En julio de 2021, Osiptel aprobó la Norma Técnica relativa a la implementación del sistema de medición automatizado para verificación del servicio de acceso a internet por parte de Osiptel —la cual fue modificada en junio de 2023—. En ella, Osiptel detalla los aspectos técnicos que las empresas operadoras que prestan el servicio de acceso a Internet deben implementar para que Osiptel pueda desplegar un sistema automatizado que mida la calidad del servicio de Internet fijo y móvil que dichas empresas brindan. Entre otros, el sistema mide indicadores de calidad y pretende verificar el cumplimiento de la velocidad mínima garantizada (VMG) que, con la promulgación de la Ley 31207, es el 70% de la velocidad ofrecida en los planes contratados.
El sistema diseñado por Osiptel se basa en mediciones a nivel de usuario a través del recojo de información de sus equipos. En otras palabras, para poder supervisar a las empresas, Osiptel ha adquirido una herramienta tecnológica que las empresas operadoras deben instalar tanto en los routers que ofertan como en los aplicativos móviles de gestión de usuario que los consumidores instalan para administrar el servicio contratado. Con esta herramienta de medición, Osiptel accede a información que, en teoría, le permite evaluar si se están cumpliendo con los estándares de calidad establecidos en la norma.
¿A qué información accede Osiptel?
Según dispone la Norma Técnica, las empresas operadoras tienen la obligación de brindar a Osiptel las facilidades técnicas que permitan que el sistema de medición recopile, de forma automatizada, las condiciones ambientales de medición. Los detalles de los parámetros de dichas condiciones fueron especificados por Osiptel en el Instructivo Técnico que publicó en agosto de 2021. En él, aclaró la información que debe ser recopilada por el software de medición que cada operadora instala en sus aplicativos móviles.
En el caso de las conexiones de Internet móvil, el software en cuestión extrae más de 20 tipos de datos que incluyen información como número de teléfono, IMEI del equipo, IMSI del chip, marca y modelo del equipo, versión del sistema operativo, ubicación georeferenciada (latitud y longitud), porcentaje de RAM utilizada, intensidad de la señal y tecnología de la conexión (3G, 4G, 5G, etc) entre otros valores como el plan contratado; datos que son utilizados para su estudio y análisis. Una lista de similar extensión corresponde a las conexiones de Internet fijo.
Esto significa que Osiptel tiene acceso a información clave sobre los usuarios, incluyendo su ubicación en segundo plano (es decir, aún cuando no estén utilizando el aplicativo), su IMEI, la memoria utilizada, etc. Sin embargo, la recopilación de datos se limita a esos parámetros. Osiptel ha establecido que las operadoras deben remitir la información mediante un consolidado (llamado “Registro de Abonados”), el cual será cargado electrónicamente en el Sistema de Medición con los accesos brindados por Osiptel. Este formato incluye el número telefónico, el código IMSI y el nombre completo de la persona usuaria, en conjunto con los datos detallados anteriormente. En consecuencia, Osiptel tiene acceso a la geolocalización histórica de todos los usuarios de Internet en el Perú, con nombre y apellido, de manera sistematizada y periódica. Asimismo, conforme ha detallado en su página web, Osiptel realiza la transferencia internacional de esta información a la empresa Cleartech LTDA (Brasil y EE.UU.), al tratarse de los desarrolladores de la solución técnica del sistema automatizado de medición.
De mal en peor
En la actualidad, son cada vez más comunes las medidas de vigilancia masiva por parte del Estado (pensemos, por ejemplo, en la cantidad de partidos políticos que incluyen este tipo de propuestas en sus campañas municipales, regionales y nacionales). En una sociedad hiperconectada, son muchos los datos que nos hacen identificables y que, registrados de manera indiscriminada, exponen nuestra intimidad, al otorgar un alto poder de control a quien esté en poder de esos datos. En el caso de la geolocalización, nos referimos a un dato personal (protegido también por el derecho al secreto de las telecomunicaciones) que nos hace perfectamente rastreables: incluso, permite reconstruir nuestras rutas, lugares frecuentes, etc.
