lunes, 29 de diciembre de 2014

CELULARES, BIOMETRIA, DATOS PERSONALES Y REGISTROS




Carlos A. FERREYROS SOTO
Doctor en Derecho por la
Université de Montpellier I, Francia

I.                   ANTECEDENTES,MODIFICATORIAS Y ENFOQUES
A.    ANTECEDENTES
1.      Ley 28774.
2.      Decreto Supremo N° 023-2007-MTC.  Reglamento de la Ley N° 28774
3.      Decreto Supremo N° 024-2010-MTC. Aprueba el Procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago.
4.      Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL
5.      Decreto Supremo Nº 002-2013-MTC. Modifica los artículos 7, 9, 10,  11 y 13 y deroga el artículo 12 del  Reglamento de la Ley N° 28774, Decreto Supremo N° 023-2007-MTC
6.      Resolución Ministerial Nº 395-2013-MTC/03
7.      Resolución de Consejo Directivo Nº 110-2014-CD/OSIPTEL.
B.    MODIFICATORIAS DE DECRETOS
1.        Decreto Supremo Nº 022-2014-MTC, modifica el artículo 3° e incorpora el artículo 8°A del Reglamento de la Ley N° 28774, Decreto Supremo N° 023-2007-MTC.
2.        Decreto Supremo Nº 023-2014-MTC. Modifica el artículo 9°, incorpora los artículos 9°A, 9°B, 9°C, 9°D, 9°E, 9ºF, 9ºG y 9ºH al Decreto Supremo N° 024-2010-MTC que aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago
C.    ENFOQUES 
1. BIOMETRÍA
2. LEGISLACION EUROPA Y PERU
2.1. UNIÓN EUROPEA
a.   Directiva 95/46/CE
 b. Comité Consultivo de la Convención 108 del Consejo de Europa[1]
2.2. FRANCIA
2.3. ESPAÑA
2.4.  PERU
a.     Ley N° 29733
b.     D.S. N° 003-2013-JUS Reglamento de la Ley 29733
c.      Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales

II.                REGISTRO NACIONAL DE TERMINALES DE TELEFONIA CELULAR, RNTTC Y REGISTRO DE ABONADOS PRE PAGO

Artículo 1°.- Modicación del artículo 9° del Decreto Supremo N° 024-2010-MTC

Artículo 2°.- Incorporación de los artículos 9°A, 9°B, 9°C, 9°D, 9°E, 9ºF, 9ºG y 9ºH en el Decreto Supremo N° 024-2010-MTC
Artículo 9°A.- Contratación del servicio
Artículo 9°B.- Mecanismo de validación de datos por el Distribuidor Autorizado
Artículo 9°C.- Requerimientos adicionales para contratación de servicios por parte de personas naturales
Artículo 9° D.- Obligación de la empresa operadora de informar sobre la contratación de nuevos servicios públicos móviles
Artículos 9° E.- Contratación del servicio para los extranjeros y “Artículo 9°F.- Registro de Información en el Registro Privado de Abonados
Artículo 9°G.- De la conexión con bases de datos de otras entidades, supervisión e información
Artículo 9°H.- Participación del RENIEC
Artículo 4°.- Vigencia
Disposición Complementaria Transitoria Única. Plazo para la implementación de los Sistemas de Vericación de Identidad
Disposición Complementaria Final. Primera.- Obligación de validación de datos personales
Disposición Complementaria Final. Segunda.- Sistema de vericación de datos de extranjeros
Disposición Complementaria Final. Tercera.- Adecuación de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones


INTRODUCCION
El presente artículo analiza los Decreto Supremo Nº 022-2014-MTC que modifica el artículo 3° del Decreto Supremo N° 023-2007-MTC e incorpora el artículo 8°A del Reglamento de la Ley N° 28774, sobre el hurto, robo o extravío de terminales telefónicos móviles, y el Decreto Supremo Nº 023-2014-MTC, que modifica el artículo 9°, incorpora los artículos 9°A, 9°B, 9°C, 9°D, 9°E, 9ºF, 9ºG y 9ºH al Decreto Supremo N° 024-2010-MTC que aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago.

Su lectura puede hacerse de manera secuencial para los no iniciados en los temas de derecho informático, derecho de telecomunicaciones y derecho de la persona, protección de datos personales, registros y/o bases de datos, aun cuando algunas rúbricas pudieran ser repetitivas. Los expertos pueden ir directamente a las Conclusiones. 
  
Las Conclusiones recogen las diferentes obsevaciones, comentarios, criticas expresadas durante el análisis.
 

I.                   ANTECEDENTES, MODIFICTORIAS Y ENFOQUES

A.    ANTECEDENTES

1.      Ley 28774.

La Ley N° 28774 creó en julio del año dos mil seis, bajo el Gobierno del Presidente Alejandro Toledo, el Registro Nacional de terminales de telefonía, estableció prohibiciones y sanciones penales a quienes alteren y comercialicen celulares de procedencia dudosa.

2.      Decreto Supremo N° 023-2007-MTC.  Reglamento de la Ley N° 28774

En julio del año dos mil siete, durante la Presidencia de Alan García Pérez, fue aprobado mediante Decreto Supremo N° 023-2007-MTC el Reglamento de la Ley N° 28774, que creó el Registro Nacional de Terminales de Telefonía Celular y estableció prohibiciones y sanciones.

3.      Decreto Supremo N° 024-2010-MTC. Aprueba el Procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago.

En mayo del año dos mil diez, el Ministerio de Transportes y Comunicaciones, aprobó el Procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago; entre ellos el Artículo 9°, referido a la Responsabilidad de las empresas operadoras en la contratación del servicio.

Las empresas operadoras serán responsables de todo el proceso de contratación de un servicio público de telecomunicaciones. Para tal efecto se entenderá que las modalidades de contratación incluyen la venta de chips, tarjetas SIM Card y cualquier otro similar destinado a la adquisición del servicio.

Las empresas se encuentran obligadas a requerir al momento de la contratación, la siguiente información:
(i) Nombre y apellidos completos del abonado;
(ii) Número y tipo de documento legal de identificación del abonado, debiendo incluirse únicamente el Documento Nacional $le Identidad, Carné de Extranjería, Pasaporte o Registro Único de Contribuyentes, los mismos que deberán contener el número y/o la serie de dígitos que correspondan para cada tipo de documento; y,
(iii) Número telefónico o de abonado, para el caso de los servicios de telefonía fija y servicios públicos móviles; o número de contrato o de identificación del abonado, en los demás casos.

La información señalada en los numerales (i) y (ii) antes indicados, deberá ser solicitada al abonado al momento de la contratación, debiendo exigirse la exhibición y copia del documento legal de identificación del abonado, con la finalidad que la empresa operadora, en dicha oportunidad, proceda a registrar los datos personales del abonado y archivar la copia del documento legal de identificación. Sin perjuicio de la subsanación en el caso de contrataciones anteriores, la empresa operadora no podrá instalar y/o activar el servicio, hasta que la información proporcionada, a la que hace referencia el presente artículo, haya sido incluida en el registro de abonados correspondiente.


4.      Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL

Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones
En setiembre de dos mil doce 2012, el Organismo Supervisor de Inversión Privada en Telecomunicaciones, OSIPTEL, emitió la  Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL por la cual aprueba  el  Texto  Único  Ordenado  de  las  Condiciones  de  Uso  de  los Servicios Públicos de Telecomunicaciones, entre ellos el Articulo 11°, sobre el Registro de abonados de acuerdo a la modalidad de contratación del servicio de la Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL cuya responsabilidad corresponde a las empresas operadoras.

Artículo 11.- Registro de abonados de acuerdo a la modalidad de contratación del servicio

La empresa operadora se encuentra obligada a llevar un registro debidamente actualizado de los abonados que hubieran contratado servicios bajo la modalidad prepago, control y/o postpago. Cada registro deberá ser independiente, debiendo contener como mínimo:
(i) Nombre y apellidos completos del abonado;
(ii) Número y tipo de documento legal de identificación del abonado, debiendo incluirse únicamente el Documento Nacional de Identidad, Carné de Extranjería, Pasaporte o Registro Único de Contribuyentes, los mismos que deberán contener el número y/o la serie de dígitos que correspondan para cada tipo de documento; y,
(iii) Número telefónico o de abonado, para el caso de los servicios de telefonía fija y servicios públicos móviles; o número de contrato o de identificación del abonado, en los demás casos.

La información señalada en los numerales (i) y (ii) antes indicados, deberá ser solicitada al abonado al momento de la contratación, debiendo exigirse la exhibición y copia del documento legal de identificación del abonado, con la finalidad que la empresa operadora, en dicha oportunidad, proceda a registrar los datos personales del abonado a través de los mecanismos que hubiera dispuesto para tal fin, debiendo la empresa operadora informar al OSIPTEL acerca de los referidos mecanismos, así como sobre la seguridad de los mismos. La presentación de la copia del documento legal de identificación del abonado, podrá realizarse sobre papel o cualquier otro soporte que permita su almacenamiento y conservación por parte de la empresa operadora. La empresa operadora, bajo responsabilidad, sólo podrá instalar y/o activar el servicio, una vez que la información proporcionada por el abonado sea incluida en el registro correspondiente. En ningún caso, la empresa operadora trasladará al abonado la responsabilidad de registrar la información de sus datos personales, ni podrá requerirle la realización de actos adicionales para tal efecto.

Las obligaciones dispuestas en el párrafo precedente, deberán ser publicadas por la empresa operadora en carteles o afiches que serán colocados en un lugar visiblemente notorio para los usuarios, en todas sus oficinas o centros de atención a usuarios, así como en los puntos de venta en los que se ofrezca la contratación del servicio.


5.      Decreto Supremo Nº 002-2013-MTC. Modifica los artículos 7, 9, 10,  11 y 13 y deroga el artículo 12 del  Reglamento de la Ley N° 28774, Decreto Supremo N° 023-2007-MTC

En enero del año dos mil trece, en el periodo presidencial de Ollanta Humala, el Organismo Supervisor de Inversión Privada en Telecomunicaciones, OSIPTEL modificó el  Reglamento de la Ley N° 28774, Decreto Supremo N° 023-2007-MTC, vía el  D.S. Nº 002-2013-MTC, tomando en cuenta dos principales Considerandos, y :

·         Que, pese a ello la cantidad de equipos terminales  móviles hurtados, robados o perdidos ha venido  incrementándose notoriamente en los últimos años,  pasando de 625,114 unidades en el año 2006, a 3 ́785,006,  en el año 2011; por lo cual se han iniciado acciones de  fortalecimiento en el intercambio de información sobre  equipos terminales móviles, que incluyen la compartición  internacional de la información sobre terminales móviles  hurtados, robados o perdidos, que permitirá a las  empresas concesionarias de cada país, identificar y no  activar terminales móviles registrados como hurtados,  robados o perdidos en otros países;

·         Que, en tal sentido, resulta necesario modificar el  Reglamento de la Ley N° 28774 a fin de generar las  condiciones normativas y técnicas que permitan viabilizar el  referido intercambio de información; para lo cual, se considera  conveniente sustituir el actual esquema de intercambio de  información entre las empresas concesionarias del servicio  público móvil sobre terminales móviles hurtados, robados  perdidos y recuperados, por un esquema de compartición  de información a través de una base de datos centralizada y  única a nivel nacional, a cargo de OSIPTEL;


6.      Resolución Ministerial Nº 395-2013-MTC/03

En  julio de dos mil trece, se dispuso la publicación para comentarios,  en el Diario Oficial El Peruano y en la página web del Ministerio de Transportes y Comunicaciones, del proyecto de Decreto Supremo que modifica el Decreto Supremo N° 024-2010-MTC que aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago.

7.      Resolución de Consejo Directivo Nº 110-2014-CD/OSIPTEL.

En agosto de dos mil catorce, el Organismo Supervisor de Inversión Privada en Telecomunicaciones, OSIPTEL, emitió la  Resolución de Consejo Directivo Nº 110-2014-CD/OSIPTEL, por la cual resuelve, en su Artículo Primero, “Aprobar la publicación para comentarios del Proyecto de Normas Complementarias al Reglamento de la Ley Nº 28774”, particularmente, en base a los Considerandos siguientes:

·         Que, el artículo 16 del Reglamento de la Ley N° 28774 dispuso que el OSIPTEL, en el marco de sus competencias, establecería las infracciones y sanciones por el incumplimiento de la Ley N° 28774 y su Reglamento; asimismo, la Segunda Disposición Complementaria y Transitoria del citada norma reglamentaria estableció que el OSIPTEL emitiría, de ser el caso, la normativa complementaria para el mejor cumplimiento del referido Reglamento;

·         Que, mediante Decreto Supremo N° 002-2013-MTC, se modificó el Decreto Supremo N° 023-2007-MTC, Reglamento de la Ley N° 28774; incluyéndose entre sus modificaciones, la sustitución del esquema de intercambio de información entre las empresas concesionarias del servicio público móvil sobre equipos terminales móviles reportados como sustraídos, perdidos o, en su caso, recuperados, por un esquema de compartición de información a través de una base de datos centralizada única a nivel nacional, a cargo del OSIPTEL;

·         Que, en la Tercera Disposición Complementaria Final del Decreto Supremo N° 002-2013-MTC, se estableció que en un plazo que no excedería de sesenta (60) días hábiles del día siguiente de su publicación, el OSIPTEL emitirá la Resolución que establezca el procedimiento para la entrega de información al OSIPTEL, por parte de las empresas concesionarias del servicio público móvil, de equipos terminales móviles reportados como hurtados, robados, perdidos y recuperados;

·         Que, mediante Resolución de Consejo Directivo N° 050-2013-CD/OSIPTEL, se aprobó la Norma que regula el procedimiento para la entrega de información al OSIPTEL de equipos terminales móviles reportados como sustraídos (hurtados y robados), perdidos y recuperados, así como la forma de acceso a dicha información vía la base de datos centralizada única a nivel nacional, y establece el Régimen de Infracciones y Sanciones correspondiente a la Ley Nº 28774 y disposiciones reglamentarias;

·         Que, de la evaluación de la aplicación de la Norma señalada en el considerando precedente, se ha observado que la misma debe ser complementada a fin de contar con un procedimiento completo relacionado al proceso de bloqueo y/o liberación de equipos terminales reportados como robados, perdidos o recuperados; resultando también necesario incorporar algunas modificaciones al procedimiento vigente, a fin de solucionar problemas relativos a bloqueos indebidos reportados por los usuarios y detectados por el OSIPTEL en las supervisiones realizadas;

·         Que, de acuerdo a la política de transparencia del OSIPTEL y en concordancia con las reglas establecidas por el Decreto Supremo N° 001-2009-JUS para la publicación de proyectos de normas legales de carácter general, se considera pertinente disponer que el Proyecto de Normas Complementarias al Reglamento de la Ley Nº 28774, Ley que crea el Registro Nacional de Terminales de Telefonía Celular, establece prohibiciones y sanciona penalmente a quienes alteren y comercialicen celulares de procedencia dudosa; sea publicado para comentarios mediante el Portal Electrónico del OSIPTEL, precisando las reglas para esta consulta pública;


B. MODIFICATORIAS DE DECRETOS

1.      El Decreto Supremo Nº 022-2014-MTC, modifica el artículo 3° e incorpora el artículo 8°A del Reglamento de la Ley N° 28774, Decreto Supremo N° 023-2007-MTC.

En diciembre del año dos mil catorce, el Ministerio de Transportes y Comunicaciones modifico el artículo 3° del D. S. N° 023-2007-MTC, que a la letra decía:

Artículo 3°.- Registro Nacional de Terminales de Telefonía Celular
Cada empresa concesionaria del servicio público móvil deberá contar, de manera obligatoria, con un Registro Privado de Abonados, independientemente de la modalidad de pago del servicio, el mismo que contendrá como mínimo:
(i) Nombre y apellidos completos o razón social del abonado;
(ii) Número y tipo de documento legal de identificación del abonado (Documento Nacional de Identidad, Carné de extranjería o Registro Único de Contribuyente - RUC).
(iii) Número telefónico o de abonado;
(iv) Marca del equipo terminal móvil;
(v) Modelo del equipo terminal móvil; y,
(vi) Serie del equipo terminal móvil.

