Aprueban la “Norma que establece medidas destinadas a salvaguardar el derecho a la inviolabilidad y el secreto de las telecomunicaciones y la protección de datos personales, y regula las acciones de supervisión y control a cargo del Ministerio de Transportes y Comunicaciones”RESOLUCION MINISTERIAL Nº 111-2009-MTC-03
Lima, 6 de febrero de 2009
CONSIDERANDO:
Que, el artículo 4 del Texto Único Ordenado de la Ley de Telecomunicaciones, aprobado por Decreto Supremo Nº 013-93-TCC, establece que toda persona tiene derecho a la inviolabilidad y al secreto de las telecomunicaciones, encargando al Ministerio de Transportes y Comunicaciones su protección;
Que, el artículo 13 del Texto Único Ordenado del Reglamento General de la Ley de Telecomunicaciones, aprobado por Decreto Supremo Nº 020-2007-MTC, dispone que, se atenta contra la inviolabilidad y el secreto de las telecomunicaciones, cuando deliberadamente una persona que no es quien origina ni es el destinatario de la comunicación, sustrae, intercepta, interfiere, cambia o altera su texto, desvía su curso, publica, divulga, utiliza, trata de conocer o facilitar que él mismo u otra persona, conozca la existencia o el contenido de cualquier comunicación;
Que, a su vez, el citado artículo 13, establece que los concesionarios de servicios públicos de telecomunicaciones están obligados a salvaguardar el secreto de las telecomunicaciones y la protección de datos personales, adoptar las medidas y procedimientos razonables para garantizar la inviolabilidad y el secreto de las comunicaciones cursadas a través de tales servicios, así como mantener la confidencialidad de la información personal relativa a sus usuarios que se obtenga en el curso de sus negocios, salvo consentimiento previo, expreso y por escrito de sus usuarios y demás partes involucradas o por mandato judicial. Asimismo, el acotado artículo dispone que el Ministerio podrá emitir las disposiciones que sean necesarias para precisar sus alcances;
Que, mediante Resolución Ministerial Nº 622-96-MTC/15.17, se aprobó la Directiva Nº 002-96-MTC/15.17 sobre procedimientos de inspección y requerimientos de información relativa al secreto de las telecomunicaciones y la protección de datos;
Que, dado el desarrollo tecnológico y el tiempo transcurrido desde la aprobación de la referida Resolución, resultaba necesario adoptar un nuevo marco legal que cautele el derecho al secreto de las telecomunicaciones y la protección de datos personales y fortalezca las facultades de control y supervisión a cargo del Ministerio;
Que, en ese orden de ideas, por Resolución Ministerial Nº 043-2009-MTC/03, de fecha 21 de enero de 2009, se dispuso la prepublicación, en el Diario Oficial El Peruano y en el Portal de Internet del Ministerio de Transportes y Comunicaciones, del Proyecto de Resolución Ministerial que aprobaría la “Norma que establece medidas destinadas a salvaguardar la inviolabilidad y el secreto de las telecomunicaciones y la protección de datos personales, y regula las acciones de supervisión y control a cargo del Ministerio de Transportes y Comunicaciones”, habiéndose recibido y evaluado los comentarios de los interesados;
De conformidad con lo dispuesto en el Texto Único Ordenado de la Ley de Telecomunicaciones, aprobado por Decreto Supremo Nº 013-93-TCC, el Texto Único Ordenado de su Reglamento General aprobado por Decreto Supremo Nº 020-2007-MTC y el Reglamento de Organización y Funciones del Ministerio de Transportes y Comunicaciones aprobado por Decreto Supremo Nº 020-2007-MTC;
SE RESUELVE:
Artículo 1.- Apruébese la “Norma que establece medidas destinadas a salvaguardar el derecho a la inviolabilidad y el secreto de las telecomunicaciones y la protección de datos personales, y regula las acciones de supervisión y control a cargo del Ministerio de Transportes y Comunicaciones”, que en anexo, forma parte integrante de la presente resolución.
Artículo 2.- Facúltese a la Dirección General de Control y Supervisión de Comunicaciones a aprobar por Resolución Directoral, las normas complementarias que resulten necesarias, para la mejor aplicación de la presente Resolución.
Artículo 3.- La Resolución Ministerial Nº 622-96-MTC/15.17 que aprobó la Directiva Nº 002-96-MTC/15.17 sobre procedimientos de inspección y requerimientos de información relativa al secreto de las telecomunicaciones y la protección de datos, quedará derogada en la fecha de entrada en vigencia de la norma que se aprueba en virtud del artículo primero.
