Introducción.

Constituye el objeto del presente artículo, el análisis del artículo 20 de la reciente Ley N° 18.331 de 6 de agosto de 2008 que refiere acerca de los datos personales tratados en el ámbito de las telecomunicaciones.

Dicho artículo establece lo siguiente:

"Datos relativos a las telecomunicaciones.- Los operadores que exploten redes públicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos personales conforme a la presente ley.

Asimismo, deberán adoptar las medidas técnicas y de gestiones adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar sus niveles de protección de los datos personales que sean exigidos por la normativa de desarrollo de esta ley en esta materia. En caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicaciones electrónicas informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar.

La regulación contenida en esta ley se entiende sin perjuicio de lo previsto en la normativa específica sobre telecomunicaciones relacionadas con la seguridad pública y la defensa nacional."

El mercado de las Telecomunicaciones y su regulación.

El crecimiento exponencial del tráfico de telecomunicaciones conlleva la imperiosa necesidad de aplicar medidas de seguridad suficientes para proteger la información de carácter personal de los usuarios de las redes de telecomunicaciones globales, regionales y nacionales.

La obligación establecida por la Ley 18.331 en su artículo 20, para que las empresas de telecomunicaciones adopten medidas para garantizar la protección de los datos personales, tiene un efecto por demás positivo, por cuanto obliga, a las que aún no lo hubieren hecho, a realizar inversiones en capacitación y servicios para alcanzar niveles de protección adecuados.

Asimismo, obliga expresamente a que "los operadores que exploten redes públicas o que presten servicios de comunicaciones electrónicas disponibles al público" garanticen, en el ejercicio de su actividad, la protección de los datos personales conforme a las demás disposiciones de la Ley 18.331, lo cual se fundamenta lógicamente en la alta sensibilidad de los datos manejados por esta entidades y también en el secreto de las comunicaciones.

Desde el listado de llamadas telefónicas hasta las señales emitidas por aparatos de comunicación móvil que son aptos para la localización geográfica del abonado, son datos que están amparados por derechos de privacidad e intimidad protegidos por el artículo 28 de la Constitución, tratados internacionales y previsiones penales expresas, que refieren al concepto de inviolabilidad de las comunicaciones.

Por su parte, entendemos que la protección de datos personales se extiende, a modo de ejemplo, a los datos del abonado obtenidos por la contratación de servicios de telecomunicaciones tales como número o código de identificación del abonado, titularidad de la línea, número o dirección IP, titularidad de los nombre de usuario ("logins" o "users") y de las claves de acceso ("passwords") asociadas a un servicio determinado, el histórico de pedidos de traslados, cambios de número, su ocupación, teléfonos de referencia, cuentas bancarias, forma de pago, datos de reclamo, entre otros, así como a datos del abonado o usuario que el operador pudiera haber obtenido por la utilización del servicio.

Las violaciones a los sistemas informáticos de las empresas de telecomunicaciones suponen graves inconvenientes tanto para la protección de datos y privacidad de los individuos así como para la reputación y actividades de las propias empresas que son responsables de guardar dicha información. Recientes casos de fraudes millonarios en Estados Unidos y Gran Bretaña corroboran esta afirmación, en particular, los referidos a robos de identidad.

A la fecha, muchos estados de USA han sancionado leyes para minimizar el impacto de estas transgresiones. Tal ha sido el caso precursor de la ley del Estado de California implementado en julio de 2003. Otros países, han comenzado sus procesos legislativos de consideración particular del tema.[1]

Coincidiendo con esta corriente, en cumplimiento de la Directiva 2002/58/CE de 12 de julio de 2002[2]de la Unión Europea, España aprobó la Ley 32/2003, de 3 de noviembre de 2003 (conocida como Ley General de Telecomunicaciones o LGT) que obliga a los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público, a garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal adoptando las medidas técnicas y de gestión adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, conforme también a la Ley Orgánica 15/1999 de 13 de diciembre 1999 de Protección de Datos de Carácter Personal (LOPD), el Decreto 1720/2007 vigente desde el 17 de abril de 2008, el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, y demás reglamentación.

Si bien es cierto que el texto de la LGT es adoptado por nuestra Ley 18.331, la regulación española es más específica y detallada que nuestra ley. El citado Reglamento ahonda en el tema de tratamiento de los datos en poder de los operadores relativos al tráfico, facturación y localización de los abonados y usuarios, en la elaboración de las guías telefónicas de números de abonados y en la prestación de servicios avanzados de telefonía -como la identificación de la línea de origen y el desvío automático de llamadas-, existiendo incluso numerosos informes de los Agencia Española de Protección de Datos Personales sobre la aplicación de estos temas puntuales.