En este Registro, la empresa concesionaria del servicio público móvil incluirá a todos los equipos terminales móviles a través de los cuales brinda su servicio, aun cuando no hubieran sido comercializados por ella. La actualización de los datos relativos a los numerales (i) y (ii) de los abonados que hubieren contratado servicios bajo la modalidad prepago antes del 1 de marzo de 2004, se efectuará a solicitud de los mismos.

Los datos que conformarán el Registro Privado de Abonados de cada empresa serán los consignados al momento de la contratación del servicio o sus modificatorias de ser el caso. En caso de cambio del equipo terminal, sin conocimiento de la empresa concesionaria del servicio público móvil, el abonado deberá informarle dicho cambio, para lo cual las empresas habilitarán mecanismos eficientes que faciliten a los abonados el cumplimiento de esta disposición.

Los Registros Privados de Abonados de cada una de las empresas concesionarias de los servicios públicos móviles, conforman el Registro Nacional de Terminales de Telefonía Celular.

 Para ello expuso los Considerandos siguientes:

·         Que, el Reglamento de la Ley N° 28774, aprobado por Decreto Supremo N° 023-2007-MTC y modicado por Decreto Supremo N° 002-2013-MTC, establece que los Registros Privados de Abonados de cada una de las empresas concesionarias de los servicios públicos móviles, conforman el Registro Nacional de Terminales de Telefonía Celular;

·         Que, resulta necesario que los Registros Privados de  Abonados de cada una de las empresas concesionarias de los servicios públicos móviles sean reportados al OSIPTEL con la nalidad de constituir el Registro Nacional de Terminales de Telefonía Celular, conforme a lo previsto en la Ley N° 28774;

·         Que, por Resolución Ministerial Nº 395-2013-MTC/03 de fecha 04 de julio de 2013, se dispuso la publicación para comentarios en el Diario Ocial El Peruano y en la página web del Ministerio de Transportes y Comunicaciones del proyecto de Decreto Supremo que modica el Decreto Supremo N° 023-2007-MTC que aprueba el Reglamento de la Ley N° 28774; efectuándose la citada publicación el 05 de julio de 2013;

·         Que, se han recibido comentarios a la referida norma, los cuales han sido evaluados y recogidos en parte en el presente Decreto Supremo;

Proponiendo en sustitución del artículo original:

“Artículo 3°.- Registro Privado de Abonados y el Registro Nacional de Terminales de Telefonía Celular 

Cada empresa concesionaria del servicio público móvil deberá contar, de manera obligatoria, con un Registro Privado de Abonados, independientemente de la modalidad de pago del servicio, el mismo que contendrá como mínimo:
(i) Nombre y apellidos completos o razón social del abonado;
(ii) Número y tipo de documento legal de identicación del abonado (Documento Nacional de Identidad, Carné de Extranjería, Pasaporte o Registro Único de Contribuyente - RUC).
(iii) Número telefónico o de abonado;
(iv) Marca del equipo terminal móvil;
(v) Modelo del equipo terminal móvil; y,
(vi) Serie del equipo terminal móvil (ESN, IMEI u otros).

En este Registro, la empresa concesionaria del servicio público móvil incluirá a todos los equipos terminales móviles a través de los cuales brinda su servicio, aun cuando no hubieran sido comercializados por ella. La actualización de los datos relativos a los numerales (i) y (ii) de los abonados que hubieren contratado servicios bajo la modalidad prepago antes del 1 de marzo de 2004, se efectuará a solicitud de los mismos.

Los datos que conformarán el Registro Privado de Abonados de cada empresa concesionaria serán los consignados al momento de la contratación del servicio o sus modicatorias de ser el caso. En caso de cambio del equipo terminal, sin conocimiento de la empresa concesionaria del servicio público móvil, el abonado deberá informarle dicho cambio, para lo cual las empresas concesionarias habilitarán mecanismos ecientes que faciliten a los abonados el cumplimiento de esta disposición.

Los Registros Privados de Abonados de cada una de las empresas concesionarias de los servicios públicos móviles deberán ser reportados al OSIPTEL con la nalidad de constituir el Registro Nacional de Terminales de Telefonía Celular, los que deberán incluir abonados post-pago, pre-pago y control.

El OSIPTEL establecerá las disposiciones necesarias para el cumplimiento de lo previsto en el presente artículo.”

E incorporando el artículo 8°A en el Reglamento de la Ley N° 28774, el mismo que queda redactado en los siguientes términos:

“Artículo 8°A.- Identicación de equipos terminales móviles con un mismo número de serie y de los cambios de tarjeta SIM en un equipo terminal
Las empresas concesionarias de servicios públicos móviles implementarán un sistema automatizado de captura del número de serie electrónico del equipo terminal móvil, de tal manera que se identique si se encuentran activos en su red dos o más equipos con un mismo número de serie o, los cambios de tarjetas SIM sobre un equipo terminal.

La información referida a la circulación de dos o más equipos con un mismo número de serie y aquella que se registre de inserciones de una tarjeta SIM en más de un equipo terminal móvil, será conservada por las empresas concesionarias por un periodo mínimo de tres (3) años.

Esta información podrá ser solicitada dentro del marco legal pertinente, por la autoridad competente para nes de supervisión, investigación o vericación.”


2.      Decreto Supremo Nº 023-2014-MTC. Modifica el artículo 9°, incorpora los artículos 9°A, 9°B, 9°C, 9°D, 9°E, 9ºF, 9ºG y 9ºH al Decreto Supremo N° 024-2010-MTC que aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago

En diciembre del año dos mil catorce, el Ministerio de Transportes y Comunicaciones modifica mediante el D.S. Nº 023-2014-MTC: el artículo 9° e incorpora los artículos 9°A, 9°B, 9°C, 9°D, 9°E, 9ºF, 9ºG y 9ºH al Decreto Supremo N° 024-2010-MTC;

El original artículo 9° decía:

Articulo 9°.- Responsabilidad de las empresas operadoras en la contratación del servicio

Las empresas operadoras serán responsables de todo el proceso de contratación de un servicio público de telecomunicaciones. Para tal efecto se entenderá que las modalidades de contratación incluyen la venta de chips, tarjetas SIM Card y cualquier otro similar destinado a la adquisición del servicio.

Las empresas se encuentran obligadas a requerir al momento de la contratación, la siguiente información:
(i) Nombre y apellidos completos del abonado;
(ii) Número y tipo de documento legal de identificación del abonado, debiendo incluirse únicamente el Documento Nacional $le Identidad, Carné de Extranjería, Pasaporte o Registro Único de Contribuyentes, los mismos que deberán contener el número y/o la serie de dígitos que correspondan para cada tipo de documento; y,
(iii) Número telefónico o de abonado, para el caso de los servicios de telefonía fija y servicios públicos móviles; o número de contrato o de identificación del abonado, en los demás casos.

La información señalada en los numerales (i) y (ii) antes indicados, deberá ser solicitada al abonado al momento de la contratación, debiendo exigirse la exhibición y copia del documento legal de identificación del abonado, con la finalidad que la empresa operadora, en dicha oportunidad, proceda a registrar los datos personales del abonado y archivar la copia del documento legal de identificación. Sin perjuicio de la subsanación en el caso de contrataciones anteriores, la empresa operadora no podrá instalar y/o activar el servicio, hasta que la información proporcionada, a la que hace referencia el presente artículo, haya sido incluida en el registro de abonados correspondiente.

Proponiendo en sustitución del artículo original:

 “Artículo 9°.- Responsabilidad de las empresas operadoras en la contratación del servicio

Las empresas operadoras son responsables de todo el proceso de contratación de los servicios públicos de telecomunicaciones que provean, que comprende la identicación y el registro de los abonados que contratan sus servicios.

Para el caso de la contratación del servicio público móvil en la modalidad prepago se realiza de forma previa o simultánea a su activación. A tal efecto, las empresas operadoras deben vericar, la identidad de los abonados mediante los mecanismos previstos en los artículos 9°A y 9°B, y efectuar el registro correspondiente y vericar que el terminal utilizado para la activación no esté incluido en la base de datos centralizada a cargo de OSIPTEL a que se reere el artículo 9 del Reglamento de la Ley N° 28774, Ley que crea el Registro Nacional de Terminales de Telefonía Celular, establece prohibiciones y sanciones, aprobado por el Decreto Supremo N° 023-2007-MTC.”

En el proceso de contratación del servicio y con la nalidad que la empresa operadora proceda a registrar los datos de identicación del abonado se proporcionará, como mínimo, la siguiente información:
(i) Nombre y apellidos completos del abonado o razón social; y
(ii) Número y tipo de documento legal de identicación del abonado, debiendo incluirse únicamente información del Documento Nacional de Identidad para los abonados nacionales, o del Carné de Extranjería o Pasaporte para los abonados extranjeros, tratándose de persona natural; o Registro Único de Contribuyente (RUC), en el caso de persona jurídica, además del número y tipo de documento legal de identicación de su representante legal.

Las empresas operadoras se encuentran prohibidas de comercializar chips, SIM Card y cualquier otro dispositivo similar con el servicio activado antes de registrar los datos de identicación del abonado en sus Registros Privados de Abonado.”

E incorporó los artículos:

“Artículo 9°A.- Contratación del servicio

Para efectos de la contratación del servicio, las empresas operadoras de los servicios públicos móviles deberán vericar la identidad de sus abonados, para lo cual se encuentran obligadas a utilizar, sin efectuar cobro alguno al abonado, el Sistema de Vericación Biométrica de Huella Dactilar, el mismo que se aplicará en forma progresiva. En su defecto, se aplicará de manera temporal hasta culminar su implementación, el Sistema de Vericación de Identidad No Biométrico, según los términos siguientes:

a) Sistema de Vericación Biométrica de Huella Dactilar:

Es el sistema que permite la identicación de personas a partir de la característica anatómica de su huella dactilar, empleando para tal efecto un dispositivo analizador, que permitirá la validación de la información con la base de datos del RENIEC. Este sistema será implementando obligatoriamente en los centros de atención de las empresas operadoras y en los distribuidores autorizados por las mismas.

De no ser factible la vericación de identidad a través de este sistema, debido a la discapacidad física del solicitante que le impida materialmente someterse a la vericación biométrica de huella dactilar o por problemas con la base de datos de RENIEC, o por fallas de conectividad debidamente acreditados; la información de identidad del solicitante, en el caso de las personas naturales, deberá ser vericada conforme al Sistema de Vericación de Identidad No Biométrico.

En el caso de personas jurídicas la vericación de identidad se realizará a través de su representante legal, sujetándose a las disposiciones contenidas en el Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones, aprobado por Resolución de Consejo Directivo Nº 138-2012-CD/OSIPTEL y modicatorias.

b) Sistema de Vericación de Identidad No Biométrico:

Este sistema consiste en requerir al solicitante del servicio, la exhibición del documento legal de identicación, y solo puede ser empleado por los Distribuidores Autorizados y debidamente registrados por la empresa operadora, conforme a lo establecido en el artículo 9°-B.

Las empresas operadoras deben implementar un Registro de Distribuidores Autorizados, los mismos que harán uso de este sistema, identicándose como tales con un código proporcionado por las referidas empresas.

Este código es empleado en cada oportunidad en que un Distribuidor Autorizado intervenga en la contratación de un nuevo servicio público móvil. 

Artículo 9°B.- Mecanismo de validación de datos por el Distribuidor Autorizado


La empresa operadora implementará un sistema de vericación de identidad a través del cual requerirá al distribuidor autorizado, la conrmación de ciertos datos personales del solicitante del servicio que obren en la base de datos de RENIEC, mediante el uso de mensajes de texto (SMS) o mensajes del Servicio Suplementario de Datos no Estructurados (USSD) o llamadas telefónicas.

Independientemente del medio empleado, la empresa operadora a través del distribuidor deberá requerir del solicitante dicha información en forma aleatoria y luego de contrastarla con la información que conste en la Base de Datos de RENIEC y vericar su coincidencia, realizará la activación del servicio.

Si el solicitante de la activación incurre por tres (3) veces consecutivas, en errores (respuestas con datos incorrectos), no procederá la activación del servicio, debiendo efectuarse ésta únicamente a través del Sistema de Vericación Biométrica de Huella Dactilar en los centros de atención de las empresas operadoras y en los canales de venta autorizados por las mismas. La empresa operadora deberá guardar un registro de la línea y del terminal móvil (serie del equipo: ESN, IMEI u otros) asociado al intento fallido de activación.

El OSIPTEL está facultado a emitir disposiciones complementarias para la implementación de este sistema de vericación de identidad.

En el supuesto que no resulte posible la conexión a la base de datos de RENIEC por fallas en el sistema de dicha entidad, debidamente acreditadas por la empresa operadora, ésta última podrá validar la información de sus abonados utilizando otras bases de datos. Una vez restablecida la conexión, las empresas operadoras deberán revalidar la identidad de estos abonados con la información de la base de datos de RENIEC, dentro de las cuarenta y ocho (48) horas siguientes.

En caso de encontrarse inconsistencias al hacer la validación contra la base de datos de RENIEC, éstas deberán ser subsanadas, bajo responsabilidad de la empresa operadora; caso contrario, se desactivará el servicio. El OSIPTEL supervisará la acreditación de las interrupciones por fallas de conexión y el periodo de las mismas.”

“Artículo 9°C.- Requerimientos adicionales para contratación de servicios por parte de personas naturales


La persona natural que requiera contratar más de diez (10) servicios públicos móviles, bajo cualquier modalidad, en una misma empresa operadora, sólo puede realizar la contratación en sus centros de atención. En estos casos, se aplica únicamente el Sistema de Validación Biométrica de Huella Dactilar.

En este supuesto, la empresa operadora debe solicitar a la persona natural una declaración jurada en la que se comprometa a no destinar dicho(s) servicio(s) a la reventa o comercialización, sin perjuicio de realizar el cambio de titularidad del servicio.

“Artículo 9° D.- Obligación de la empresa operadora de informar sobre la contratación de nuevos servicios públicos móviles

Cuando se contrate un nuevo servicio público móvil, la empresa operadora debe enviar un mensaje de texto a cada uno de los servicios públicos móviles que  guren en el Registro de Abonados de la empresa operadora con el mismo documento legal de identicación.

“Artículo 9° E.- Contratación del servicio para los extranjeros


En el caso de las personas extranjeras, que no están registradas en el RENIEC, a
quienes no les resulta aplicable los sistemas de vericación de identidad señalados en el artículo 9°A, en tanto se implemente el sistema de acceso en línea que permita validar el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería, la contratación del servicio se realizará previa presentación del original y copia del Carnet de Extranjería o del Pasaporte, con la nalidad que la empresa operadora proceda a registrar los datos personales del abonado y archivar copia del documento legal de identicación.”

“Artículo 9°F.- Registro de Información en el Registro Privado de Abonados


La empresa operadora de los servicios públicos móviles, luego de recabar los datos personales del abonado a través de alguno de los procedimientos previstos en los artículos 9°A y 9°B, procederá a incluir dicha información en su Registro Privado de Abonados. La inclusión de la información en el registro deberá realizarse necesaria y obligatoriamente antes de la activación del servicio.

Las empresas operadoras están obligadas a mantener un archivo físico y/o digital, según corresponda, que permita acreditar la utilización de los procedimientos previstos en los artículos 9°A y 9°B, teniendo la carga de probar que realizó tales vericaciones ante cualquier reclamo o investigación al respecto.”

“Artículo 9°G.- De la conexión con bases de datos de otras entidades, supervisión e información


Para la operación del Sistema de Vericación Biométrica de Huella Dactilar y del Sistema de Vericación de Identidad No Biométrico, señalados en el artículo 9°A, la empresa operadora deberá realizar las implementaciones técnicas necesarias para acceder a la base de datos del RENIEC.

El OSIPTEL supervisará la implementación del uso del Sistema de Vericación Biométrica de Huella Dactilar y del Sistema de Vericación de Identidad No Biométrico.”

“Artículo 9°H.- Participación del RENIEC


El RENIEC brindará a las empresas operadoras de servicios públicos móviles y sus canales de venta autorizados, el servicio de vericación biométrica de huella dactilar, así como la atención en línea de las consultas que resulten necesarias para la operación del Sistema de Vericación de Identidad No Biométrico, al costo real del servicio.

La determinación de las tasas o derechos a favor de RENIEC que resulten aplicables, se sujetará a lo prescrito en los artículos 44° y 45° de la Ley N° 27444 – Ley del Procedimiento Administrativo General, al Código Tributario y al Decreto Supremo N° 064-2010-PCM.”

