Según advirtió Nicolás Zevallos, criminólogo del ICEV, resulta peligroso que una empresa pública maneje esos datos personales, dado que podría ser objeto de ataques de redes criminales poniendo en riesgo a la ciudadanía.
Nicolás Zevallos señaló que, de promulgarse la norma, Osiptel podría obtener datos personales sin el permiso de un juez o de un fiscal
La Comisión de Defensa del Consumidor del Congreso aprobó, el pasado 7 de noviembre, un dictamen que modifica la ley de desarrollo de las funciones y facultades del Organismo Supervisor de Inversión Privada en Telecomunicaciones (Osiptel), a fin de darle prerrogativas “para fortalecer las facultades de decomiso de bienes vinculados a la infracción administrativa”.
El dictamen recaído en el proyecto de ley presentado por la parlamentaria Norma Yarrow (Avanza País) establece también modificaciones con relación al tratamiento de datos personales “para fines de la fiscalización de los servicios públicos de telecomunicaciones”.
“Para el estricto cumplimiento de sus funciones y facultades de fiscalización, y en concordancia con el artículo 14 de la Ley 29733, Ley de Protección de datos personales, el Osiptel puede solicitar a las empresas operadoras, la remisión de información de datos personales relacionada a la prestación de los servicios públicos de telecomunicaciones”, indica el texto legislativo.
“Dicha información será remitida por las empresas operadoras a través de mecanismos informáticos automatizados, mediante canales seguros de comunicación, de acuerdo a los plazos y términos que defina el Osiptel, garantizándose el derecho fundamental a la protección de los datos personales”, agrega.
Sin consentimiento de titulares de los datos personales
En esa línea, el dictamen indica que Osiptel “se encuentra facultado a fiscalizar la prestación de los servicios públicos de telecomunicaciones, en el sector de su competencia, para lo cual resulta necesario contar con la información relevante para el cumplimiento de su misión”.
“Ello implica (…) la necesidad de contar con información de geolocalización, tráfico, direcciones IP públicas y privadas, registros detallados de llamadas y sesiones de datos (CDR), entre otra información vinculada al ámbito de cumplimiento de su función”, precisa el dictamen.
Al respecto, según continúa el texto, dado que “no siempre las empresas prestadoras de servicios públicos de telecomunicaciones se muestran dispuestas a proporcionar dicha información y, más bien, cuestionan la facultad del Osiptel para requerir información que comprenda los datos personales necesarios para el desarrollo de su función de fiscalización”, entonces “resulta coherente con las necesidades funcionales del Osiptel, que dicha facultad de fiscalizacion Ie sea otorgada en forma expresa“.
“(Esto) mediante una disposición legal que exonere al Osiptel de requerir el consentimiento del titular de los datos personales, para los efectos de su tratamiento, cuando su tratamiento resulte imprescindible para efectuar su función de fiscalización, en el ámbito de las materias que son competencia de Osiptel“, añade el texto legislativo.
“Es un enorme riesgo de acumular datos en una institución pública”
Sobre este dictamen, Nicolás Zevallos Trigoso, criminólogo y exviceministro en Seguridad Pública del Mininter, consideró como un “enorme riesgo” para la ciudadanía que datos personales tan sensibles sean acumulados por una institución pública que podría ser vulnerada por redes criminales.
“Estamos frente a una enorme amenaza del crimen organizado donde existen diversas vulnerabilidades a nuestra seguridad. Una de ellas tiene que ver con un enorme mercado de datos personales, un mercado negro de datos de usuarios que se filtran con mucha facilidad, y lamentablemente la fuente principal de estos datos es el Estado“, indicó en Enfoque de los Sábados.
“En ese contexto, se presenta el PL-3752 que tiene como intención darle más fuerza a Osiptel para que pueda fiscalizar a las operadoras de telefonía, de servicio de internet. Pero incluyen dos artículos, dos modificaciones que implican un acceso irrestricto a la información personal y en tiempo real para Osiptel en cosas que nos competen como ciudadanos”, añadió.
En esa línea, Zevallos sostuvo que “Osiptel es uno de los primeros que debería preocuparse de que ese tipo de información se filtre”, y por ello “debe ser responsable de que ese acceso a información irrestricta no se consolide porque es un enorme riesgo para todos”.
“Se dice que lo importante es la vulnerabilidad del sistema, que el software sea robusto para que no pueda ser vulnerado. Pero hay un elemento humano que es indispensable en ese factor que puede ser capturado por coacción o por dinero. Cuando ese elemento es vulnerable permite la posibilidad de acceder a un sistema que puede ser muy robusto, pero si se convence al sujeto (responsable), ese dato es accesible. Cuando el crimen organizado encuentra ese tipo de vulnerabilidades no escatima esfuerzos ni recursos para utilizarlo”, indicó.
“Puede que la norma tenga una intención de protegernos, pero está dejando dos franjas bien complicadas y críticas que, a la luz del contexto representan un gran peligro”, subrayó.
Para el especialista, estas “dos franjas complicadas” serían las modificaciones a los artículos 6 y 15 de la ley de funciones de Osiptel.
“Una que tiene que ver con la modificación del artículo 6 de la Ley de Osiptel que habla del acceso a determinada calidad de datos. Esos datos podrán ser accedidos por Osiptel sin el permiso de un juez, de un fiscal. Son datos personales que tienen que ver con el uso de los servicios de tecnología e internet”, aseveró.
“El segundo es la modificación del artículo 15 que menciona que ese acceso puede ser a través de mecanismos virtuales, digitales, informáticos directos entre Osiptel y la empresa prestadora de servicios. Ese mecanismo lo va a definir Osiptel“, advirtió.
Zevallos puntualizó que “el conjunto de esos dos elementos es crítico porque tener acceso irrestricto e inmediato a datos personales muy privados (…) llama la atención porque (…) es un espacio de riesgo enorme, de vulnerabilidad enorme por parte del actor criminal”.
Fuente: RPP