Por su lado, nos parece adecuada la remisión a la futura reglamentación, tal como se optó en otros casos de derecho comparado, que se establece en el artículo 20 de la Ley 18.331 respecto de los estándares o niveles de protección exigibles para que los operadores implicados puedan "adoptar las medidas técnicas y de gestiones adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios".

Sujetos obligados por la nueva ley.

El Legislador ha tomado como fuente del artículo a estudio la ley española 32/2003, de 3 de noviembre de 2003, la cual incorporó al Derecho Español la Directiva de E-Privacidad 2002/58/CE, yaanteriormente mencionadas.

El texto del artículo 34 de esta última ley española es muy similar al actual artículo 20 de la Ley 18.331 cuyo texto es: "Protección de los datos de carácter personal.  Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo inciso del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente.

Los operadores a los que se refiere el párrafo anterior deberán adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos de carácter personal que sean exigidos por la normativa de desarrollo de esta ley en esta materia. En caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicaciones electrónicas informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar."

Por su parte, el texto del artículo 20 de la ley patria en los mismos términos refiere a:

- "operadores que exploten redes públicas o que presten servicios de comunicaciones electrónicas disponibles al público", en su primer inciso, y,

- en su segundo inciso, a los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas.

Como se puede apreciar, ambos cuerpos normativos refieren a conceptos similares pero no iguales, lo cual reviste importancia como desarrollaremos a continuación.

En nuestro ordenamiento jurídico no encontramos una definición normativa del concepto de operador, a diferencia de la LGT española que en su Anexo II define lo siguiente:

• "Operador: persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado a la Comisión del Mercado de las Telecomunicaciones el inicio de su actividad."[3]
• "Explotación de una red de comunicación electrónica: la creación, el aprovechamiento, el control o la puesta a disposición de dicha red."
• "Red pública de comunicaciones: una red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público."
• "Red de comunicaciones electrónicas: los sistemas de transmisión y, cuando proceda, los equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites, redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transportada."

En nuestro Derecho, en cambio, para delimitar el alcance de estos conceptos, debemos acudir, en primer lugar, a una interpretación lógico sistemática, que debe estar en armonía con el resto de ordenamiento jurídico nacional.

Así es que, en materia de telecomunicaciones, encontramos el Reglamento de Licencias de Telecomunicaciones aprobado por Decreto 115/03 de 25 de marzo de 2003. Se define en su artículo 3 a la Red Pública de Telecomunicaciones, en contraposición a la Red Privada, como "el conjunto de nodos, enlaces, medios y sistemas que posibilita la conexión entre dos o más puntos a fin de hacer efectiva la telecomunicación entre ellos. Estas redes, en tanto se utilizan para dar servicios al público en general, son consideradas redes públicas de telecomunicaciones y su operador dará interconexión y acceso a otros operadores, prestadores, usuarios o clientes de conformidad con las condiciones establecidas en el reglamento respectivo."

De esta forma, debe entenderse como claramente comprendidas dentro de esta definición, por ejemplo, a los actuales Licenciatarios Clase A y B conforme al Decreto 115/03, en tanto habilitan a la operación de una red pública de telecomunicaciones y prestación por esos medios de los servicios de telecomunicaciones, y a la estricta prestación de servicios de telecomunicaciones, respectivamente.

Abona esta afirmación el hecho de que la propia LGT también define a la Red Telefónica Pública como "una red de comunicación electrónica utilizada para la prestación de servicios telefónicos disponibles al público. Sirve de soporte a la transferencia, entre puntos de terminación de la red, de comunicaciones vocales, así como de otros tipos de comunicaciones, como el fax y la transmisión de datos."

Opinamos que en la Ley 18.331 se ha optado acertadamente por la referencia a "servicio de comunicaciones electrónicas" o "redes públicas de comunicaciones electrónicas" en vez de el de "servicio de telecomunicaciones" o "redes públicas de telecomunicaciones", reflejando así con mayor amplitud la realidad de creciente expansión en este sector tan dinámico, y expandiendo de esta forma el alcance de la norma más allá de lo definido en el Decreto 115/03.[4]

Por su lado, a diferencia de la LGT, nuestro ordenamiento jurídico tampoco tiene una definición de "Abonado" por lo que debemos acudir a su sentido literal, entendiendo por tal a una persona que hasuscrito o adquirido un abono para un servicio, dejando afuera así al servicio que se paga únicamentecuando se lo utiliza efectivamente[5], o incluso a aquellas relaciones de prestación de servicios que no revisten el carácter de onerosidad.