Para ello expuso los Considerandos siguientes:

Que, mediante Decreto Supremo N° 024-2010-MTC se aprobó el procedimiento para la subsanación de la información consignada en el Registro de Abonados, con la nalidad que las empresas operadoras de los servicios públicos móviles cumplan con identicar debidamente a los abonados que contratan dichos servicios. Ello, en tanto que estos servicios, en especial bajo la modalidad de prepago, son indebidamente utilizados para cometer delitos mediante el uso de líneas que no se encuentran registradas a nombre del titular del servicio;


Que, es deber del Estado establecer el uso de herramientas que permitan cautelar la seguridad en los servicios públicos de telecomunicaciones, de modo que sea posible identicar a sus abonados a partir de los registros existentes, prevenir conductas que puedan afectar la normal prestación de los servicios públicos móviles, a fin de cautelar el derecho de las personas a utilizar libremente los servicios públicos móviles y salvaguardar la seguridad ciudadana;



Que, en tal sentido, corresponde expedir el Decreto Supremo que modica el Decreto Supremo N° 024-2010-MTC que aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago;


C.    ENFOQUES 
1. BIOMETRÍA
La biometría (del griego bios vida y metron medida) es el estudio de métodos automáticos para el reconocimiento único de humanos basados en uno o más rasgos conductuales o rasgos físicos intrínsecos.  En las tecnologías de la información (TI), la «autentificación biométrica» o «biometría informática» es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos, de conducta - o una combinación de ambas - de un individuo, para su autentificación, es decir, “verificar” su identidad[2].

Así, la biometría no es solamente el estudio de métodos, la aplicación de técnicas, sino también es considerada como una  característica propia de todo ser vivo, particularmente del hombre.

Frecuentemente utilizada como un medio para combatir la criminalidad, ella presenta  para la persona humana, sin embargo, ciertos riesgos para el ejercicio de sus derechos y libertades fundamentales, y para la  protección de sus datos personales.

Las características biométricas pueden ser físicas (estáticas): huellas dactilares, retina, iris, patrones faciales, red venosa,  geometría de la palma de la mano; o conductuales, de  comportamiento (dinámicas), que incluyen la firma, el paso y el ritmo, forma y acento del tecleo de una persona. La voz se considera una combinación de características físicas y conductuales o comportamentales.

Los sistemas biométricos son considerados a efectos de la normativa europea, particularmente la francesa y la  española, como sistemas de identificación de las personas físicas. En este sentido, se ha de considerar el uso de estos sistemas como posiblemente intrusivos en la privacidad, intimidad personal.

La introducción generalizada de la biometría en los documentos de identidad y en los actos y contratos de las personas es percibida por los ciudadanos como si estuvieran dispuestos a sacrificar “un poco de sus libertades y derechos por considerarlo más seguro”[3], pero limitando su uso a determinados aspectos sensibles, de manera adecuada, pertinente y no excesiva, lo cual supone una estricta valoración de la necesidad y proporcionalidad de los datos tratados.  


2. LEGISLACION EUROPA Y PERU

2.1. UNIÓN EUROPEA

a.     Directiva 95/46/CE

En concordancia con el artículo 6° de la Directiva 95/46/CE: 
“Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines”.
Además, los datos personales serán:
“Adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente (principio de finalidad).
La observancia de este principio supone, primero, fijar  claramente los fines para los cuales se colectan y tratan los datos biométricos. De otro lado, evaluar el cumplimiento de los principios de proporcionalidad y de legitimidad, teniendo en cuenta los riesgos para la protección de los derechos y libertades fundamentales de las personas; y especialmente si los fines perseguidos pueden alcanzarse o no de una manera más o menos intrusiva. 
La proporcionalidad ha sido el criterio principal en casi todas las decisiones adoptadas hasta ahora por las autoridades a cargo de la protección de datos sobre el tratamiento de datos biométrico.
El uso de la biometría plantea también el tema de la proporcionalidad de cada categoría de datos en relacion a los fines a los tratamientos de dichos datos.
Los datos biométricos sólo pueden usarse de manera adecuada, pertinente y no excesiva, lo cual supone una estricta valoración de la necesidad y proporcionalidad de los datos tratados.

b. Comité Consultivo de la Convención 108 del Consejo de Europa[4]

El  Comité Consultivo de la Convención especifica que antes de recurrir a la biometría, el responsable de proceso debería  evaluar de un lado, las  ventajas e inconvenientes posibles para la vida privada de la persona afectada y, del otro, las   finalidades previstas, así como tener en cuenta posibles  soluciones alternativas que supongan  un menor amenaza contra la vida privada. Aclara, por tanto, este mismo órgano, que  no se debería optar por la biometría únicamente por el hecho de que su  uso resulte  práctico. En efecto, la utilización de la biometría puede atentar  contra la dignidad humana.

Tal y como se especifica en el Informe relativo a los principios de colecta y tratamiento de los datos biométricos, artículo 5º, letra b), los datos de carácter personal deben ser procesados para finalidades determinadas y legítimas.

Optar por utilizar los datos biométricos implica determinar y explicitar la finalidad de su proceso, su obtención debe ser justificada y por tanto necesaria.

En la Resolución 1797 (2011)[5]  sobre la necesidad de llevar a cabo una reflexión mundial sobre las consecuencias de la biometría para los derechos humanos, la Asamblea del Comité Consultivo de la Convención 108, invita a los Estados miembros, a promover el principio de proporcionalidad en materia de utilización de datos biométricos, específicamente:

4.3.1. Limitar a lo estricto necesario la evaluación, el tratamiento y el almacenamiento de estos datos, en otras palabras, limitando estos procesos para los casos en que el beneficio en términos de seguridad o de protección de la salud pública o de los derechos de terceros sería más importante que cualquier interferencia con los derechos humanos, y si el recurso a otras técnicas menos intrusivas es insuficiente;
4.3.2. Proponer otras formas de identificación y verificación a todas las personas que no pueden o no quieren proporcionar datos biométricos cuando tales datos pueden incluir, sin necesidad, informaciones médicas o de salud personal;
4.3.3. Trabajar sobre datos formateados en lugar de datos biométricos al estado bruto, en lo posible;
4.3.4. Garantizar el derecho de las personas a ser informadas de la colecta y el tratamiento de sus datos biométricos;
4.3.5. Reforzar la transparencia, y haciendo de ella un requisito previo para el consentimiento informado y, en su caso, facilitar la revocación del consentimiento;
4.3.6. Permitir que cualquier persona pueda acceder a los datos personales y/o solicitar la eliminación o rectificación;
4.3.7. Prever  sistemas de almacenamiento apropiados, sobre todo reduciendo al mínimo la posibilidad de un reagrupamiento central de datos e impidiendo el reagrupamiento abusivo de sistemas de almacenamiento de datos no relacionados;
4.3.8. Garantizar que los datos biométricos sólo sean utilizados para los fines para los que fueron colectados de conformidad con la ley e impidiendo su difusión o todo acceso no autorizado;
     

2.2.            FRANCIA

El uso de la biometría, entre las diversas Declaraciones sobre Bancos de Datos Personales, está sometido a una Solicitud de Autorización previa. (Artículos 25, 54 y 64 de la Ley de 06 de enero 1978)

Este procedimiento se aplica en los tres casos siguientes:

• Datos sensibles: origen racial o étnico, opiniones - datos biométricos (huellas digitales, contorno de la mano,...) genéticos - las infracciones, condenas y medidas de seguridad - las apreciaciones sobre las dificultades sociales de los individuos.

• Las
finalidades específicas: tratamientos estadísticos del Instituto de Estadísticas, INSEE - tratamientos susceptibles de excluir de beneficios de un derecho, de una prestación o de un contrato –, la interconexión de archivos de finalidades diferentes - tratamientos de investigación médica -, tratamientos que tienen por finalidad la evaluación de prácticas de cuidados médicos.

• Las transferencias de datos fuera de la Unión Europea: hacia un organismo con sede en un país externo a la Unión Europea y cuyo nivel de protección no es suficiente

También la Comisión Nacional de Informática y Libertades, CNIL, francesa ha rechazado el uso de huellas digitales en el caso del acceso de niños a un comedor escolar, pero ha aceptado con el mismo fin el uso de los resultados de muestras de las manos.
Finalmente, sobre los pasaportes biométricos, la CNIL  ha decidido el borrado de huellas supernumerarias de la base de datos del Ministerio del Interior, en enero de 2013, tras la decisión del Consejo de Estado, que anuló la colecta y conservación de ocho huellas dactilares de solicitantes de pasaportes biométricos. Sólo dos huellas dactilares ahora deben ser almacenadas en la base de datos central gestionada por el Ministerio de Interior. La CNIL, que presta especial atención a las condiciones de procesamiento de datos biométricos, controló en la sede del Ministerio del Interior, el borrado efectivo de las huellas dactilares supernumerarias colectadas.

En una sentencia de 26 de octubre de 2011, el Consejo de Estado anuló una disposición del Decreto de 30 de diciembre de 2005 sobre pasaportes biométricos. Esta preveía la colecta y la conservación por parte del Ministerio de ocho huellas dactilares de los solicitantes de pasaportes biométricos, aunque sólo dos de estas huellas digitales se registran en el pasaporte biométrico. Mediante Decreto del 16 de abril de 2012, emitido tras consultar al CNIL, limita después la colecta y conservación en la base central a sólo dos huellas dactilares registradas en el componente electrónico del pasaporte.

Sin embargo, varias denuncias de personas que se sorprendieron de tener que depositar ocho de sus dedos en el sensor biométrico durante su solicitud de pasaporte fueron presentadas a la CNIL.

Desde noviembre de 2011, sólo dos huellas sobre las ocho recogidas se almacenan realmente en la base de datos. Cuando el solicitante presenta sus ocho dedos en el sensor de la Alcaldía, se realiza la selección automática de las dos mejores huellas digitales por el sistema y sólo estas dos últimas se reenvían a la base de datos central, los otras seis no se conservan.

La purga de las  huellas supernumerarias recogidas previamente comenzó 21 de septiembre 2012 y todos los datos biométricos supernumerarios se han borrado de la base de la Agencia Nacional de Seguridad de Títulos, ANTS, el  17 de octubre de 2012. La interrogación aleatoria de la base biométrica ha confirmado la presencia de solo dos huellas, máximo, por ficha.

2.3.           ESPAÑA

La Agencia de Protección de Datos Personales de España, www.agpd.es ha respondido mediante el Informe N° 0082/2010, “el uso desproporcionado, la necesidad de recabar la huella dactilar para prestar un servicio comercial a los clientes”.

La consulta planteada era: sí la creación de una base de datos, con la huella dactilar de los clientes, al que se otorga un código alfanumérico, debe registrarse en la Agencia Española de Protección de Datos de conformidad con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal?

Lo que habilita a analizar es de saber si se trata de datos identificables y por ello datos de carácter personal sometidos a la Ley Orgánica 15/1999.

Según se desprende del contenido de la consulta, el sistema se basa en la identificación del cliente a través de la asociación de un código alfanumérico a la huella dactilar que se obtiene del mismo.

A tal efecto, el artículo 2.1 de la citada Ley establece en su párrafo primero que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, conforme al artículo 3 a), “cualquier información concerniente a personas físicas identificadas o identificables”.

El artículo 5. 1 f) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre considera datos de carácter personal a:

“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”  Añade a su vez el artículo 5.1.o) que será persona identificable “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”.

Si se aplican las definiciones transcritas al supuesto planteado en la consulta, se puede afirmar que la base de datos a crear es un archivo sometido a la Ley Orgánica15/1999, puesto que el código alfanumérico obtenido a través de la huella dactilar identifica a los clientes. Además, carecería de sentido instalar un sistema por el que se pretende otorgar servicios a los clientes sin que éstos pudieran identificarse.

Este criterio ha sido ratificado por la Audiencia Nacional en sentencia de 8 de marzo de 2002. Según se cita en la misma:

 “Para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados”. Señala también que “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”

Se puede concluir, que la base de datos que se pretende instalar se encuentra regulada a la Ley Orgánica 15/1999, por lo que debe registrarse en el Registro General de Protección de Datos.

No obstante, si el objeto es el tratamiento de datos de carácter personal, debe tomarse en consideración, que la doctrina jurisprudencial del Tribunal Constitucional ha configurado el derecho a la protección de datos personales como un derecho fundamental autónomo, diferenciado del derecho fundamental a la intimidad, (STC 292/2000) por lo que además de tratar la cuestión relativa a sí nos encontramos en presencia de datos personales, es la de la proporcionalidad de dicha medida.

El artículo 4.1 de la Ley Orgánica 15/1999, consagra el principio de proporcionalidad en el tratamiento, estableciendo que:

“Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

De ello se colige la necesidad que el tratamiento de un determinado dato de carácter personal, la huella dactilar unida al código alfanumérico, debe ser proporcional a la finalidad que lo motiva.

Respecto de la proporcionalidad ha señalado el Tribunal Constitucional en la Sentencia 207/1996 que se trata de:

 “Una exigencia común y constante para la constitucionalidad de cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad, y más en particular de las medidas restrictivas de derechos fundamentales adoptadas en el curso de un proceso penal viene determinada por la estricta observancia del principio de proporcionalidad”.

Comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, requiere constatar si cumple tres requisitos o condiciones: idoneidad, necesidad, proporcionalidad

Si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad);

Si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente,

Si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

Si pudiera obtenerse tal finalidad vía la realización de una actividad distinta al citado tratamiento, sin que dicha finalidad sea alterada o perjudicada, debería optarse por esa última actividad, dado que el tratamiento de los datos de carácter personal supone, según el Tribunal Constitucional, en Sentencia 292/2000, de 30 de noviembre, una limitación del derecho de la persona a disponer de la información referida a la misma.

En el caso de figura, la finalidad que motiva el tratamiento es, según se señala en la consulta, es otorgar un servicio a un cliente, por lo que debe tenerse en cuenta lo dispuesto en el artículo 4.1 de la Ley Orgánica antes señalado. El problema se planteará entonces en determinar si el tratamiento de la información biométrica de huella dactilar puede ser considerado excesivo para el fin que motiva dicho tratamiento, pudiendo prestarse el mismo servicio sin necesidad de recabar la huella dactilar del cliente.

En virtud de todo lo expuesto, y atendiendo al juicio de proporcionalidad que el Tribunal Constitucional exige en la adopción de este tipo de medidas, se puede concluir que resulta desproporcionada, la necesidad de recabar la huella dactilar para prestar un servicio comercial a los clientes, cuando dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de las tarjetas de fidelización.

2.4.           PERU

a.     Ley N° 29733

Artículo 2. Definiciones

(…)
5. Datos sensibles. Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

Artículo 3. Ámbito de aplicación

La presente Ley es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional. Son objeto de especial protección los datos sensibles.

Artículo 13. Alcances sobre el tratamiento de datos personales

(…)
13.6 En el caso de datos sensibles, el consentimiento para efectos de su tratamiento, además, debe efectuarse por escrito. Aun cuando no mediara el consentimiento del titular, el tratamiento de datos sensibles puede efectuarse cuando la ley lo autorice, siempre que ello atienda a motivos importantes de interés público.
Artículo 18. Derecho de información del titular de datos personales

El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.

DISPOSICIONES COMPLEMENTARIAS FINALES

(…)
OCTAVA. Información sensible

Para los efectos de lo dispuesto en la Ley 27489, Ley que Regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la Información, se entiende por información sensible la definida como dato sensible por la presente Ley.

Igualmente, precísase que la información confidencial a que se refiere el numeral 5) del artículo 17 del Texto Único Ordenado de la Ley 28706, Ley de Transparencia y Acceso a la Información Pública[6], constituye dato sensible conforme a los alcances de esta Ley.

b.     D.S. N° 003-2013-JUS Reglamento de la Ley 29733

Definidos en la Ley explícitamente el Reglamento no hace mención expresa de biometría.

Artículo 2. Definiciones

(…)
6. Datos sensibles:
Es aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad.
Artículo 7. Principio de proporcionalidad
Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
Artículo 8.- Principio de nalidad.
En atención al principio de nalidad se considera que una nalidad está determinada cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se específica el objeto que tendrá el tratamiento de los datos personales.
Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justicarse si su nalidad además de ser legítima, es concreta y acorde con las actividades o nes explícitos del titular del banco de datos personales.
Los profesionales que realicen el tratamiento de algún dato personal, además de estar limitados por la nalidad de sus servicios, se encuentran obligados a guardar secreto profesional.
Artículo 14.- Consentimiento y datos sensibles.
Tratándose de datos sensibles, el consentimiento debe ser otorgado por escrito, a través de su firma manuscrita, firma digital o cualquier otro mecanismo de autenticación que garantice la voluntad inequívoca del titular.

