la seguridad de los datos personales que serían remitidos a OSIPTEL. Recordemos que, en el último año diversos medios revelaron supuestas filtraciones de información administrada por diversas entidades públicas, tales como, SUNARP, RENIEC o la Municipalidad de Miraflores^[4]. En esa línea, el exviceministro en Seguridad Pública del Mininter, Nicolás Zevallos Trigoso, consideró que existe un enorme riesgo, porque “estamos frente a una enorme amenaza del crimen organizado donde existen diversas vulnerabilidades a nuestra seguridad e integridad. Una de ellas tiene que ver con un enorme mercado de datos personales, un mercado negro de datos de usuarios que se filtran con mucha facilidad, y lamentablemente la fuente principal de estos datos es el Estado^[5]”.

¿PRINCIPIO DE PROPORCIONALIDAD?

Si bien una de las primeras reacciones frente al Proyecto de Ley fue la preocupación por la seguridad de la información compartida con OSIPTEL, no debe dejarse de lado un aspecto crucial, que es la forma cómo se plantea compartir dicha información. De acuerdo al Proyecto de Ley, se propone que OSIPTEL tenga acceso permanente y virtual a los sistemas propios de la empresa operadora. ¿Dónde quedó la proporcionalidad?

1. Respecto al tipo de información compartida con OSIPTEL. De acuerdo al artículo 14 de la Ley No. 29733 (“Ley de Datos Personales”), las entidades públicas se encuentran autorizadas a tratar datos personales, sin consentimiento del titular, para el ejercicio de sus funciones públicas. Así, toda entidad públicacuenta con una habilitación legal para acceder a datos personales; sin embargo, ello no quiere decir que la entidad puede solicitar dicho acceso de forma indiscriminada. Como lo ha señalado la Autoridad de Datos Personales, el acceso a datos personales se encuentra limitado por el principio de proporcionalidad, en virtud al cual se debe tratar “sólo aquella información que sea imprescindible para cumplir con la finalidad autorizada^[6]”.

El Proyecto de Ley propone un acceso permanente y virtual a todas los sistemas de la empresa operadora, incluyendo su base de datos y sus sistemas de atención al cliente, donde claramente se encontrarán todos los datos personales de sus usuarios. Rafael Muente, el Presidente del Consejo Directivo de OSIPTEL, indicó que a dicha entidad “no (le) interesa el nombre del usuario, (…) a quién llamó o quién lo llamó (…)^[7]”. Sin embargo, plantear un acceso permanente y virtual a todas las plataformas de las empresas operadoras no permite un filtro de qué información es imprescindible o no para el ejercicio de las funciones de OSIPTEL, generando que dicha entidad tenga acceso a datos que no son necesarios para sus funciones, lo cual vulnera el principio de proporcionalidad establecido en el artículo 7 de la Ley de Datos Personales, así como, la intimidad de los usuarios de servicios públicos de telecomunicaciones.

2. Respecto al acceso permanente para fines de fiscalización. De acuerdo a la Comisión de Defensa, “un acceso remoto y en línea, de manera permanente a los sistemas de gestión y cualquier otra plataforma que las empresas operadoras utilicen para la prestación de los servicios públicos de telecomunicaciones, promueve la optimización de las acciones de fiscalización (…)^[8]” (énfasis agregado). Si bien ello podría ser cierto, se está dejando de lado un aspecto muy importante y es que toda carga regulatoria debe pasar un filtro de razonabilidad y proporcionalidad. Sobre todo en lo que respecta a la potestad de fiscalización, donde ya diversa doctrina ha señalado que dicha potestad no puede ser ejercida de forma permanente. Así, el artículo 242 del TUO de la Ley No. 27444 (“LPAG”), expresamente señala que los administrados tienen derecho a conocer de antemano el objeto y el plazo estimado de duración de la fiscalización. Por tanto, toda actividad de fiscalización debe encontrarse expresamente limitada a un fin u objetivo específico, lo cual debe ser informado al administrado.