La LGT define el concepto de abonado como "cualquier persona física o jurídica que haya celebrado un contrato con un proveedor de servicios de comunicaciones electrónicas disponibles para el público para la prestación de dichos servicios."

Sobre el particular, consideramos que convendría definir claramente mediante la futura reglamentación de la Ley 18.331, la delimitación de tal concepto en el sentido adoptado por la LGT.[6]

Por su parte, debemos señalar que en el ámbito de la Unión Europea existe un informe favorable de la European Data Protection Supervisor (EDPS) a favor de la propuesta de la Comisión Europea para modificar el artículo 4 de la Directiva sobre E-Privacidad citada anteriormente[7], y añadir dicha obligación de notificar al abonado, no sólo para entidades proveedoras de servicios de comunicaciones electrónicas en redes públicas, sino también para los otros proveedores de servicios de la "Sociedad de la Información" que procesen datos sensibles como son los que proveen de servicios financieros, de seguros, y de salud on-line.

Este informe también reviste especial importancia para interpretar el sentido de la expresión "riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas" en el artículo 20 de la Ley 18.331, lo cual desarrollaremos a continuación.

Obligación de notificar sobre riesgos particulares.

Son notorios los innumerables casos de fallas de seguridad detectados a distintos niveles de los sistemas informáticos de empresas de todo el mundo que ponen en riesgo los datos de sus clientes, y su inmediata repercusión en los medios de comunicación. En los Estados Unidos, podemos mencionar cientos de casos de empresas que han visto "comprometidos" datos sensibles de cientos de miles de sus propios clientes, y otros tantos que no fueron publicados o incluso ni detectados.  

La violación de los sistemas de seguridad puede ocurrir de diversas formas, a vía de ejemplo:

-       pérdida o robo de computadoras portátiles, dispositivos de almacenamientos portátiles, etc.

-       suministro de información a direcciones de correo equivocadas.

-       suministro de información sobre otras personas.

-       acceso no autorizado a sistemas informáticos.

-       inside trading.

Resulta importante destacar que en las violaciones de seguridad referidas en el artículo 20 de la Ley 18.331 no necesariamente se refieren solamente a robos o hacking, o sea actividades premeditadas, sino también a errores de los propios empleados de las compañías de telecomunicaciones que pueden afectar tanto o más los derechos de los abonados.

La finalidad de realizar la notificación al abonado radica fundamentalmente en hacer que el propio abonado tome conocimiento de que sus propios datos personales pueden estar comprometidos y así, incluso éste pueda tomar medidas adecuadas para minimizar el potencial daño o prevenirlo antes de que se produzca. Esto reviste especial importancia en los casos de robo de identidad.[8]

La transparencia de la empresa de telecomunicaciones en este caso es fundamental para tener la confianza de su propio cliente, y por esto es que se impone al operador una obligación de notificar no sólo el riesgo particular sino también las medidas a adoptar por el operador, las cuales entendemos pueden ser tomadas antes, después o en forma concomitante a la notificación en caso de resultar necesario para eliminar o mitigar dicho riesgo, aún cuando la ley no lo mencione así exactamente.

Dicha obligación legal es acorde también al principio de Seguridad y de Reserva reconocidos en los artículos 10 y 11 respectivamente de la propia Ley 18.331.

Además, no debe olvidarse que los datos personales referidos al abonado son propiedad de éste, y, por tanto, es lógico que éste tenga control sobre los mismos.

En algunos países, la legislación local dispone que estos casos se deban reportar también a la autoridad nacional o estatal de control de aplicación de la normativa de protección de datos personales, tanto para establecer un doble control como para recopilar información estadística que pueda facilitar estudios sobre seguridad.

Tal es el caso de Noruega, en donde debe notificarse a la Datatilsynet pero sin un plazo legal, aunque existe una recomendación de cumplir con la notificación dentro de un plazo de una semana de la violación de seguridad.

La Ley 18.331 ha optado por no establecer un plazo dentro del cual realizar la notificación requerida. Entendemos que por vía reglamentaria, se podría añadir esto a los efectos de que las medidas puedan ser adoptadas en un plazo razonable y con antelación suficiente si fuera aplicable.