Artículo 28.- Consentimiento excepcional.
Podrá hacerse tratamiento de los datos personales de mayores de catorce y menores de dieciocho años con su consentimiento, siempre que la información proporcionada haya sido expresada en un lenguaje comprensible por ellos, salvo en los casos que la ley exija para su otorgamiento la asistencia de los titulares de la patria potestad o tutela.
En ningún caso el consentimiento para el tratamiento de datos personales de menores de edad podrá otorgarse para que accedan a actividades, vinculadas con bienes o servicios que están restringidos para mayores de edad.

c.      Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales


MEDIDAS DE SEGURIDAD

1.    DISPOSICIONES GENERALES

1.1 Categoría:

1.1.1. Se debe considerar la siguiente clasificación de categorías en el tratamiento de datos personales y el principio de proporcionalidad descrito en el artículo 7 de la Ley N° 29733 cuando no exista coincidencia exacta.

Corresponde a las Categorías de bancos de datos personales: c) Intermedio,  d) Complejo y e) Crítico,  todos ellos que pueden incluir datos sensibles. No incluye los niveles a) básico ni b) simple.

1.1.2       Justificación de los criterios

a)  Volumen de registros
El tratamiento de altos volúmenes de datos personales requiere, actualmente, el uso de tecnologías de la información. Lo cual, incorpora mejoras fundamentales en los tiempos de procesamiento, pero también incorpora un conjunto de vulnerabilidades asociadas a la tecnología utilizada, por lo que los niveles de protección deben ser adecuados y comúnmente son mayores a los de un tratamiento sin tecnologías de la información.
b)  Número de datos.-
El número de datos personales de cada titular de datos personales que se procesa es un criterio a considerar porque incluye un mayor nivel de detalle sobre el titular de los datos personales con o sin la inclusión de datos sensibles.
c) Periodo de tiempo para la finalidad del tratamiento de datos personales.-
El tener un periodo de tiempo indeterminado o muy largo, para cumplir la finalidad del tratamiento, implica un aumento en el nivel de seguridad que debe observarse en el almacenamiento que se dé a los datos personales durante el periodo del tratamiento, así como en el nivel de impacto sobre el titular de los datos personales en caso de pérdida de la información, lo que puede conducir a la implementación de mecanismos de recuperación ante desastres o no.
d) La titularidad del banco de datos personales.-
Proporciona un criterio de selección que principalmente separa los extremos de las categorías. Es decir, no se le puede asignar a una persona natural una categoría de altísimo nivel porque no dispone de los recursos necesarios, ni será necesario - como regla general - que implemente las medidas más complejas. En el caso de las entidades públicas, se cuenta con la Resolución Ministerial 129-2012-PCM, que las obliga a implementar un sistema de gestión de seguridad de la información. Con lo cual, no se les puede asignar una categoría de menor nivel, debido a que la información que manejan impacta directamente en los titulares de datos personales. Sin embargo, para las categorías simple, intermedio y complejo se pueden tener combinaciones más acordes al tipo de tratamiento que se realice.
e)  Finalidad  del  tratamiento  de  datos  personales  respaldada  por norma legal.-
Tiene especial impacto por ser obligatorio, esto determina  el tipo crítico.
f) Múltiples localizaciones-
El acceso   o   tratamiento   distribuido incorpora  un nivel de  atención especial porque incluye la transferencia   de   datos entre   múltiples locales   de   tratamiento (ubicaciones  diferentes,  pueden  ser  inmuebles  diferentes  en   la misma ciudad o ciudades diferentes), lo que genera complejidad y puede hacerlo crítico.
g)  Tratamiento de datos sensible.-
Al incluir estos datos se debe tomar medidas de protección como mínimo de categoría intermedio.

1.1.3. Matriz de apoyo para la selección de categoría en el tratamiento de datos personales
Ítem
Criterio                                              

Intermedio

Complejo
Critico
1
Volumen de registros, número de titulares de datos personales que consienten el tratamiento de sus datos.
Hasta 1000

Indeterminado
Indeterminado
2
Número de datos personales en banco de datos  personales que  no contienen datos sensibles.  (Criterio utilizado para determinar el tipo básico)

Más de 5
Más de 5
Más de 5
3
Finalidad del tratamiento de datos personales respaldada por ley o similar. (Criterio utilizado para determinar el tipo crítico)

No aplica
No aplica
Aplica
4
Periodo mayor a un (01) o o (indeterminado para cumplir la finalidad (tiempo de tratamiento de los datos personales).

Aplica
Aplica
Aplica
5
Tipo de Titular del  banco de datos personales: persona natural. (Criterio utilizado para determinar el tipo entre básico a intermedio). .

Aplica
No aplica
No aplica
6
Tipo de Titular del  banco de datos personales: (Criterio utilizado para determinar la categoría entre simple a complejo) persona jurídica. (Criterio utilizado para determinar la categoría entre simple a complejo)

Aplica
Aplica
Aplica
7
Titular del banco  de datos personales del tipo persona jurídica o  entidad   pública  con   múltiples localizaciones desde  las  cuales  se tiene acceso al banco de datos personales o se realiza          tratamiento de los datos personales. (Criterio utilizado  para determinar  la categoría complejo o crítico)

No aplica
Aplica
Aplica
8
El   banco  de  datos personales puede incluir datos  sensibles. (Criterio utilizado para determinar la categoría entre Intermedio a crítico).
Aplica
Aplica
Aplica



1.2 Condiciones de seguridad:
1.2.1     Condiciones de seguridad externas
a)      Marco legal apropiado (leyes, reglamentos, o similares).
b)      Conocimiento y conciencia (conocer la importancia de la protección de los datos personales, la Ley N° 29733, Ley de Protección de Datos Personales, y su reglamento).
1.2.2    Condiciones de seguridad internas
a)   Compromiso del titular del banco de datos personales (para brindar los recursos y dirección en la protección de los datos personales).
b)   Comprender el contexto institucional en el tratamiento y protección de los datos personales (Contexto organizativo, tecnológico, jurídico, legal, contractual, regulatorio, físico, etc.).
c)  Determinar claramente las responsabilidades y roles organizacionales apropiados con la suficiente autoridad y recursos para liderar y hacer cumplir la política de seguridad   para   la protección   de   datos personales.
d)   Enfoque de gestión del riesgo de los datos personales contenidos o destinados a ser contenidos en los bancos de datos personales.



1.3  Requisitos de seguridad:

1.3.1   Sin perjuicio de las condiciones de seguridad, se deben cumplir los requisitos de seguridad señalados a continuación



Aplica a la categoría de Tratamiento
Ítem
Requisito
Intermedio
Complejo
Critico
1.3.1.1

Determinar y dar a conocer una  política de protección  de  datos personales.  Una declaración breve y directa que demuestre el compromiso institucional y el involucramiento de sus autoridades con la protección de los datos personales en el tratamiento que se dé a los bancos de datos personales bajo su titularidad.
Incorporar ítem 1.4.1
Incorporar ítem 1.4.1
Incorporar ítem 1.4.1
1.3.1.2

Mantener la gobernabilidad completa de los procesos involucrados en el tratamiento de los datos personales, es decir, conocer los procesos y procedimientos y tener  control de las decisiones sobre los procesos involucrados en el tratamiento de datos cuando estos sean tercerizados o no.

Requerido
Requerido
Requerido
1.3.1.3
Implementación de las medidas de seguridad  según las disposiciones específicas del numeral 2
Implementar medidas de seguridad de tipo intermedio
Implementar medidas de seguridad de tipo intermedio
Implementar medidas de seguridad de tipo intermedio
1.3.1.4

Implementar y mantener los siguientes procedimientos documentados.
Incorporar  ítem1.4.3  
Incorporar   ítem 1.4.3  
Incorporar   ítem 1.4.4
1.3.1.5

Adoptar un enfoque de riesgos y basar las decisiones en el plan de tratamiento de riesgos del banco de datos personales.
Requerido
Requerido
Requerido
1.3.1.6

Alineamiento  a  los  requisitos  según  NTP-ISO/IEC 27001   o  ISO/IEC  27001   en  su  edición  vigente, incorporando dentro del alcance del SGSI los bancos

Opcional
Requerido
Requerido
1.3.1.7

Desarrollar y  mantener actualizado un documento  maestro  de seguridad  de  la  información del  banco  de  datos personales. 
Requerido
Requerido
Requerido
1.3.1.8

Desarrollar y  mantener actualizado un documento de compromiso de confidencialidad en el tratamiento de  datos personales (artículo 17 de la Ley N° 29733 aplicable al personal relacionado con el tratamiento de datos personales.
Incorporar el requisito dentro de los formatos, procedimientos o procesos apropiados en la organización.
Incorporar el requisito dentro de los formatos, procedimientos o procesos apropiados en la organización.
Incorporar el requisito  dentro de los formatos, procedimientos o procesos apropiados en la organización


1.4     Información complementaria sobre requisitos (Para aplicar según cuadro de requisitos)

1.4.1     La política de protección de datos personales es una declaración formal de compromiso y debe considerar:
a)        Ser clara y comprensible, tanto para el personal involucrado en el tratamiento como para los titulares de datos personales que hayan consentido el tratamiento.
b)        Ser apropiada para los objetivos de la organization
c)        Proporciona un lineamiento de alto nivel organizacional y objetivos claros que sirven de dirección para la implementación de las condiciones, requisitos y medidas de seguridad apropiadas.
d)        Incluir un compromiso de cumplimiento de  los requisitos de seguridad aplicables.
e)        Incluir compromiso de respeto a los principios de la Ley N° 29733, Ley de Protección de Datos Personales.
f)         Incluir un compromiso de mejora continua.
g)        Comunicarse oportuna y claramente al interior de la organización.
1.4.2    Se debe lograr la implementación y el mantenimiento de los siguientes procedimientos documentados:
a)        Control de documentos y registros.
b)        Registros de personal con acceso autorizado.
c)        Registro de incidentes y medidas adoptadas.
1.4.3    Se debe lograr la implementación y mantener los siguientes   procedimientos documentados
a)    Control de documentos y registros.
b)     Registros de acceso.
c)        Registro de auditorías.
d)        Registro de incidentes y problemas.
1.4.4    Incluidos en el Sistema de Gestión de la Seguridad de la Información, SGSI, incluyendo además un registro de control de acceso, según el articulo 39 del reglamento de la Ley N° 29733.

2.   DISPOSICIONES ESPECÍFICAS
a)     Para los tratamientos determinados como complejos o críticos, se deben implementar los controles adecuados de un sistema de gestión de seguridad de la información bajo los requisitos y controles de la NTP-ISO/IEC 27001 EDI en su edición vigente, incorporando a los bancos de datos personales dentro del alcance del SGSI, asegurando como mínimo el cumplimiento de las medidas indicadas a continuación y que los riesgos asociados al banco de datos personales sean adecuadamente gestionados.

b)    El titular del banco de datos personales debe designar un responsable de seguridad del banco de datos personales, quien coordinará en la institución la aplicación de la presente directiva. El rol de responsable de seguridad del banco de datos personales debe asignarse a una persona que tenga las capacidades y autoridad necesaria para el desarrollo de sus funciones. Cuando dicha designación no exista, se entiende que el rol de responsable de seguridad del banco de datos personales recae en el titular del banco de datos personales.

c)     Las referencias a documentos o registros pueden estar en cualquier formato o tipo de medio (Hoja impresa, cuaderno, página web, afiche, registro de video, entre otros).

d)     Limitar los bancos de datos personales a los datos estrictamente necesarios para cumplir la finalidad para la cual fueron acopiados.

e)     Evaluar la posibilidad  de  implementar mecanismos de anonimización o disociación aplicables.
A ello se agregan:

2.4.1.      Medidas de Seguridad Organizativas
2.4.2.      Medidas de Seguridad Jurídicas
2.4.3.      Medidas de Seguridad Técnicas


II.                REGISTRO NACIONAL DE DE TERMINALES DE TELEFONÍA CELULAR, RNTTC  Y REGISTRO DE ABONADOS PRE PAGO

A.    D.S. N° 022-2014-MTC

 

Decreto Supremo que modifica el Decreto Supremo N° 023-2007-MTC que aprueba el Reglamento de la Ley N° 28774, Ley que crea el Registro Nacional de Terminales de Telefonía Celular, establece prohibiciones y sanciones

 

Artículo 1°.- Modicación del artículo 3° del Reglamento de la Ley N° 28774, aprobado por Decreto Supremo N° 023-2007-MTC

 

Este D.S. mantiene y subraya dos aspectos que pueden ser contrarios a las normas de protección de los datos personales:
 
El Artículo 2°.- de la Ley N° 28774, precisa el objeto del RNTTC:

El Registro Nacional de Terminales de Telefonía Celular tiene por objeto registrar la marca, modelo, serie, numeración y propietario de los teléfonos celulares que comercializan las empresas del rubro autorizadas con la finalidad de contrastarla con los que se reportan como hurtados, robados o perdidos ante las Empresas Concesionarias.

 

Según el Articulo 3, original D. S. N° 023-2007-MTC,  y el modificado por el D.S. 022-2014-MTC, mantienen ambos, que cada empresa concesionaria deberá contar obligatoriamente con un Registro Privado de Abonados, independientemente de la modalidad de pago, el mismo que contendrá como mínimo.
El Artículo 6. Principio de finalidad de la Ley N° 29733 de Protección de Datos Personales, determina que: Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita.  Y su Reglamento N° 003-2013, JUS, Artículo 8.- Principio de nalidad, agrega:
En atención al principio de nalidad se considera que una nalidad está determinada cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se específica el objeto que tendrá el tratamiento de los datos personales.
Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justicarse si su nalidad además de ser legítima, es concreta y acorde con las actividades o nes explícitos del titular del banco de datos personales.
El sustantivo mínimo, expresa el límite inferior al que puede llegar el numero de registros, posibilitando la norma extender estos, enervando el principio de finalidad.
La segunda observación, subraya la diferencia entre los dos artículos, original y modificado, de los Ds.Ss. mencionados en el párrafo anterior, y el rol de OSIPTEL en el RNTTC:
Los Registros Privados de Abonados de cada una de las empresas concesionarias de los servicios públicos móviles deberán ser reportados al OSIPTEL con la nalidad de constituir el Registro Nacional de Terminales de Telefonía Celular, los que deberán incluir abonados post-pago, pre-pago y control.

El OSIPTEL establecerá las disposiciones necesarias para el cumplimiento de lo previsto en el presente artículo.”
  
Cada una de las empresas concesionarias de los servicios públicos móviles deberá así reportar los Registros Privados de Abonados a OSIPTEL, quien constituirá el Registro Nacional de Terminales de Telefonía Celular, estableciendo las disposiciones necesarias para el cumplimiento de lo previsto en este artículo modificatorio.
Ello plantea el establecimiento por OSIPTEL de Directivas de normalización de los Registros Privados de Abonados por las empresas concesionarias de los servicios públicos móviles, de seguridad lógica, jurídica, organizativa, incluyendo responsabilidades personales, institucionales y de comunicación, como de declaración individual y colectiva de los Bancos de Datos  ante la Autoridad Nacional de Protección de Datos Personales, APDP, incluyendo su adecuación  a la Norma Técnica Peruana NTP-ISO/IEC 27001.
Aun más: la propia normativa sobre la protección de datos personales en el Perú debe progresar, estableciéndose:
·         opinión previa de la APDP sobre proyectos e iniciativas normativas referidas a las libertades, derechos y obligaciones de las personas por parte de las autoridades públicas; y de tratamientos sui generis, por parte de las autoridades privadas.
·         procedimientos de información a los interesados sobre el objeto de la colecta, tratamiento y difusión de los datos personales, por parte de los Proveedores de Acceso Internet, y Empresas concesionarias de los servicios públicos móviles.
·         garantías del responsable de la colecta, tratamiento y difusión sobre la seguridad de los datos personales al interior y al exterior del ámbito de las telecomunicaciones, impidiendo toda alteración, deformación o divulgación no autorizada de los mismos.
·         formas y procedimientos de protección, acceso y conservación de los datos, garantizándose el encriptamiento en los flujos y en las bases de datos; la anonimización, el derecho al olvido (Purga de los sistemas) y de las estaciones de trabajo.
·          

Artículo 2°.- Incorporación del artículo 8°A en el Reglamento de la Ley N° 28774, aprobado por Decreto Supremo N° 023-2007-MTC


La incorporación del Artículo 8°A.-, apunta, primero,  a implementar un sistema automatizado de captura del número de serie electrónico del equipo terminal móvil, a fin de:

·         identicar si se encuentran activos en su red dos o más equipos con un mismo número de serie o,
·         los cambios de tarjetas SIM sobre un equipo terminal.