El Proyecto de Ley propone un acceso permanente a las plataformas de las operadoras para fines de fiscalización, sujetando a dichas empresas a una fiscalización permanente y sin un propósito determinado. Ello no solo desnaturaliza las garantías establecidas en la LPAG sino que, además, incurre en lo que se ha denominado como “fishing expedition”. Dicho término fue definido por Laguna Paz como “el sometimiento a búsquedas genéricas o la búsqueda indiscriminada de datos^[9]” a fin de “pescar” posibles indicios de incumplimientos. En diversos países, dicha práctica ha sido cuestionada e incluso existe experiencia internacional que la proscribe por exceder los criterios de razonabilidad y proporcionalidad.

CONCLUSIONES. Es clara la intención de facilitar las acciones de fiscalización de un organismo regulador, como es OSIPTEL; sin embargo, es importante que antes de aprobar cualquier iniciativa normativa se analicen todos los cuestionamientos que existen alrededor de ésta. En el presente caso, no solo está en juego la privacidad de los datos personales de los usuarios sino, también, las garantías que deben regir en todo ejercicio de facultades públicas y que, además, constituyen las bases de nuestro ordenamiento.

______________________

^[1]    “Artículo 6-A.- . Datos personales para fines de fiscalización de los servicios públicos de telecomunicaciones

El Osiptel puede solicitar a las empresas operadoras, bajo los alcances del artículo 14 de la Ley 29733, Ley de protección de datos personales, la remisión de información de datos personales relacionada a la prestación de los servicios públicos de telecomunicaciones.

La información requerida es remitida por las empresas operadoras a través de mecanismos informáticos automatizados, mediante canales seguros de comunicación, de acuerdo con los plazos y términos que defina el Osiptel, garantizando el derecho fundamental de protección de los datos personales. (…)” (énfasis agregado)

^[2]    “Artículo 15-A. Determinación de herramientas tecnológicas para la fiscalización

El Osiptel determina las herramientas tecnológicas y mecanismos necesarios para el acceso a los sistemas de gestion y operacion de red, sistemas comerciales, de atención al cliente, de reclamos, bases de datos y cualquier otra plataforma de las empresas operadoras que sean utilizadas para la prestación de los servicios públicos de telecomunicaciones de manera permanente, via remota o en línea, las cuales son de obligatorio cumplimiento por parte de las empresas operadoras de los servicios públicos de telecomunicaciones, en los plazos y términos que defina el Osiptel, respetando lo establecido en el artículo 8. (…)” (énfasis agregado)

^[3]    Disponible en: https://wb2server.congreso.gob.pe/spley-portal-service/archivo/NjMxMTA=/pdf

^[4]    Para mayor información sobre las supuestas filtraciones, se puede acceder a los siguientes enlaces: https://larepublica.pe/politica/actualidad/2023/05/04/miraflores-filtran-datos-personales-y-contrasenas-de-congresistas-ministros-y-periodistas-ana-gervasi-193264 y https://elcomercio.pe/lima/sucesos/fuga-de-informacion-en-entidades-publicas-filtran-y-ofertan-por-internet-los-datos-personales-de-peruanos-asbanc-reniec-sunarp-noticia/?ref=ecr

^[5]    Rodriguez, L. (2023). Dictamen del Congreso da facultades a Osiptel para obtener datos personales sin consentimiento de usuarios. RPP. Disponible en: https://rpp.pe/politica/congreso/dictamen-del-congreso-da-facultades-a-osiptel-para-obtener-datos-personales-sin-consentimiento-de-usuarios-noticia-1523942?ref=rpp

^[6]    Oficio No. 262-2013-JUS/DGPDP.

^[7]    Saenz, M. (2023). Osiptel: «Necesitamos tener acceso a datos relevantes para proteger a los usuarios». RPP. Disponible en: https://rpp.pe/economia/economia/osiptel-defiende-dictamen-aprobado-por-el-congreso-para-acceder-a-datos-personales-noticia-1524592

^[8]    Comisión de Defensa del Consumidor y Organismos Reguladores de los Servicios Públicos (2023). Dictamen Comisión de Defensa del Consumidor y Organismos Reguladores de Servicios Públicos. Periodo Anual de Sesiones 2023-2024, pp. 22. Disponible en: https://wb2server.congreso.gob.pe/spley-portal-service/archivo/MTQwNTY5/pdf

^[9]       Sillié, M. (2018). Fishing expeditions: La pesca de pruebas de prácticas anticompetitivas. acento. Disponible en: https://acento.com.do/opinion/fishing-expeditions-la-pesca-pruebas-practicas-anticompetitivas-8601528.html