Según nuestro marco legal y constitucional, el acceso y uso de este tipo de información es excepcional y/o debe cumplir con ciertos requisitos. De hecho, por el rol crítico que ocupa respecto a la privacidad de las personas, esta información está protegida por derechos como el secreto de las comunicaciones (art. 2.10 de la Constitución), el derecho a la intimidad (art. 2.8.) y el derecho a que los servicios informáticos no suministren informaciones que afecten la intimidad personal (art. 2.6.), lo cual también ha tenido desarrollo a través de la Ley de Protección de Datos Personales y su Reglamento. Por esta razón, solo en situaciones (cada vez menos) excepcionales, el Ministerio Público o, incluso, la Policía Nacional del Perú, pueden acceder a datos derivados de las telecomunicaciones, como es el caso de la geolocalización.
Sin embargo, con esta regulación, Osiptel se ha otorgado a sí mismo el poder de tener el registro periódico de la ubicación de las personas usuarias. Si antes ya era problemático que la Policía pueda acceder a la geolocalización de las personas sin una orden judicial previa (Decreto Legislativo 1182 y modificatorias), al menos nos encontrábamos en el marco de la persecución e investigación del delito. Ahora, en cambio, tenemos que un organismo regulador tiene acceso a la información georreferenciada de todas las personas, recopilada en tiempo real desde nuestros equipos móviles por las operadoras y cargada al Sistema de Medición periódicamente, bajo la consigna de supervisar la calidad de un servicio. Esto expone a las personas a un potencial uso desproporcionado de sus datos, a la vez que eleva el riesgo de filtraciones de información.
¿Qué dijo la Autoridad Nacional de Protección de Datos Personales?
En Hiperderecho consideramos que la recopilación de datos como la geolocalización, almacenada junto con los nombres y apellidos de los usuarios, no satisface los principios de la legislación vigente en materia de protección de datos personales. La Ley, por ejemplo, establece que, bajo el principio de proporcionalidad, todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que fueron recopilados. Así, también, con respecto a la finalidad, señala que ésta debe ser determinada, explícita y lícita, de modo tal que no se extienda a otros fines, salvo cuando se trate de actividades de valor estadístico, siempre que se utilice un procedimiento de disociación o anonimización.
Preguntamos a la Autoridad Nacional de Protección de Datos Personales si es necesario conocer la identidad de los usuarios para la finalidad de supervisión de calidad de un servicio, o si, por el contrario, la medición debería ser anonimizada. En su respuesta, la Autoridad se limita a recordar que la Ley establece excepciones al requisito del consentimiento (art. 14), entre las cuales figura la recopilación o transferencia de datos para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias. Así, la Autoridad concluye que Osiptel tiene habilitación legal para realizar el tratamiento de datos personales sin solicitar el consentimiento de los abonados para fines de supervisión, bastando con informarles.
Si bien el ejercicio de las funciones de Osiptel le permite recopilar datos personales sin requerir el consentimiento, como bien señala la Autoridad, eso no implica que dejen de respetarse otros principios de la norma. ¿Es realmente proporcional acceder a la geolocalización de los usuarios con cinco decimales de precisión? ¿Pueden las entidades públicas recopilar más datos de los necesarios para cumplir con sus funciones? ¿Qué necesidad existe de almacenar esta información con nombres y apellidos? Ninguna de estas preguntas fueron abordadas en la respuesta de la Autoridad, aunque son cruciales para determinar la legalidad del actuar de Osiptel. Por supuesto, sabemos que el organismo regulador puede y debe supervisar la calidad del servicio de acceso a Internet, función que saludamos. Sin embargo, creemos que para exigir mejores servicios no es necesario arriesgar la privacidad de las personas.
Directora de Investigación