Nada permite infimar que las empresas concesionarias no disponen ya de un tal sistema, y que a falta de este, OSIPTEL debiera proveer Directivas o Términos de referencia para su normalización.

La pertinencia de este sistema se justificaría de establecerse un interfaz entre las denuncias policiales, las investigaciones judiciales  y el uso de estos sistemas automatizados. Según su redacción, el sistema solo serviría para capturar e identificar dos o más equipos en circulación o la inserción de una tarjeta SIM en más de un equipo terminal móvil. Así, mientras no sean reportados como hurtados, robados o perdidos terminales de telefonía celular a las empresas concesionarias, no se justifica  según el artículo 2° de la Ley N° 28744 ninguna alerta. El frecuente intercambio de tarjetas SIM de equipos terminales profesionales a personales y viceversa; el uso de equipos terminales móviles que soportan varias tarjetas, o el uso indiferenciado de una u otra red con un mismo equipo, no constituyen per se un ilícito, ello requiere ser confrontado con la denuncia de hurto o robo, sin incluir la pérdida o extravío, sujeta a reglas de derecho generales.

Un segundo aspecto está referido al tiempo de conservación de la información por un periodo mínimo de tres (3) años. Como en la observación anterior sobre el concepto de mínimo, mencionado líneas arriba, no se trata de fijar mínimos sino plazos máximos o exactos. Además, la conservación se declina en función de los tipos de información a conservar y de los posibles sectores a los cuales puede aplicarse, al menos esa es la experiencia a extraerse de otros países.

En Francia, por ejemplo, la conservación de la información se divide en información de tráfico e información de navegación, y según diferentes sectores: Seguridad Cotidiana (Sécurité Quotidienne 2001), Seguridad interior (Sécurité Intérieure 2003), Confiance en la economía numérica (Confiance en l’économie Numérique 2004), Lucha contra el terrorismo, seguridad y controles fronterizos (Lutte contre le terrorisme, sécurité et contrôles frontaliers 2006), cuyo promedio de conservación es no mayor de 12 meses[7]. El Decreto Supremo objeto de este análisis  no contempla similares lineamientos.

B. D.S. N° 023-2014-MTC

 

Decreto Supremo que modifica el Decreto Supremo N° 024-2010-MTC que aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago


Artículo 1°.- Modicación del artículo 9° del Decreto Supremo N° 024-2010-MTC


Este D.S. mantiene y subraya otros  aspectos que pueden ser contrarios a las normas de protección de los datos personales, referido sobre todo al uso de la biometría:

Articulo 9°.- Existen algunas diferencias  entre los artículos 9°, original y modificatorio, diferenciando éste ultimo  las modalidades de pago y el tipo de persona contratante. Para la modalidad de la contratación prepago la identicación y el registro de los abonados se realiza de forma previa o simultánea a su activación[8].

A tal efecto, las empresas operadoras deben vericar, la identidad de los abonados mediante los mecanismos previstos en los artículos 9°A y 9°B, y efectuar el registro correspondiente y vericar que el terminal utilizado para la activación no esté incluido en la base de datos centralizada a cargo de OSIPTEL a que se reere el artículo 9° del Reglamento de la Ley N° 28774.
Artículo 2°.- Incorporación de los artículos 9°A, 9°B, 9°C, 9°D, 9°E, 9ºF, 9ºG y 9ºH en el Decreto Supremo N° 024-2010-MTC
El Artículo 9°A.- Contratación del servicio, prevé que las empresas operadoras de los servicios públicos móviles deberán vericar gratuitamente, la identidad de sus abonados, mediante el uso obligatorio de dos sistemas: un Sistema de Verificación  Biométrico de Huella Dactilar, que se aplicará en forma progresiva. Dos, en su defecto, se aplicará de manera temporal hasta culminar su implementación, el Sistema de Vericación de Identidad No Biométrico, según los términos fijados[9].

            Sobre este artículo caben algunas observaciones:

Primero, la implementación de un Sistema de Verificación  Biométrico de Huella Dactilar resulta excesivo y desproporcionado  en relacion al objeto perseguido por el artículo 2° de la Ley N° 28774:

Registrar la marca, modelo, serie, numeración y propietario de los teléfonos celulares que comercializan las empresas del rubro autorizadas con la finalidad de contrastarla con los que se reportan como hurtados, robados o perdidos ante las Empresas Concesionarias.  

Toda vez que los datos personales solicitados  a los abonados, en las modalidades de contratación de terminales de telefonía móviles pre pago y post pago, cumplen con la finalidad para la cual son registrados: verificar la identidad del contratante, no son excesivos ni constituyen datos sensibles.

Recordemos que la Ley N° 29733, en su Art. 2°, define como:

5. Datos sensibles. Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

            Una segunda observación se refiere a que el Sistema de Vericación de Identidad No Biométrico, no cumple el rol de Sistema por defecto, es decir, utilizado como Sistema alternativo global al Sistema de Verificación Biométrico de Huella Dactilar, sino como un Sub Sistema aplicables a distribuidores autorizados o excepcional, (en caso de discapacidad física del solicitante, problemas con la base de datos de RENIEC, o  por fallas de conectividad debidamente acreditados, o incluso en los casos del Art 9°.-B, tercer párrafo).

Tampoco que éste:se aplicará de manera temporal hasta culminar su (la) implementación (del Sistema de Verificación Biométrico de Huella Dactilar)”, según la redacción propuesta, ésta es impropia. No puede ser temporal porque se aplica aun después de la implementación del Sistema Biométrico, a los distribuidores autorizados o excepcionalmente. 

            Una tercera observación estriba en el uso de la base de datos de RENIEC como referencia oficial para la verificación de la existencia y datos identificantes de la persona física: prenombres y apellidos, domicilio, edad, sexo, estado civil, necesarios a la acreditación de la capacidad para contratar. Pero ello suscita otro tipo de reflexiones más generales sobre: la legitimidad de la segmentación de la información que debe o puede poner RENIEC a disposición de terceros (empresas concesionarias de servicios públicos); las directivas que sobre el particular pudiera autorizar o emitir la APDP; la verificación de la habilidad o incapacidad para contratar de determinadas personas ante las autoridades responsables (de los regímenes de tutela, curatela, interdicción de derechos civiles,...), o inclusive ante las autoridades de migraciones en el caso de extranjeros residentes o temporales. Y todo ello administrado descentralizadamente desde los locales de las empresas concesionarias de terminales de telefonía móvil o distribuidores autorizados.

            Felizmente, el legislador no amplió el cafarnaúm de aplicar el Sistema de Verificación Biométrico de Huella Dactilar a los representantes de las personas jurídicas.   

            Finalmente, subsiste la duda de si los costos de ambos Sistemas de verificación, gratuitos para las empresas operadoras de los servicios públicos móviles pudieran ser facturados a los abonados. 

El Artículo 9°B.- Mecanismo de validación de datos por el Distribuidor Autorizado, prevé uno vía la implementación por la empresa operadora de un sistema de vericación de identidad a través del cual requerirá al distribuidor autorizado, la conrmación de ciertos datos personales del solicitante del servicio que obren en la base de datos de RENIEC - u otras bases de datos por fallas en ésta, revalidándola dentro de las 48 horas con RENIEC -, mediante el uso de mensajes de texto (SMS) o mensajes del Servicio Suplementario de Datos no Estructurados (USSD) o llamadas telefónicas.

EL distribuidor deberá requerir del solicitante la conrmación de ciertos datos personales en forma aleatoria y luego de contrastarla con la información que conste en la Base de Datos de RENIEC y vericar su coincidencia, realizará la activación del servicio.

Si el solicitante de la activación incurre por tres (3) veces consecutivas en errores, las empresas operadoras no procederán a la activación del servicio, debiendo efectuarse ésta únicamente a través del Sistema de Vericación Biométrica de Huella Dactilar en sus centros de atención y en los canales de venta autorizados por las mismas.

La cuestión esencial de este artículo radica en el tipo de información demandada al solicitante, y las consecuencias de los errores de éste sobre la aplicación del Sistema Biométrico.

El tipo de información cumplirá con la finalidad si no supera los identificantes necesarios a su cumplimiento, es decir, declinar datos administrativos: prenombres, apellidos, DNI, dirección domiciliaria, edad; la misma que será objeto de análisis sobre su pertinencia y segmentación en la consulta por RENIEC, APDP, y otras autoridades acreditadas sobre la habilidad y capacidad en el ejercicio de derechos y contratación.

La consecuencia inmediata de los errores en las respuestas de la información en forma aleatoria requerida al solicitante es la no procedencia de la activación del servicio: debiendo efectuarse ésta únicamente a través del Sistema de Vericación Biométrica de Huella Dactilar en los centros de atención de las empresas operadoras y en los canales de venta autorizados por las mismas. Esta alternativa o Sub Sistema no Biométrico, puede devenirlo, con similares desenlaces a los expuestos antes: aplicables a determinados datos sensibles, adecuados a la finalidad, pertinentes, no excesivos, valorados en función de la necesidad y proporcionalidad. 

El Artículo 9°C.- Requerimientos adicionales para contratación de servicios por parte de personas naturales, establece que en la contratación de más de diez (10) servicios públicos móviles, en una misma empresa operadora, sólo puede realizarse ésta en sus centros de atención, bajo el Sistema de Validación Biométrica de Huella Dactilar, previa declaración jurada de no destinar dicho servicio a la reventa o comercialización, sin perjuicio de cambio de titularidad del servicio.

Este artículo porta sobre las misiones de los actores en presencia en la contratación del servicio de telefonía móvil: el Estado, las empresas concesionarias, y el usuario, persona natural. Mientras la misión del Estado es fijar el marco regulatorio del uso de las telecomunicaciones, el de las empresas concesionarias es obtener una determinada rentabilidad dentro de un mercado competitivo, la de los usuarios, es acceder a un servicio en calidad y precio abordable.  El desfase entre las diferentes misiones viene del uso real de terminales de telefonía móvil y la persistencia de reventa o comercialización al detalle de llamadas telefónicas benéfica a los dos últimos. De lo contrario cual sería la razón porque el Estado aliente la contratación de hasta por más de diez terminales sino es por el aumento de ventas, en uno; o constituirse en micro o mediano empresarios informales o generar fuentes de empleo, en el otro? empresa concesionaria y las personas naturales. Estos límites: para que las personas naturales puedan contratar hasta esos márgenes; las empresas concesionarias dispongan de los medios de control suficientes para hacer cumplir las obligaciones de los clientes; y el Estado ejerza supervisión detallada sobre la gestión de las empresas concesionarias o del uso ilegitimo de los clientes fundamenta Decretos inadecuados, acorde con la desregulación de algunos servicios públicos.

El Artículo 9° D.- Obligación de la empresa operadora de informar sobre la contratación de nuevos servicios públicos móviles, aparentemente claro, resulta incomprensible por falta de técnica legislativa.

Cuando se contrate un nuevo servicio público móvil, la empresa operadora debe enviar un mensaje de texto; hasta allí, salvo la precisión de tratarse de un SMS, exclusivamente, y no de mensajes del Servicio Suplementario de Datos no Estructurados (USSD) o de llamadas telefónicas, previstos en el Articulo 9°B.-, el discurso es bastante claro.

Enseguida, anota que el referido mensaje debe ser enviado a: cada uno de los servicios públicos móviles que  guren en el Registro de Abonados de la empresa operadora con el mismo documento legal de identicación. Omitiéndose el tipo de mensaje a comunicar; desconociéndose si se refiere a los servicios móviles de prepago, control y/o, postpago (o consumo abierto Artículo 52.- Acceso de llamadas a números de las series 0800 y 0801) señalados en el Artículo 11.- Registro de abonados de acuerdo a la modalidad de contratación del servicio de la Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL, por la cual aprueba  el  Texto  Único  Ordenado  de  las  Condiciones  de  Uso  de  los Servicios Públicos de Telecomunicaciones; y si se debe adjuntar copia simple o legalizada del documento oficial del abonado: DNI, Carnet de extranjería o pasaporte y/o poderes y RUC, en el caso de personas jurídicas.   

Los Artículos 9° E.- Contratación del servicio para los extranjeros y “Artículo 9°F.- Registro de Información en el Registro Privado de Abonados, tienen por vocación exclusiva: verificar, el primero, la identidad del extranjero persona natural  contratante, no registrado en las bases de datos del RENIEC; e incluir el registro de la información, necesaria y obligatoriamente antes de la activación del servicio, manteniendo las empresas operadoras un archivo físico y/o digital - según corresponda - acreditando el uso de los procedimientos previstos en los artículos 9°A y 9°B, y asumiendo la carga de la prueba de haber realizado dichas verificaciones, en el segundo artículo citado.  


Las observaciones a retener son aquellas relacionadas al tratamiento que deberían conferir las empresas operadoras a aquellos clientes potenciales que no figuran en la base de datos de RENIEC u otras; sobre la estandarización y no discrecionalidad de establecer archivos físicos y digitales mantenidos por las empresas operadoras; y las decisiones a adoptar por el estado y las empresas concesionarias en las operaciones de empresas de telecomunicaciones internacionales que brindan o mantienen servicios de telefonía en el Perú, incluyendo “roaming”[10].

El Artículo 9°G.- De la conexión con bases de datos de otras entidades, supervisión e información esboza dos aspectos, uno técnico y otro de supervisión. 

El aspecto técnico, integra el Sistema de Vericación Biométrica de Huella Dactilar y el Sistema de Vericación de Identidad No Biométrico, cuyas implementaciones deberá realizar necesariamente las empresas operadoras  para acceder a la base de datos del RENIEC.  Ello supone tener en cuenta, además de los protocolos de organización, de protecciones y seguridades y de contratos ente las empresas operadoras y el RENIEC, al menos tres niveles de interoperabilidad: un nivel de contenidos interoperables, que concentre los medios de interoperabilidad semántica, un segundo nivel  de servicios de interoperabilidad y finalmente, un nivel de de interoperabilidad de  flujo y transporte.


La supervisión de la implementación de ambos Sistemas queda cargo de OSIPTEL.

El Artículo 9°H.- Participación del RENIEC, establece sus obligaciones y derechos:


Un doble nivel de obligación por RENIEC, al costo real del servicio: primo, brindar el servicio de vericación biométrica de huella dactilar a las empresas operadoras de servicios públicos móviles y a sus canales de venta autorizados; secondo, la atención en línea de las consultas que resulten necesarias para la operación del Sistema de Vericación de Identidad No Biométrico.

El derecho a la determinación de las tasas o derechos a favor de RENIEC que resulten aplicables, se sujetará a lo prescrito en los artículos 44° y 45° de la Ley N° 27444[11] – Ley del Procedimiento Administrativo General, al Código Tributario y al Decreto Supremo N° 064-2010-PCM[12].

La idea de costo real del servicio, contempla los costos de los procedimientos y servicios administrativos que brinda la administración RENIEC y la fijación de los derechos de tramitación. Ello supone que si lo costos no son repercutidos a las empresas operadoras de los servicios públicos móviles – quienes benefician gratuitamente de estos servicios, según el Art. 9° A.– arriba mencionado -, se desconoce si ellos pudieran ser facturados  a los abonados, o asumidos por los presupuestos institucionales  de las entidades públicas que estuvieran comprendidas en la presente norma, según el Artículo 3°.- Financiamiento del D.S. N° 023-2014-MTC analizado, y en última instancia por todos los contribuyentes, subvencionando una actividad privada[13].  


Artículo 4°.- Vigencia  El presente Decreto Supremo entrará en vigencia a los ciento ochenta (180) días calendario, contados desde la fecha de su publicación, a los seis días del mes de diciembre del año dos mil catorce, es decir, su vigencia empieza a partir del 07 de junio de 2015, simbólico, no?.