Artículo 4.- La norma que se aprueba mediante la presente resolución, entrará en vigencia el 16 de febrero de 2009.
DISPOSICIONES TRANSITORIAS
Primera.- Los plazos para la implementación de las obligaciones previstas en los numerales 10.5.3, 10.6.1 y 10.7.1 de la norma que se aprueba en virtud del artículo 1, estarán sujetos al número de personal propio y de terceros de cada operador de servicios públicos de telecomunicaciones, según el siguiente detalle:
Número de Personas
Plazo de implementación
De 1 a 500
15 de marzo de 2009
De 501 a 2000
15 de abril de 2009
De 2001 a más
15 de junio de 2009
Segunda.- Las disposiciones previstas en los numerales 10.5.1 y 10.5.2 de la norma que se aprueba mediante la presente resolución, serán implementadas como plazo máximo, hasta el 15 de junio de 2009.
Tercera.- Las disposiciones previstas en los numerales 10.4, 10.6.2, 10.7.2, 10.9, 10.10 y 10.11 de la referida Norma, deberán ser implementadas por los operadores de servicios públicos de telecomunicaciones hasta el 15 de agosto de 2009.
Cuarta.- Los operadores de servicios públicos de telecomunicaciones presentarán el 17 de agosto de 2009 a la Dirección General de Control y Supervisión de Comunicaciones, un informe reportando la implementación de las obligaciones a que se refiere el numeral 10 de la Norma aprobada.
Regístrese, comuníquese y publíquese.
ENRIQUE CORNEJO RAMÍREZ
Ministro de Transportes y Comunicaciones
NORMA QUE ESTABLECE MEDIDAS DESTINADAS A SALVAGUARDAR EL DERECHO A LA INVIOLABILIDAD Y EL SECRETO DE LAS TELECOMUNICACIONES Y LA PROTECCIÓN DE DATOS PERSONALES, Y REGULA LAS ACCIONES DE SUPERVISIÓN Y CONTROL A CARGO DEL MINISTERIO DE TRANSPORTES Y COMUNICACIONES
ÍNDICE
1 : Finalidad
2 : Base legal
3 : Alcance
4 : Referencias
5 : Definiciones
6 : Ámbito de Protección
7 : De la vulneración del derecho a la inviolabilidad y
al secreto de las telecomunicaciones
8 : De la vulneración a la protección de datos
personales
9 : Pautas generales de seguridad
10 : De las obligaciones de los operadores de
telecomunicaciones relativas a la inviolabilidad y
secreto de las telecomunicaciones y la protección
de datos personales
11 : Del Informe de los operadores de
telecomunicaciones
12 : De las inspecciones
13 : De las infracciones
NORMA QUE ESTABLECE MEDIDAS DESTINADAS A SALVAGUARDAR LA INVIOLABILIDAD Y EL SECRETO DE LAS TELECOMUNICACIONES Y LA PROTECCIÓN DE DATOS PERSONALES, Y REGULA LAS ACCIONES DE SUPERVISIÓN Y CONTROL A CARGO DEL MINISTERIO DE TRANSPORTES Y COMUNICACIONES
1. FINALIDAD
Establecer las medidas que adoptarán los Operadores de Servicios Públicos de Telecomunicaciones, destinadas a salvaguardar el derecho a la inviolabilidad y al secreto de las telecomunicaciones y la protección de datos personales de los abonados y/o usuarios en la prestación de sus servicios; así como las disposiciones que regulan el ejercicio de las facultades de supervisión y control atribuidas al Ministerio de Transportes y Comunicaciones.
2. BASE LEGAL
a. Texto Único Ordenado de la Ley de Telecomunicaciones, aprobado por Decreto Supremo Nº 013-93-TCC.
b. Texto Único Ordenado del Reglamento General de la Ley de Telecomunicaciones, aprobado por Decreto Supremo Nº 020-2007-MTC.
c. Reglamento de Organización y Funciones del Ministerio de Transportes y Comunicaciones, aprobado por Decreto Supremo Nº 021-2007-MTC.
3. ALCANCE
La presente Norma es de aplicación a las personas naturales y jurídicas que prestan servicios públicos de telecomunicaciones.
Cuando un Operador de Servicios Públicos de Telecomunicaciones financiado por el Fondo de Inversión en Telecomunicaciones - FITEL, haga uso de los servicios de transmisión de voz y/o datos de un operador de servicio privado de telecomunicaciones; la responsabilidad de salvaguardar el secreto de las telecomunicaciones y la protección de datos personales recaerá sobre el Operador del Servicio Público de Telecomunicaciones.