Por otra parte, la expresión "riesgos particulares" que menciona el artículo 20 la Ley 18.331 deben interpretarse por su propio significado, esto es, sólo obliga a los operadores a notificar a sus abonados acerca de los riesgos en materia de seguridad pero no establece que deba informarse sobre las fallas concretas en materia de seguridad.

Esta interpretación coincide con la brindada por la Comisión de la Unión Europea[9] para la reforma de la Directiva 2002/58/CE citada en ut supra, específicamente para su artículo 4 cuya redacción es similar a nuestro artículo bajo análisis.

Diferente es la normativa de la mayoría de los estados federales de USA, que, insistimos, han sancionado leyes estatales que obligan a notificar una falla de seguridad.

A pesar de que en nuestro país, a través de la presente ley a estudio, esto no está previsto expresamente, podría interpretarse que igualmente surge para el operador una obligación implícita de evitar un daño o el agravamiento de un daño o al menos minimizar las consecuencias del daño ya producido, dado que está prevista expresamente la obligación de actuar de buena fe en el artículo 1291 del Código Civil en el vínculo contractual que lo une con el abonado. [10]

Sin embargo, creemos que el Legislador no lo ha previsto expresamente en esta materia, y, atento al principio de especialidad, debiera verse cada caso en particular según los términos y condiciones pactados entre el operador y el abonado para la prestación del servicio.

Muchas empresas igualmente cumplen al día de hoy con estas exigencias contenidas en el artículo 20 de la presente ley, al estar sujetas a normativas corporativas que se han auto impuesto (autorregulación) en aras de conservar su reputación corporativa[11].

Por tanto, constatado por el operador el riesgo particular, concreto, de violación de seguridad debe contener dicho riesgo de trasgresión, y analizar posibles daños y riesgos asociados, e incluso decidir sobre las futuras medidas para prevenir eventuales violaciones a la seguridad a su sistema.

Opinamos que no cualquier riesgo particular debe ser notificado, sino aquel que, atendiendo a los principios de razonabilidad y de finalidad buscada por el texto normativo ya anotados arriba, implique un riesgo concreto a la protección de los datos personales del abonado. Por ende, razonando a contrarius sensu no se debería de notificar aquellas acciones u omisiones sin riesgo relevante o nimiedades[12], que razonablemente no puedan hacer peligrar la seguridad del sistema.

Lo cierto es que, las empresas, frente al temor por la publicidad de estos incidentes, dedican una mayor parte de su presupuesto en seguridad informática, invirtiendo a modo de ejemplo en programas de capacitación, nombramiento de responsables de sistemas de información, etc.[13]

Asimismo, el operador debe ceñirse a las leyes especiales relacionadas con "la seguridad pública y la defensa nacional", conforme indica el tercer inciso del artículo a estudio, que pueden indicar no notificar al abonado por existir una investigación en curso o aún por peligro de destrucción de prueba, conforme lo dispone el artículo 36 de Ley 18.315  de Procedimiento Policial, que limita el derecho a la información de la víctima en casos  de que esté en curso una investigación, y su artículo 104 que refiere al deber de la policía de mantener la reserva de la denuncia.

Incluso, los operadores no están obligados a guardar el secreto de las telecomunicaciones en los casos de investigación presumarial penal en curso, por orden del juez competente.

Por último, señalamos que la Ley 18.331 no ha previsto a texto expreso la acción de indemnización[14]. No obstante ello, ha reconocido en su artículo 12 el principio de responsabilidad, por lo que de producirse y poder probarse un daño, deberá seguirse la vía ordinaria por cobro de daños y perjuicios contra el responsable de la base de datos, fundándose, por ejemplo, en contratos escritos entre el abonado y la empresa responsable o en la propia normativa corporativa de dicha entidad publicada on-line.

Conclusiones.

Sin dudas, la Ley 18.331 significa un gran avance para el país en materia de legislación sobre protección de datos personales, y se ha acertado en incluir una previsión expresa referida al ámbito de las telecomunicaciones debido a la alta sensibilidad de la información involucrada en dicho sector.

Su artículo 20 deja pendiente para la reglamentación posterior numerosos temas para lograr instrumentar adecuadamente esta protección, y lograr que la misma sea una garantía eficaz y suficiente para el resguardo de los datos de los abonados de los servicios de telecomunicaciones.

Dicha reglamentación deberá ser clara, y coherente para poder ser implementada, y pueda ser mejorada cuando se trate de futuros servicios de telecomunicaciones que no vulneren los derechos reconocidos por la presente ley.