La Única Disposición Complementaria Transitoria. Plazo para la implementación de los Sistemas de Vericación de Identidad establece que las empresas operadoras de servicios públicos móviles en un plazo no mayor a la entrada en vigencia del presente Decreto Supremo, deberán implementar los Sistemas de Vericación de Identidad: Sistema de Verificación  Biométrico de Huella Dactilar y Sistema de Vericación de Identidad No Biométrico  a que reeren el artículo 9°A del Decreto Supremo N° 024-2010-MTC.

Disposiciones Complementarias Finales. Primera.- Obligación de validación de datos personales. El primer parágrafo confirma que: las empresas operadoras son responsables de la información que obre en sus registros de abonados. En consecuencia, sin perjuicio de los incumplimientos, las medidas correctivas, coercitivas y sanciones que les hayan sido impuestas, deberán recticar la información de sus abonados, contenida en sus registros de abonados.


La primera observación se funda en el artículo 20°[14] de la ley 29733, el mismo que  diferencia la rectificación de la actualización de los datos personales. Esta distinción no es evidente en la disposición complementaria citada. Así, pueden concurrir varias formas de rectificación, según el agente: de motu proprio por los responsables del Registro de Abonados, si comprueba errores, omisiones o falsedades; a la demanda del titular de los datos personales; y, a iniciativa de la Autoridad Nacional de Protección de Datos Personales, incluyendo: los incumplimientos, las medidas correctivas, coercitivas y sanciones que les hayan sido impuestas, previstos en la disposición.  

La actualización responde a otro procedimiento: reajustar los datos personales al tiempo presente, al día; a fin de mantener la veracidad de la información contenida - en el ejemplo – el Registro de Abonados. Obviamente, este criterio valorativo será apreciado más sobre el conjunto que sobre un único o algunos registros individuales. Los conceptos de actualización, inclusión, rectificación y supresión,  constituyen las características de uno de los criterios de calidad de los datos; la exactitud[15].
No obstante, la Ley N° 29733, en su Artículo 8°, relativiza el alcance de la noción  de actualización, y de otras nociones asociadas:
“Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados,  necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.
Esta posición, favorece a los detentores de bancos de datos en detrimento de los titulares,  de la exactitud y veracidad de la misma, quebrando el principio del delicado equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales, que fomenta la Directiva Europea 95/45/CE.
El segundo parágrafo señala las medidas necesarias, plazo y acciones  a adoptar por las empresas operadoras de los servicios públicos móviles:
·         para validar los datos personales de los abonados que hubieran contratado este servicio bajo la modalidad prepago, a partir del 1 de marzo de 2011;
·         en un (1) año contado desde la entrada en vigencia del presente Decreto Supremo; y
·         en caso de inconsistencias, deberá subsanarlas empleando alguno de los sistemas de vericación de identidad señalados en el artículo 9°A del Decreto Supremo N° 024-2010-MTC.  

Sin pronunciarse sobre las modalidades de control y post pago, ello supondrá adecuar la información a las otras tres características de la calidad de la información: adecuada, pertinente  y no excesiva. Adecuada: cuando se observen las medidas de seguridad aplicables. Pertinente: cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de las dependencias y entidades que los hayan recabado. No excesiva: cuando la información solicitada al Titular de los datos es estrictamente la necesaria para cumplir con los fines para los cuales se hubieran recabado[16].

El tercer parágrafo se refiere al vencimiento del plazo mencionado en el segundo parágrafo, por falta del abonado. Si la información no hubiera sido subsanada, se le suspenderá parcialmente el servicio por treinta (30) días calendario, pudiendo sólo recibir llamadas y mensajes de texto, y utilizar los servicios de información y asistencia, y acceso a los números de emergencia. Durante este periodo las empresas operadoras implementarán un mensaje vocal sin costo alguno para el abonado, informándolo, en cada oportunidad en que se intente realizar una llamada, que el servicio se encuentra suspendido hasta cumplir con proporcionar sus datos personales, caso contrario se procederá con la suspensión total del servicio, indicando la fecha prevista para ello. Incluyendo en el mismo mensaje, el número al que deberán llamar para obtener información sobre los sistemas de vericación de identidad que serán empleados para recabar sus datos personales.

Es la parte final de este parágrafo la que perturba. Si bien se reporta a los datos personales de los abonados que hubieran contratado el servicio de bajo la modalidad prepago, a partir del 1 de marzo de 2011, según el Decreto Supremo N° 024-2010-MTC, por el cual se aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago, sin pronunciarse sobre las modalidades de control y post pago (o consumo abierto según el Artículo 52.- Acceso de llamadas a números de las series 0800 y 0801), a las que alude el Artículo 11.- Registro de abonados de acuerdo a la modalidad de contratación del servicio de la Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL al aprobar el Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones y sin exigírseles los mismos procedimientos ni condiciones.

La Resolución de Consejo Directivo Nº 087-2013-CD-OSIPTEL que aprueba el Reglamento de Fiscalización, Infracciones y Sanciones alude en el Capítulo III Infracciones relativas a la Información, a aquellas que no hubieran sido subsanados por las empresas operadoras[17], pero no la de los abonados. Esta norma tampoco se pronuncia sobre la pertinencia o no de la aplicación de la Ley de Protección de Datos Personales.   

El cuarto y quinto parágrafo resultan de la persistencia del incumplimiento del parágrafo anterior vencido el plazo de suspensión parcial, suspendiéndose totalmente el servicio, en una primera etapa, por treinta (30) días calendarios, prestándose aun los servicios de información y asistencia, como de acceso a los números de emergencia; y en una última etapa, se dará de baja el servicio de aquellos abonados cuya información no hubiera sido subsanada.

Son consideradas en el ANEXO N° 5 Del Régimen de Infracciones y Sanciones, Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones: Artículo 4.- Infracciones muy graves, los incumplimientos, por parte de la empresa operadora, de cualesquiera de las disposiciones contenidas en los siguientes artículos: 11 (primer y segundo párrafo[18]) y 13 (primer y tercer párrafo[19]).

Disposiciones Complementarias Finales. Segunda.- Sistema de vericación de datos de extranjeros. El Ministerio de Transportes y Comunicaciones en coordinación con el Ministerio del Interior, emitirá las disposiciones necesarias para la implementación por parte de los concesionarios de servicios públicos móviles, de un sistema de acceso en línea que permita validar el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería, conforme a lo previsto en el artículo 9°D del Decreto Supremo N° 024-2010-MTC.


Además de los comentarios expresados líneas arriba, referidos al artículo 9°D del Decreto Supremo N° 024-2010-MTC, se requiere examinar si esta disposición pudiera ser fragmentaria, excesiva, o más grave, ilegal.

Fragmentaria, según el parágrafo 13.5 del Artículo 13° de la Ley 29733, Alcances sobre el tratamiento de datos personales. “Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco”. Ello alega en  favor que cualquier sistema de acceso, interconexión o correlación, debe contar con el consentimiento de su titular, mas aun tratándose de un contrato entre dos partes, personas jurídicas privadas, por la cual, una de ellas sometida a una tercera persona jurídica publica - reguladora de las telecomunicaciones, el MTC - coordine con una cuarta persona jurídica pública – Ministerio del Interior -, a fin de validar  el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería. En todo caso, una solicitud debiera ser dirigida por alguno de los interesados o afectados, a la Autoridad Nacional de Protección de Datos Personales del Perú, a fin de verificar la pertinencia de la implementación de un tal sistema.   

Excesiva, porque las validaciones de las personas extranjeras, Articulo 9°E.-, debieran ser verificadas con el registro de la base de datos de RENIEC, a defecto de éste, a quienes no les resulta aplicable los sistemas de vericación de identidad señalados en el artículo 9°A, en tanto se implemente el sistema de acceso en línea que permita validar el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería. En ningún momento es cuestión de intervención del Ministerio de Transportes y Comunicaciones en la implementación, de un sistema de acceso en línea que permita validar el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería.

Ilegal, puesto que la implementación por parte de los concesionarios de servicios públicos móviles, de un sistema de acceso en línea que permita validar el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería, pudiera suponer la amenaza o violación del delicado equilibrio entre los datos necesarios a la administración - incluyendo las obligaciones de las partes mediante contrato -; la no protección de la privacidad e intimidad de las personas, y el no respeto de las normas de transparencia.

Más aun y cuando las practicas de interconexión, aproximación y/o correlación de bancos de datos sin las debidas autorizaciones especiales aprobadas por la Autoridad de Protección de Datos Personales son  percibidas por algunos extranjeros, europeos en particular, según su normativa europea[20] y nacional[21], como ilícitas y cuestionables internacionalmente.

Disposiciones Complementarias Finales. Tercera.- Adecuación de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones.  El OSIPTEL adecuará el Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones, aprobado por Resolución de Consejo Directivo N° 138-2012-CD/OSIPTEL, a las disposiciones contenidas en la presente norma, en un plazo no mayor a la entrada en vigencia del presente Decreto Supremo. Es decir, al 07 de junio de 2015.


Un Digresión adicional: El  mercado de telefonía móvil alberga una nueva figura comercial en nuestro país: los Operadores Móviles Virtuales (OMV). Entel y Bitel, son operadores de telecomunicaciones que no cuenta con espectro radioeléctrico, pero sí con otros elementos de una red móvil de telecomunicaciones (Plataformas de conmutación, facturación, etc.) o con una marca comercial y canales de distribución propios. Es decir, son empresas que venden servicios de telecomunicaciones móviles, pero no son dueñas de la red, sino que la alquilan a otro operador que sí tiene red. Es que estos operadores están sometidos a las mismas normas previstas en los Decretos Supremos analizados?[22]


CONCLUSION:

·                  El Decreto Supremo Nº 022-2014-MTC y el Decreto Supremo Nº 023-2014-MTC resultan dos Decretos ómnibus. Previstos originalmente para el cumplimiento de los objetivos del artículo 2 de la Ley 28744, sobre el hurto, robo o extravío de terminales telefónicos móviles: el primero, modifica el Registro Nacional de Terminales de Telefonía Celular,  e incorpora el articulo 8°A Identicación de equipos terminales móviles con un mismo número de serie y de los cambios de tarjeta SIM en un equipo terminal del Reglamento de la Ley N° 28774, Decreto Supremo N° 023-2007-MTC. El segundo, modifica el artículo 9°, e incorpora los artículos 9°A, 9°B, 9°C, 9°D, 9°E, 9ºF, 9ºG y 9ºH al Decreto Supremo N° 024-2010-MTC que aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago.

·         Ambos Decretos inciden  sobre la doctrina y normas nacionales relativas a los derechos y libertades fundamentales y la protección de los datos personales, principios y artículos que regulan éstos: principio de finalidad, principio de proporcionalidad, principio de calidad, principio de seguridad, incluyendo el valor de los principios: los principios rectores señalados sirven también de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de esta Ley y de su reglamento, así como de parámetro para la elaboración de otras disposiciones y para suplir vacíos en la legislación sobre la materia.

·         La biometría, estudio de métodos automáticos para el reconocimiento único de personas físicas basado en uno o más rasgos conductuales o rasgos físicos intrínsecos, se utiliza frecuentemente como un medio para combatir la criminalidad (hurto, robo o extravío de terminales telefónicos móviles, por ejemplo), sin embargo, ella presenta  para la persona humana ciertos riesgos para el ejercicio de sus derechos y libertades fundamentales, y para la  protección de sus datos personales.

·         Los sistemas biométricos son considerados como sistemas de identificación de las personas físicas, potencialmente intrusivos en la privacidad, intimidad personal, salvo si se limita su uso a determinados aspectos sensibles, de manera adecuada, pertinente y no excesiva, lo cual supone una estricta valoración de la necesidad, legitimidad y proporcionalidad de los datos tratados. La proporcionalidad ha sido el criterio principal observado en todas las decisiones adoptadas hasta ahora por las autoridades a cargo de la protección de datos sobre el tratamiento de datos biométrico; adaptado a cada categoría de datos en relacion a los fines a los tratamientos de dichos datos.

·         La biometría (huellas digitales, contorno de la mano,...), supone en terceros países, solicitudes de autorizaciones previas a las Autoridades de Protección de Datos Personales;  su aplicación como datos sensibles y de interconexión de archivos de finalidades diferentes y transferencias de datos fuera del país, entre otros.

·         Determinar si una persona es identificable, supone considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona. De ello se colige la necesidad que el tratamiento de un determinado dato de carácter personal, la huella dactilar por ejemplo, unida al código alfanumérico, debe ser proporcional a la finalidad que lo motiva.

·         Comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, requiere constatar si cumple tres requisitos o condiciones: idoneidad (susceptible de conseguir el objetivo propuesto), necesidad (no exista otra medida más moderada para la consecución de tal propósito con igual eficacia), proporcionalidad (ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto).

·         La Ley N° 29733 precisa:

Artículo, Definiciones, numeral 5. Datos sensibles. Datos personales constituidos por los datos biométricos (…).
Artículo 3° Ámbito de aplicación (…) Son objeto de especial protección los datos sensibles.
Artículo 13°. Alcances sobre el tratamiento de datos personales; (…) Numeral 13.6 En el caso de datos sensibles, el consentimiento para efectos de su tratamiento, además, debe efectuarse por escrito. Aun cuando no mediara el consentimiento del titular, el tratamiento de datos sensibles puede efectuarse cuando la ley lo autorice, siempre que ello atienda a motivos importantes de interés público. Artículo 18. Derecho de información del titular de datos personales. El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.

Artículo 18°. Derecho de información del titular de datos personales.
El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.  

·         El D.S. N° 003-2013-JUS Reglamento de la Ley 29733, establece:

Artículo 8.- Principio de nalidad. Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justicarse si su nalidad además de ser legítima, es concreta y acorde con las actividades o nes explícitos del titular del banco de datos personales.
Artículo 14.- Consentimiento y datos sensibles. Tratándose de datos sensibles, el consentimiento debe ser otorgado por escrito, a través de su firma manuscrita, firma digital o cualquier otro mecanismo de autenticación que garantice la voluntad inequívoca del titular.
Artículo 28.- Consentimiento excepcional. Podrá hacerse tratamiento de los datos personales de mayores de catorce y menores de dieciocho años con su consentimiento, siempre que la información proporcionada haya sido expresada en un lenguaje comprensible por ellos, salvo en los casos que la ley exija para su otorgamiento la asistencia de los titulares de la patria potestad o tutela.
·         La Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales, incluye:

Disposiciones Generales: Categorías de bancos de datos personales: c) Intermedio,  d) Complejo y e) Crítico,  pueden incluir datos sensibles.  Condiciones de seguridad, externas (Marco legal apropiado, y Conocimiento y conciencia de la importancia de la protección de los datos personales) e internas (Compromiso del titular del banco de datos personales, Comprensión del contexto institucional en el tratamiento y protección de los datos personales. Determinación de las responsabilidades y roles organizacionales apropiados y Enfoque de gestión del riesgo de los datos personales contenidos en los bancos de datos personales). Requisitos de seguridad e Información complementaria sobre requisitos. Y Disposiciones Específicas. Ambos Decretos Supremos deberán pasar previamente las cribas técnicas de seguridad de esta Directiva, aquella de la Oficina Nacional de Gobierno Electrónico, ONGEI, incluyendo las de INDECOPI.   

·         El Registro Nacional de Terminales de Telefonía Celular

Artículo 1°.- Modicación del artículo 3° del Reglamento de la Ley N° 28774, aprobado por Decreto Supremo N° 023-2007-MTC.


- Registro mínimo: El Articulo 3°, original D. S. N° 023-2007-MTC,  y el modificado por el D.S. 022-2014-MTC, mantienen ambos, que cada empresa concesionaria deberá contar obligatoriamente con un Registro Privado de Abonados, independientemente de la modalidad de pago, el mismo que contendrá como mínimo: Nombre y apellidos completos o razón social del abonado; Número y tipo de documento legal de identicación del abonado, Número telefónico o de abonado; Marca, Modelo, Serie del equipo terminal móvil.

El Artículo 6. Principio de finalidad de la Ley N° 29733 de Protección de Datos Personales, determina que: Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita.  Y su Reglamento N° 003-2013, JUS, Artículo 8.- Principio de nalidad, agrega: una nalidad está determinada cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se específica el objeto que tendrá el tratamiento de los datos personales. Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justicarse si su nalidad además de ser legítima, es concreta y acorde con las actividades o nes explícitos del titular del banco de datos personales.

El sustantivo mínimo, expresa el límite inferior al que puede llegar el numero de registros, posibilitando la norma extender estos, enervando el principio de finalidad.
-   Rol de OSIPTEL:

OSIPTEL establecerá las disposiciones necesarias para el cumplimiento de lo previsto en el presente artículo.”