Para los operadores que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable o servicios convergentes de telefonía fija y/o acceso a Internet, la presente Norma se aplicará únicamente en lo concerniente a la protección de datos personales.
4. REFERENCIAS
Para efectos de la presente norma, entiéndase por:
Dirección General de : Dirección General de
Control Control y Supervisión de
Comunicaciones.
Ley de : Texto Único Ordenado de la
Telecomunicaciones Ley de Telecomunicaciones
Ministerio : Ministerio de Transportes y
Comunicaciones
Reglamento de la Ley : Texto Único Ordenado del
Reglamento General de la
Ley de Telecomunicaciones.
Asimismo, cuando se haga referencia a un artículo o a un numeral sin indicar el dispositivo al cual pertenece, se entenderá referido a la presente norma.
5. DEFINICIONES
Para efectos de la presente norma, se aplicarán las siguientes definiciones:
Cámara
Estructura subterránea, donde se realizan empalmes y la distribución de cables de la red de telecomunicaciones.
Operador de Telecomunicaciones
Persona natural o jurídica que cuenta con concesión o registro otorgado por el Ministerio para prestar servicios públicos de telecomunicaciones.
Planta externa
Conjunto de construcciones, cables, instalaciones, equipos y dispositivos que se ubican fuera de los edificios de la planta interna hasta el terminal de distribución. Será aérea, cuando los elementos que conforman la planta externa están fijados en postes o estructuras, y será subterránea, cuando los elementos que la conforman se instalan en canalizaciones, cámaras, ductos y conductos.
Planta interna
Conjunto de equipos e instalaciones que se ubican dentro de la edificación que alberga la central, cabecera o nodo del servicio de telecomunicaciones. Incluye los equipos de los sistemas de conmutación, sistemas de transmisión y sistemas informáticos (bases de datos, aplicativos, procesos).
Protección de datos personales
Se entiende como protección de datos personales a la obligación de los Operadores de Telecomunicaciones de adoptar las medidas necesarias, a fin de que la información personal que obtengan de sus abonados o usuarios en el curso de sus operaciones comerciales, no sea obtenida por terceros, salvo las excepciones previstas en el numeral 8.
Red Pública de Telecomunicaciones
Red o sistema de telecomunicaciones establecido y explotado por una o más empresas, con la finalidad específica de ofrecer servicios de telecomunicaciones al público.
Secreto de las telecomunicaciones
Se entiende como secreto de las telecomunicaciones al derecho fundamental de toda persona, a que sus comunicaciones no sean vulneradas y que genera la obligación a cargo de los Operadores de Telecomunicaciones de adoptar las medidas y procedimientos razonables para garantizar la inviolabilidad de las comunicaciones que se cursen a través de sus redes.
Servicios Públicos de Telecomunicaciones
Servicios declarados como tales por el Reglamento de la Ley, cuyo uso está a disposición del público en general a cambio de una contraprestación tarifaria, sin discriminación alguna, dentro de las posibilidades de oferta técnica que ofrecen los operadores.
6. ÁMBITO DE PROTECCIÓN
La protección del derecho a la inviolabilidad y al secreto de las telecomunicaciones y a la protección de datos personales, comprende, entre otros aspectos, los siguientes:
- El contenido de cualquier comunicación, de voz o de datos, cursado a través de las redes de telecomunicaciones u otros medios que la tecnología permita.
- Los mensajes de texto (SMS) y multimedia (MMS), entrantes y salientes.
- El origen, destino, realización, curso o duración de una comunicación.
- La información del tráfico de un abonado o usuario.
- Los datos codificados y decodificados de los registros de las llamadas.
- Los documentos, en soporte físico o magnético, y bases de datos que contengan la información referida anteriormente, así como aquellos que fueran elaborados para la prestación de los servicios públicos de distribución de radiodifusión por cable o de acceso a Internet.
- La información personal que los Operadores de Telecomunicaciones obtengan de sus abonados y usuarios en el curso de sus operaciones comerciales y que se encuentre contenida en soportes físicos, informáticos o similares, tales como documentos privados y bases de datos, en tanto el usuario o abonado no haya autorizado su difusión o esté permitida por el marco legal vigente.
- Los pagos, tales como el pago anticipado, pago a plazos y notificación de recibos pendientes, entre otros.
- La información referida al origen de la suspensión del servicio, distinto a la falta de pago, que hubiera motivado o generado la conexión o desconexión del servicio.
- Otros que se determine mediante Resolución Viceministerial.
Se exceptúa del ámbito de aplicación de la presente Norma, los supuestos previstos en la legislación vigente, referidos a cualquiera de los aspectos detallados en el presente numeral.