Ello plantea el establecimiento por OSIPTEL de Directivas de normalización de los Registros Privados de Abonados por las empresas concesionarias de los servicios públicos móviles, de seguridad lógica, jurídica, organizativa, incluyendo responsabilidades personales, institucionales y de comunicación, como de declaración individual y colectiva de los Bancos de Datos  ante la Autoridad Nacional de Protección de Datos Personales, APDP, incluyendo su adecuación  a la Norma Técnica Peruana NTP-ISO/IEC 27001.
Aun más: la propia normativa sobre la protección de datos personales en el Perú debe progresar, estableciéndose:
o   opinión previa de la APDP sobre proyectos e iniciativas normativas referidas a las libertades, derechos y obligaciones de las personas por parte de las autoridades públicas; y de tratamientos sui generis, por parte de las autoridades privadas.
o   procedimientos de información a los interesados sobre el objeto de la colecta, tratamiento y difusión de los datos personales, por parte de los Proveedores de Acceso Internet, y Empresas concesionarias de los servicios públicos móviles.
o   garantías del responsable de la colecta, tratamiento y difusión sobre la seguridad de los datos personales al interior y al exterior del ámbito de las telecomunicaciones, impidiendo toda alteración, deformación o divulgación no autorizada de los mismos.
o   formas y procedimientos de protección, acceso y conservación de los datos, garantizándose el encriptamiento en los flujos y en las bases de datos; la anonimización, el derecho al olvido (Purga de los sistemas) y de las estaciones de trabajo.

Artículo 2°.- Incorporación del artículo 8°A en el Reglamento de la Ley N° 28774, aprobado por Decreto Supremo N° 023-2007-MTC


La incorporación del Artículo 8°A.-, apunta, primero,  a implementar un sistema automatizado de captura del número de serie electrónico del equipo terminal móvil, a fin de:

o   identicar si se encuentran activos en su red dos o más equipos con un mismo número de serie o,
o   los cambios de tarjetas SIM sobre un equipo terminal.

Nada permite infimar que las empresas concesionarias no disponen ya de un tal sistema, y que a falta de este, OSIPTEL debiera proveer Directivas o Términos de referencia para su normalización.

La pertinencia de este sistema se justificaría de establecerse un interfaz entre las denuncias policiales, las investigaciones judiciales  y el uso de estos sistemas automatizados. Según su redacción, el sistema solo serviría para capturar e identificar dos o más equipos en circulación o la inserción de una tarjeta SIM en más de un equipo terminal móvil. Así, mientras no sean reportados como hurtados, robados o perdidos terminales de telefonía celular a las empresas concesionarias, no se justifica  según el artículo 2° de la Ley N° 28744 ninguna alerta. El frecuente intercambio de tarjetas SIM de equipos terminales profesionales a personales y viceversa; el uso de equipos terminales móviles que soportan varias tarjetas, o el uso indiferenciado de una u otra red con un mismo equipo, no constituyen per se un ilícito, ello requiere ser confrontado con la denuncia de hurto o robo, sin incluir la pérdida o extravío, sujeta a reglas de derecho generales.

Un segundo aspecto está referido al tiempo de conservación de la información por un periodo mínimo de tres (3) años. Como en la observación anterior sobre el concepto de mínimo, mencionado líneas arriba, no se trata de fijar mínimos sino plazos máximos o exactos. Además, la conservación se declina en función de los tipos de información a conservar y de los posibles sectores a los cuales puede aplicarse, al menos esa es la experiencia a extraerse de otros países.
·         Registro de Abonados Pre Pago

Artículo 1°.- Modicación del artículo 9° del Decreto Supremo N° 024-2010-MTC


El articulo no precisa - aunque implícitamente pudiera interpretarse - si el procedimiento es similar a la contratación post pago.  E insiste sobre el hecho que la empresa operadora proceda a registrar los datos de identicación del abonado, diferenciando la persona natural de la persona jurídica: se proporcionará, como mínimo, la siguiente información: (i) y (ii).
Artículo 2°.- Incorporación de los artículos 9°A, 9°B, 9°C, 9°D, 9°E, 9ºF, 9ºG y 9ºH en el Decreto Supremo N° 024-2010-MTC
Artículo 9°A
Primero, la implementación de un Sistema de Verificación  Biométrico de Huella Dactilar resulta excesivo y desproporcionado  en relacion al objeto perseguido por el artículo 2° de la Ley N° 28774. Toda vez que los datos personales solicitados  a los abonados, en las modalidades de contratación de terminales de telefonía móviles pre pago y post pago, cumplen con la finalidad para la cual son registrados: verificar la identidad del contratante, no son excesivos ni constituyen datos sensibles.
Una segunda observación se refiere a que el Sistema de Vericación de Identidad No Biométrico, no cumple el rol de Sistema por defecto, es decir, utilizado como Sistema alternativo global al Sistema de Verificación Biométrico de Huella Dactilar, sino como un Sub Sistema aplicables a distribuidores autorizados o excepcional, (en caso de discapacidad física del solicitante, problemas con la base de datos de RENIEC, o  por fallas de conectividad debidamente acreditados, o incluso en los casos del Art 9°.-B, tercer párrafo).

Tampoco que éste:se aplicará de manera temporal hasta culminar su (la) implementación (del Sistema de Verificación Biométrico de Huella Dactilar)”, según la redacción propuesta, ésta es impropia. No puede ser temporal porque se aplica aun después de la implementación del Sistema Biométrico, a los distribuidores autorizados o excepcionalmente. 

Una tercera observación estriba en el uso de la base de datos de RENIEC como referencia oficial para la verificación de la existencia y datos identificantes de la persona física: prenombres y apellidos, domicilio, edad, sexo, estado civil, necesarios a la acreditación de la capacidad para contratar. Pero ello suscita otro tipo de reflexiones más generales sobre: la legitimidad de la segmentación de la información que debe o puede poner RENIEC a disposición de terceros (empresas concesionarias de servicios públicos); las directivas que sobre el particular pudiera autorizar o emitir la APDP; la verificación de la habilidad o incapacidad para contratar de determinadas personas ante las autoridades responsables (de los regímenes de tutela, curatela, interdicción de derechos civiles,...), o inclusive ante las autoridades de migraciones en el caso de extranjeros residentes o temporales. Y todo ello administrado descentralizadamente desde los locales de las empresas concesionarias de terminales de telefonía móvil o distribuidores autorizados.

Felizmente, el legislador no amplió el cafarnaúm de aplicar el Sistema de Verificación Biométrico de Huella Dactilar a los representantes de las personas jurídicas.

Artículo 9°B

La cuestión esencial de este artículo radica en el tipo de información demandada al solicitante, y las consecuencias de los errores de éste sobre la aplicación del Sistema Biométrico.

El tipo de información cumplirá con la finalidad si no supera los identificantes necesarios a su cumplimiento, es decir, declinar datos administrativos: prenombres, apellidos, DNI, dirección domiciliaria, edad; la misma que será objeto de análisis sobre su pertinencia y segmentación en la consulta por RENIEC, APDP, y otras autoridades acreditadas sobre la habilidad y capacidad en el ejercicio de derechos y contratación.

La consecuencia inmediata de los errores en las respuestas de la información en forma aleatoria requerida al solicitante es la no procedencia de la activación del servicio: debiendo efectuarse ésta únicamente a través del Sistema de Vericación Biométrica de Huella Dactilar en los centros de atención de las empresas operadoras y en los canales de venta autorizados por las mismas. Esta alternativa o Sub Sistema no Biométrico, puede devenirlo, con similares desenlaces a los expuestos antes: aplicables a determinados datos sensibles, adecuados a la finalidad, pertinentes, no excesivos, valorados en función de la necesidad y proporcionalidad. 
Artículo 9°C.-

Este artículo porta sobre las misiones de los actores en presencia en la contratación del servicio de telefonía móvil: el Estado, las empresas concesionarias, y el usuario, persona natural. Mientras la misión del Estado es fijar el marco regulatorio del uso de las telecomunicaciones, el de las empresas concesionarias es obtener una determinada rentabilidad dentro de un mercado competitivo, la de los usuarios, es acceder a un servicio en calidad y precio abordable.  El desfase entre las diferentes misiones viene del uso real de terminales de telefonía móvil y la persistencia de reventa o comercialización al detalle de llamadas telefónicas benéfica a los dos últimos. De lo contrario cual sería la razón porque el Estado aliente la contratación de hasta por más de diez terminales sino es por el aumento de ventas, en uno; o constituirse en micro o mediano empresarios informales o generar fuentes de empleo, en el otro? empresa concesionaria y las personas naturales. Estos límites: para que las personas naturales puedan contratar hasta esos márgenes; las empresas concesionarias dispongan de los medios de control suficientes para hacer cumplir las obligaciones de los clientes; y el Estado ejerza supervisión detallada sobre la gestión de las empresas concesionarias o del uso ilegitimo de los clientes fundamenta Decretos inadecuados, acorde con la desregulación de algunos servicios públicos.

Artículo 9° D.-

Este articulo aparentemente claro, resulta incomprensible por falta de técnica legislativa. Omitiéndose el tipo de mensaje a comunicar; desconociéndose si se refiere a los servicios móviles de prepago, control y/o, postpago (o consumo abierto Artículo 52.- Acceso de llamadas a números de las series 0800 y 0801) señalados en el Artículo 11.- Registro de abonados de acuerdo a la modalidad de contratación del servicio de la Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL, por la cual aprueba  el  Texto  Único  Ordenado  de  las  Condiciones  de  Uso  de  los Servicios Públicos de Telecomunicaciones; y si se debe adjuntar copia simple o legalizada del documento oficial del abonado: DNI, Carnet de extranjería o pasaporte y/o poderes y RUC, en el caso de personas jurídicas.

Artículos 9° E.- y Artículo 9°F.-
Las observaciones a retener son aquellas relacionadas al tratamiento que deberían conferir las empresas operadoras a aquellos clientes potenciales que no figuran en la base de datos de RENIEC u otras; sobre la estandarización y no discrecionalidad de establecer archivos físicos y digitales mantenidos por las empresas operadoras; y las decisiones a adoptar por el estado y las empresas concesionarias en las operaciones de empresas de telecomunicaciones internacionales que brindan o mantienen servicios de telefonía en el Perú, incluyendo “roaming”.

Artículo 9°G.-

Esboza dos aspectos, uno técnico y otro de supervisión. 

El aspecto técnico, integra el Sistema de Vericación Biométrica de Huella Dactilar y el Sistema de Vericación de Identidad No Biométrico, cuyas implementaciones deberá realizar necesariamente las empresas operadoras  para acceder a la base de datos del RENIEC.  Ello supone tener en cuenta, además de los protocolos de organización, de protecciones y seguridades y de contratos ente las empresas operadoras y el RENIEC, al menos tres niveles de interoperabilidad: un nivel de contenidos interoperables, que concentre los medios de interoperabilidad semántica, un segundo nivel  de servicios de interoperabilidad y finalmente, un nivel de de interoperabilidad de  flujo y transporte.


La supervisión de la implementación de ambos Sistemas queda cargo de OSIPTEL.

Artículo 9°H.-

Establece obligaciones y derechos de RENIEC:


Un doble nivel de obligación por RENIEC, al costo real del servicio: primo, brindar el servicio de vericación biométrica de huella dactilar a las empresas operadoras de servicios públicos móviles y a sus canales de venta autorizados; secondo, la atención en línea de las consultas que resulten necesarias para la operación del Sistema de Vericación de Identidad No Biométrico.

El derecho a la determinación de las tasas o derechos a favor de RENIEC que resulten aplicables, se sujetará a lo prescrito en los artículos 44° y 45° de la Ley N° 27444 – Ley del Procedimiento Administrativo General, al Código Tributario y al Decreto Supremo N° 064-2010-PCM.

La idea de costo real del servicio, contempla los costos de los procedimientos y servicios administrativos que brinda la administración RENIEC y la fijación de los derechos de tramitación. Ello supone que si lo costos no son repercutidos a las empresas operadoras de los servicios públicos móviles – quienes benefician gratuitamente de estos servicios, según el Art. 9° A.– arriba mencionado -, se desconoce si ellos pudieran ser facturados  a los abonados, o asumidos por los presupuestos institucionales  de las entidades públicas que estuvieran comprendidas en la presente norma, según el Artículo 3°.- Financiamiento del D.S. N° 023-2014-MTC analizado, y en última instancia por todos los contribuyentes, subvencionando una actividad privada

Disposiciones Complementarias Finales. Primera.-

Primer parágrafo
La primera observación se funda en el artículo 20° de la ley 29733, el mismo que  diferencia la rectificación de la actualización de los datos personales. Esta distinción no es evidente en la disposición complementaria citada;

Segundo parágrafo
Señala las medidas necesarias, plazo y acciones  a adoptar por las empresas operadoras de los servicios públicos móviles.
Sin pronunciarse sobre las modalidades de control y post pago, ello supondrá adecuar la información a las otras tres características de la calidad de la información: adecuada, pertinente  y no excesiva. Adecuada: cuando se observen las medidas de seguridad aplicables. Pertinente: cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de las dependencias y entidades que los hayan recabado. No excesiva: cuando la información solicitada al Titular de los datos es estrictamente la necesaria para cumplir con los fines para los cuales se hubieran recabado

Tercer parágrafo se refiere al vencimiento del plazo mencionado en el segundo parágrafo, por falta del abonado.

Es la parte final de este parágrafo la que perturba. Si bien se reporta a los datos personales de los abonados que hubieran contratado el servicio de bajo la modalidad prepago, a partir del 1 de marzo de 2011, según el Decreto Supremo N° 024-2010-MTC, por el cual se aprueba el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago, sin pronunciarse sobre las modalidades de control y post pago (o consumo abierto según el Artículo 52.- Acceso de llamadas a números de las series 0800 y 0801), a las que alude el Artículo 11.- Registro de abonados de acuerdo a la modalidad de contratación del servicio de la Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL al aprobar el Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones y sin exigírseles los mismos procedimientos ni condiciones.

La Resolución de Consejo Directivo Nº 087-2013-CD-OSIPTEL que aprueba el Reglamento de Fiscalización, Infracciones y Sanciones alude en el Capítulo III Infracciones relativas a la Información, a aquellas que no hubieran sido subsanados por las empresas operadoras, pero no la de los abonados. Esta norma tampoco se pronuncia sobre la pertinencia o no de la aplicación de la Ley de Protección de Datos Personales.   

Cuarto y quinto parágrafo
Resultan de la persistencia del incumplimiento del parágrafo anterior vencido el plazo de suspensión parcial, suspendiéndose totalmente el servicio, en una primera etapa, por treinta (30) días calendarios, prestándose aun los servicios de información y asistencia, como de acceso a los números de emergencia; y en una última etapa, se dará de baja el servicio de aquellos abonados cuya información no hubiera sido subsanada.

Son consideradas en el ANEXO N° 5 Del Régimen de Infracciones y Sanciones, Resolución de Consejo Directivo Nº 138-2012-CD-OSIPTEL Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones: Artículo 4.- Infracciones muy graves, los incumplimientos, por parte de la empresa operadora, de cualesquiera de las disposiciones contenidas en los siguientes artículos: 11 (primer y segundo párrafo) y 13 (primer y tercer párrafo).

Disposiciones Complementarias Finales. Segunda.- Sistema de vericación de datos de extranjeros.
Además de los comentarios expresados líneas arriba, referidos al artículo 9°D del Decreto Supremo N° 024-2010-MTC, se requiere examinar si esta disposición pudiera ser fragmentaria, excesiva, o más grave, ilegal.

Fragmentaria, según el parágrafo 13.5 del Artículo 13° de la Ley 29733, Alcances sobre el tratamiento de datos personales. “Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco”. Ello alega en  favor que cualquier sistema de acceso, interconexión o correlación, debe contar con el consentimiento de su titular, mas aun tratándose de un contrato entre dos partes, personas jurídicas privadas, por la cual, una de ellas sometida a una tercera persona jurídica publica - reguladora de las telecomunicaciones, el MTC - coordine con una cuarta persona jurídica pública – Ministerio del Interior -, a fin de validar  el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería. En todo caso, una solicitud debiera ser dirigida por alguno de los interesados o afectados, a la Autoridad Nacional de Protección de Datos Personales del Perú, a fin de verificar la pertinencia de la implementación de un tal sistema.   

Excesiva, porque las validaciones de las personas extranjeras, Articulo 9°E.-, debieran ser verificadas con el registro de la base de datos de RENIEC, a defecto de éste, a quienes no les resulta aplicable los sistemas de vericación de identidad señalados en el artículo 9°A, en tanto se implemente el sistema de acceso en línea que permita validar el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería. En ningún momento es cuestión de intervención del Ministerio de Transportes y Comunicaciones en la implementación, de un sistema de acceso en línea que permita validar el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería.

Ilegal, puesto que la implementación por parte de los concesionarios de servicios públicos móviles, de un sistema de acceso en línea que permita validar el movimiento migratorio de los extranjeros o sus datos personales contenidos en el Registro Central de Extranjería, pudiera suponer la amenaza o violación del delicado equilibrio entre los datos necesarios a la administración - incluyendo las obligaciones de las partes mediante contrato -; la no protección de la privacidad e intimidad de las personas, y el no respeto de las normas de transparencia.

Más aun y cuando las practicas de interconexión, aproximación y/o correlación de bancos de datos sin las debidas autorizaciones especiales aprobadas por la Autoridad de Protección de Datos Personales son  percibidas por algunos extranjeros, europeos en particular, según su normativa europea y nacional, como ilícitas y cuestionables internacionalmente.

 

Disposiciones Complementarias Finales. Tercera.- Adecuación de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones.  El OSIPTEL adecuará el Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones, aprobado por Resolución de Consejo Directivo N° 138-2012-CD/OSIPTEL, a las disposiciones contenidas en la presente norma, en un plazo no mayor a la entrada en vigencia del presente Decreto Supremo. Es decir, al 07 de junio de 2015.


Un Digresión adicional: El  mercado de telefonía móvil alberga una nueva figura comercial en nuestro país: los Operadores Móviles Virtuales (OMV). Entel y Bitel, son operadores de telecomunicaciones que no cuenta con espectro radioeléctrico, pero sí con otros elementos de una red móvil de telecomunicaciones (Plataformas de conmutación, facturación, etc.) o con una marca comercial y canales de distribución propios. Es decir, son empresas que venden servicios de telecomunicaciones móviles, pero no son dueñas de la red, sino que la alquilan a otro operador que sí tiene red. Es que estos operadores están sometidos a las mismas normas previstas en los Decretos Supremos analizados?

Finalmente,  en la conferencia  Chaos Computer Clubes, realizada en diciembre último, en Hamburgo, Alemania, es posible reproducir las huellas dactilares de cualquier persona[23]. La pregunta que se impone es: vale la pena tomarse tantas contrariedades, de implementa Sistemas de Verificación de Huellas por el hurto, robo o extravío de terminales telefónicos móviles, la respuesta es no, quizás puede aplicarse en otros posibles sectores: Seguridad y Defensa Nacional, Lucha contra el terrorismo, drogas y controles fronterizos, Economía Numérica.   


[1] La Convención N° 108 del Consejo de Europa sobre la protección de las personas en relacion al tratamiento automatizado de datos personales (de 1981) es el primer instrumento internacional jurídicamente vinculante de vocación universal en el ámbito de la protección de datos, tiene su origen directamente en la Convención para la Protección de los Derechos Humanos y de las Libertades Fundamentales, abierto a la firma en 1950.
[4] La Convención N° 108 del Consejo de Europa sobre la protección de las personas en relacion al tratamiento automatizado de datos personales (de 1981) es el primer instrumento internacional jurídicamente vinculante de vocación universal en el ámbito de la protección de datos, tiene su origen directamente en la Convención para la Protección de los Derechos Humanos y de las Libertades Fundamentales, abierto a la firma en 1950.
[5] Resolución 1797 (2011) Texto adoptado par la Comisión permanente, actuando en nombre de la Asamblea, el 11 marzo 2011 (ver Doc. 12522, informe de la comisión sobre las cuestiones jurídicas y derechos humanos, informante: S. Haibach; et Doc. 12528, opinión de la comisión de la cultura, de la ciencia y de la educación, informante: Sra Brasseur). Ver igualmente la Recommandation 1960 (2011).
[6] 5. La información referida a los datos personales cuya publicidad constituya una invasión de la intimidad personal y familiar. La información referida a la salud personal, se considera comprendida dentro de la intimidad personal. En este caso, sólo el juez puede ordenar la publicación sin perjuicio de lo establecido en el inciso 5 del artículo 2 de la Constitución Política del Estado.

[8] El articulo no precisa - aunque implícitamente pudiera interpretarse - si el procedimiento es similar a la contratación post pago.  E insiste sobre el hecho que la empresa operadora proceda a registrar los datos de identificación del abonado, diferenciando la persona natural de la persona jurídica: se proporcionará, como mínimo, la siguiente información: (i) y (ii).
[9] a) Sistema de Verificación Biométrica de Huella Dactilar:
Permite la identificación de personas a partir de la característica anatómica de su huella dactilar, empleando para tal efecto un dispositivo analizador, que permitirá la validación de la información con la base de datos del RENIEC. Este sistema será implementando obligatoriamente en los centros de atención de las empresas operadoras y en los distribuidores autorizados por las mismas.
De no ser factible la verificación de identidad a través de este sistema, debido a la discapacidad física del solicitante que le impida materialmente someterse a la verificación biométrica de huella dactilar o por problemas con la base de datos de RENIEC, o por fallas de conectividad debidamente acreditados; la información de identidad del solicitante, en el caso de las personas naturales, deberá ser verificada conforme al Sistema de Verificación de Identidad No Biométrico.
En el caso de personas jurídicas la verificación de identidad se realizará a través de su representante legal, sujetándose a las disposiciones contenidas en el Texto Único Ordenado de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones, aprobado por Resolución de Consejo Directivo Nº 138-2012-CD/OSIPTEL y modificatorias.
b) Sistema de Verificación de Identidad No Biométrico:
Este sistema consiste en requerir al solicitante del servicio, la exhibición del documento legal de identificación, y solo puede ser empleado por los Distribuidores Autorizados y debidamente registrados por la empresa operadora, conforme a lo establecido en el artículo 9°-B.
Las empresas operadoras deben implementar un Registro de Distribuidores Autorizados, los mismos que harán uso de este sistema, identificándose como tales con un código proporcionado por las referidas empresas.
Este código es empleado en cada oportunidad en que un Distribuidor Autorizado intervenga en la contratación de un nuevo servicio público móvil. 

[10] Capacidad de pasar de un área de cobertura a otra sin interrupción en el servicio o pérdida en conectividad.
[11] Artículo 44.- Derecho de tramitación
44.1. Procede establecer derechos de tramitación en los procedimientos administrativos, cuando su tramitación implique para la entidad la prestación de un servicio específico e individualizable a favor del administrado, o en función del costo derivado de las actividades dirigidas a analizar lo solicitado; salvo en los casos en que existan tributos destinados a financiar directamente las actividades de la entidad. Dicho costo incluye los gastos de operación y mantenimiento de la infraestructura asociada a cada procedimiento.
44.2 Son condiciones para la procedencia de este cobro: que la entidad esté facultada para exigirlo por una norma con rango de ley y que esté consignado en su vigente Texto Único de Procedimientos Administrativos.
44.3 No procede establecer cobros por derecho de tramitación para procedimientos iniciados de oficio, ni en aquellos en los que son ejercidos el derecho de petición graciable o el de denuncia ante la entidad por infracciones funcionales de sus propios funcionarios o que deban ser conocidas por las Oficinas de Auditoría Interna.
44.4 No pueden dividirse los procedimientos ni establecerse cobro por etapas.
44.5 La entidad está obligada a reducir los derechos de tramitación en los procedimientos administrativos si, como producto de su tramitación, se hubieren generado excedentes económicos en el ejercido anterior.
44.6 Mediante decreto supremo refrendado por el Presidente del Consejo de Ministros y el Ministro de Economía y Finanzas se precisará los criterios y procedimientos para la determinación de los costos de los procedimientos y servicios administrativos que brinda la administración y para la fijación de los derechos de tramitación.
Artículo 45.- Límite de los derechos de tramitación
45.1 El monto del derecho de tramitación es determinado en función al importe del costo que su ejecución genera para la entidad por el servicio prestado durante toda su tramitación y, en su caso, por el costo real de producción de documentos que expida la entidad. Su monto es sustentado por el funcionario a cargo de la oficina de administración de cada entidad.
Cuando el costo sea superior a una UIT, se requiere acogerse a un régimen de excepción, el cual será establecido mediante decreto supremo refrendado por el Presidente del Consejo de Ministros y el Ministro de Economía y Finanzas.
45.2 Las entidades no pueden establecer pagos diferenciados para dar preferencia o tratamiento especial a una solicitud distinguiéndola de las demás de su mismo tipo, ni discriminar en función al tipo de administrado que siga el procedimiento  
[12] Decreto Supremo que aprueba la  metodología de determinación de costos  de los  procedimientos administrativos y servicios prestados en exclusividad comprendidos en  los Textos Únicos de  Procedimientos Administrativos de las  Entidades Públicas, en  cumplimiento del numeral 44.6 del artículo 44° de la Ley N° 27444, Ley del Procedimiento  Administrativo General http://www.bnp.gob.pe/portalbnp/pdf/transparencia/normaslegales/2010/jun/ds_No.064-2010-PCM.pdf
[13] Artículo 3°.- Financiamiento
Las entidades públicas que estuvieran comprendidas en la presente norma, financiarán la implementación de las acciones que en el marco de la normatividad vigente les correspondan, con cargo a sus presupuestos institucionales, en el marco de las Leyes Anuales de Presupuesto, y sin demandar recursos adicionales al Tesoro Público.
[14] Artículo 20. Derecho de actualización, inclusión, rectificación y supresión
El titular de datos personales tiene derecho a la actualización, inclusión, rectificación y supresión de sus datos personales materia de tratamiento, cuando estos sean parcial o totalmente inexactos, incompletos, cuando se hubiere advertido omisión, error o falsedad, cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hayan sido recopilados o cuando hubiera vencido el plazo establecido para su tratamiento.
[15] GUZMÁN GARCÍA, María de los Angeles. Tesis Doctoral “El Derecho Fundamental a la Protección  de Datos Personales en México: Análisis desde la Influencia del Ordenamiento Jurídico Español” Universidad Complutense de Madrid. Marzo 2013. Pag. 259.
“7.2 Calidad de los datos.  El tratamiento de datos personales deberá ser exacto, adecuado, pertinente  y no excesivo, respecto de las atribuciones legales de la dependencia o entidad  que los posea. Dichas características son explicadas por los propios Lineamientos  de Protección de Datos Personales de la siguiente forma:  a) Exacto: cuando los datos personales se mantienen actualizados de manera  tal que no altere la veracidad de la información y que traiga como  consecuencia que el titular de los datos se vea afectado por dicha  situación. (El subrayado es nuestro.)
[16] Estos conceptos difieren ligeramente de los propuestos por La Ley N° 29733. Artículo 8. Principio de calidad   Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.   Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.
[17] Artículo 7.- Incumplimiento de entrega de información
La Empresa Operadora que, dentro del plazo establecido, incumpla con la entrega de información o entregue información incompleta, incurrirá en infracción grave, siempre que:
a. Se hubiere emitido un requerimiento escrito por el OSIPTEL que indique la calificación de obligatoria de la entrega de la información requerida, incluyendo el plazo perentorio para su entrega;
b. El OSIPTEL hubiere establecido requerimientos de información específica, de manera periódica o no, con indicación de plazos, contenidos en procedimientos de supervisión o en resoluciones o mandatos de OSIPTEL;
c. Se tratase de información prevista en su contrato de concesión; o,
d. Se tratase de información cuya entrega se encuentre prevista en alguna disposición normativa vinculada a la actuación del OSIPTEL.
Artículo 8.- Presentación de información en forma distinta a la establecida
Si la información requerida fuese presentada en formato, medio, soporte o cualquier otra forma distinta a la establecida por el OSIPTEL, se otorgará a la Empresa Operadora un plazo de dos (2) días para subsanar dicha situación. Si la Empresa Operadora no subsana lo observado dentro del plazo establecido incurrirá en infracción leve.
Artículo 9.- Entrega de información inexacta
La Empresa Operadora que haga entrega de información inexacta incurrirá en infracción grave.
Artículo 10.- Presentación de información falsa
La Empresa Operadora que haga entrega de información falsa incurrirá en infracción muy grave.
Artículo 11.- Conservación de la información
En caso la Empresa Operadora no cumpla con conservar la información por el periodo dispuesto
en una norma, acto administrativo o contrato, incurrirá en infracción muy grave.
[18] Artículo 11.- Registro de abonados de acuerdo a la modalidad de contratación del servicio
La empresa operadora se encuentra obligada a llevar un registro debidamente actualizado de los abonados que hubieran contratado servicios bajo la modalidad prepago, control y/o postpago. Cada registro deberá ser independiente, debiendo contener como mínimo:
(i) Nombre y apellidos completos del abonado;
(ii) Número y tipo de documento legal de identificación del abonado, debiendo incluirse únicamente el Documento Nacional de Identidad, Carné de Extranjería, Pasaporte o Registro Único de Contribuyentes, los mismos que deberán contener el número y/o la serie de dígitos que correspondan para cada tipo de documento; y,
(iii) Número telefónico o de abonado, para el caso de los servicios de telefonía fija y servicios públicos móviles; o número de contrato o de identificación del abonado, en los demás casos.

La información señalada en los numerales (i) y (ii) antes indicados, deberá ser solicitada al abonado al momento de la contratación, debiendo exigirse la exhibición y copia del documento legal de identificación del abonado, con la finalidad que la empresa operadora, en dicha oportunidad, proceda a registrar los datos personales del abonado a través de los mecanismos que hubiera dispuesto para tal fin, debiendo la empresa operadora informar al OSIPTEL acerca de los referidos mecanismos, así como sobre la seguridad de los mismos. La presentación de la copia del documento legal de identificación del abonado, podrá realizarse sobre papel o cualquier otro soporte que permita su almacenamiento y conservación por parte de la empresa operadora. La empresa operadora, bajo responsabilidad, sólo podrá instalar y/o activar el servicio, una vez que la información proporcionada por el abonado sea incluida en el registro correspondiente. En ningún caso, la empresa operadora trasladará al abonado la responsabilidad de registrar la información de sus datos personales, ni podrá requerirle la realización de
actos adicionales para tal efecto.
[19] Artículo 13.- Cambio de titularidad de servicios bajo la modalidad prepago
En caso que, por cualquier causa lícita, se realice un cambio en la titularidad del servicio bajo la modalidad prepago, corresponderá al abonado registrar dicho cambio de titularidad con la finalidad que el nuevo titular sea reconocido como nuevo abonado y pueda ejercer los derechos que otorga la presente norma, salvo en caso de fallecimiento del abonado, en cuyo caso el nuevo titular con la acreditación respectiva podrá registrar dicho cambio de titularidad. En estos casos, la empresa operadora procederá a efectuar el cambio de titularidad como máximo a los tres (3) días útiles de recibida la referida solicitud. (…).
 Bajo ningún supuesto, la empresa operadora podrá establecer mecanismos distintos al anteriormente señalado para realizar el cambio de titularidad de los servicios contratados bajo la modalidad prepago.
[20] Directiva 95/46/CE del Parlamento Europeo y del Consejo
Artículo 2 Definiciones
(…)
b) «tratamiento de datos personales» («tratamiento»): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.
[21] Ley francesa de 1978 Informática y Libertades  
Artículo 25
I. - Se implementan después de autorización por la Comisión Nacional de Informática y Libertades,  con exclusión de las mencionadas en los artículos 26 y 27:
El tratamiento automatizado que tiene por objeto:
-  La interconexión de archivos de una o más personas jurídicas que administran un servicio público y cuyos objetivos corresponden a diferentes intereses públicos;
- La interconexión de archivos pertenecientes a terceras personas  cuyas finalidades principales son diferentes.
Artículo 30
I. - Las declaraciones, solicitudes de autorización y las peticiones de opinión dirigidas a la Comisión Nacional de Informática y Libertades en virtud de las disposiciones de las secciones 1 y 2, que precisan:
(…)
3. Si es necesario, las interconexiones, las aproximaciones o todas otras formas de vinculación con otros tratamientos;
[23] Ver: http://actualidad.rt.com/actualidad/161757-hackers-reproducen-huellas-dactilares-ministra-defensa

No hay comentarios:

Publicar un comentario