7. DE LA VULNERACIÓN DEL DERECHO A LA INVIOLABILIDAD Y AL SECRETO DE LAS TELECOMUNICACIONES
Se atenta contra el derecho a la inviolabilidad y al secreto de las telecomunicaciones, cuando deliberadamente una persona que no es quien origina ni es el destinatario de la comunicación, sustrae, intercepta, interfiere, cambia o altera su texto, desvía su curso, publica, divulga, utiliza, trata de conocer o facilitar que él mismo u otra persona, conozca la existencia o el contenido de cualquier comunicación, salvo las excepciones previstas en la legislación vigente.
8. DE LA VULNERACIÓN A LA PROTECCIÓN DE DATOS PERSONALES
Se atenta contra la protección de la información personal relativa a los abonados o usuarios cuando ésta es entregada a terceros, salvo las excepciones previstas en la legislación vigente.
La obligación de protección a que se refiere el párrafo precedente, no incluye la información que los Operadores de Telecomunicaciones deben incluir en las guías de abonados que publiquen, según corresponda.
Asimismo, no constituye vulneración a la protección de datos personales, la entrega de información personal de los usuarios o abonados a terceros que participen en la gestión comercial del servicio y respecto de la información estrictamente necesaria para dicho fin. Sin perjuicio de ello, la entrega y resguardo de esta información, deberá efectuarse de conformidad con lo dispuesto en la presente Norma.
9. PAUTAS GENERALES DE SEGURIDAD
9.1 Los siguientes aspectos marcos de seguridad orientarán a los Operadores de Telecomunicaciones, en la adopción de medidas y procedimientos para el mejor cumplimiento de las Obligaciones previstas en el numeral 10:
* Autenticación: Implica corroborar que una entidad (personal, dispositivos, servicios y/o aplicaciones) tiene efectivamente la identidad que pretende, incluye verificar que no se trata de un caso de usurpación de identidad o reproducción no autorizada de una comunicación anterior.
* Control de acceso: Implica que sólo el personal o los dispositivos autorizados puedan acceder a los elementos de red, la información almacenada, los flujos de información, los servicios y las aplicaciones.
* No repudio: Implica contar con la capacidad de evitar que una entidad (personal, dispositivos, servicios y/o aplicaciones), pueda negar haber realizado una acción en etapas posteriores. Supone asimismo la creación de pruebas que, en ocasiones posteriores, podrían ser utilizadas para demostrar la falsedad de un argumento.
* Confidencialidad: Implica que la información no se divulgará ni se pondrá a disposición de individuos, entidades o procesos no autorizados.
* Integridad de los datos: Implica verificar que los datos personales no han sido alterados sin la autorización respectiva.
* Alarma de seguridad: Mecanismo para detectar un evento relacionado con la seguridad, mediante la generación de un mensaje.
9.2 En la adopción de medidas y procedimientos para salvaguardar el derecho a la inviolabilidad y al secreto de las telecomunicaciones y la protección de datos personales de sus abonados y/o usuarios, complementarios a los previstos en el numeral 10, los Operadores de Telecomunicaciones se guiarán, en función a su red, de las siguientes recomendaciones:
* Norma Técnica Peruana NTP-ISO/IEC 1779 2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información, emitido por la Comisión de Reglamentos Técnicos y Comerciales del Instituto Nacional de Defensa de la Competencia y Protección de la Propiedad Intelectual - INDECOPI.
* Recomendación E.408 de la Unión Internacional de Telecomunicaciones, referida a los “Requisitos de seguridad para las redes de telecomunicaciones”.
* Manual sobre “La Seguridad de las Telecomunicaciones y las Tecnologías de la Información” de la Unión Internacional de Telecomunicaciones, edición 2006 y versiones actualizadas.
9.3 Los Operadores de Telecomunicaciones tenderán a que sus redes estén en capacidad de permitir técnicas de cifrado de extremo a extremo, a fin de atender la eventual demanda de los abonados o usuarios por estos servicios. El cifrado de datos de extremo a extremo, es la transformación de datos para que éstos sólo sean inteligibles a los usuarios o personal autorizado, efectuada en el interior o en el sistema extremo fuente, cuyo descifrado correspondiente se produce sólo en el interior o en el sistema extremo de destino.
10. DE LAS OBLIGACIONES DE LOS OPERADORES DE TELECOMUNICACIONES RELATIVAS A LA INVIOLABILIDAD Y AL SECRETO DE LAS TELECOMUNICACIONES Y LA PROTECCIÓN DE DATOS PERSONALES
10.1 Los Operadores de Telecomunicaciones tienen la obligación de brindar a la Dirección General de Control del Ministerio, todas las facilidades necesarias para el cumplimiento de sus funciones inspectoras y de verificación sobre el cumplimiento de la obligación de respetar y salvaguardar el secreto de las telecomunicaciones y la protección de datos personales de los abonados y/o usuarios, sin que para ello se requiera una notificación previa.
10.2 Los Operadores de Telecomunicaciones tienen la obligación de presentar a la Dirección General de Control del Ministerio, un informe anual sobre las medidas y procedimientos establecidos para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales de sus abonados y/o usuarios. Dicha información será presentada a más tardar el 15 de febrero de cada año, observando las disposiciones previstas en el numeral 11.
10.3 Los Operadores de Telecomunicaciones tienen la obligación de respetar y salvaguardar el secreto de las telecomunicaciones y proteger los datos personales de sus abonados y/o usuarios, salvo las excepciones previstas en la legislación vigente. En ese sentido, las medidas mínimas que se detallan en los numerales siguientes, no deberán ser entendidas, como medidas únicas y/o excluyentes, encontrándose los Operadores de Telecomunicaciones obligados a implementar las medidas y procedimientos complementarios que resulten razonables para garantizar la inviolabilidad y el secreto de las telecomunicaciones y los datos personales de sus abonados y/o usuarios. Ello, en función a las redes y tecnologías que empleen y el personal propio o de terceros que tenga acceso a la red pública o a la información confidencial de sus abonados y/o usuarios.
10.4. Los Operadores de Telecomunicaciones implementarán las medidas y procedimientos que resulten razonables para garantizar que sólo el personal debidamente autorizado, propio o de terceros, acceda a locales y sistemas con acceso restringido, los que serán previamente determinados por el Operador de Telecomunicaciones, en función a su red, tanto en planta interna como externa. Para dicho efecto, deberán:
* Implementar adecuados mecanismos o sistemas de control de acceso para el personal autorizado, en puertas internas y externas.
* Establecer medidas para la identificación del personal autorizado, así como sus niveles de acceso. En el caso de planta interna, se empleará tarjetas magnéticas y/o detectores de huella digital u otros identificadores cuyo nivel de seguridad y confiabilidad sea similar o superior.
Los operadores que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable, o servicios convergentes de telefonía fija y/o acceso a Internet, podrán emplear otros mecanismos a fin de dar cumplimiento a esta obligación.
* Contar con un Manual Interno de procedimientos de seguridad, que sea de conocimiento del personal. Asimismo, se deberán adoptar medidas para difundir sus alcances, a través de charlas de orientación, afiches, recordatorios, entre otros.
* Establecer medidas que incentiven al personal al cumplimiento del Manual Interno de procedimientos de seguridad.
10.5. Los Operadores de Telecomunicaciones implementarán las medidas que fueran necesarias para el resguardo de la planta externa e interna comprendiendo los componentes físicos y/o lógicos que pudieran facilitar la violación del secreto de las telecomunicaciones o el acceso a datos personales protegidos. Para el cumplimiento de la referida obligación, se deberá:
10.5.1 En la planta externa:
- Los armarios, contarán con mecanismos de seguridad, tales como candados con clave, candados con llave, platinas de seguridad con cerradura, entre otros.
- Las cajas de distribución contarán con mecanismos de seguridad, tales como cerraduras con llave, entre otros.
- Las cámaras deberán contar con mecanismos de seguridad tales como soldadura de tapas, contratapas, seguridad neumática, tapas especiales con grava, entre otros.
- Los Repartidores Principales (MDF), de ser el caso, y los recintos empleados para éstos, contarán con mecanismos de seguridad.
- Las estaciones base contarán con mecanismos de seguridad.
10.5.2 En la planta interna:
- Los sistemas de conmutación y transmisión, en función a la red, contarán con mecanismos de protección y seguridad.
- Los equipos informáticos empleados para los procesos de facturación, tasación, bases de datos, entre otros, contarán con contraseñas de acceso, firewalls, software de detección y reparación de virus y software de protección contra códigos maliciosos, entre otros.
10.5.3 Respecto del personal:
Celebrar acuerdos de confidencialidad con su personal y con terceros que participen de la gestión comercial y/u operativa del servicio, y que tenga acceso a la planta externa o interna, previendo en dichos acuerdos, la obligación de no divulgar cualquier información que pudiera facilitar o coadyuvar a la vulneración del secreto de las telecomunicaciones, aún después de extinguido el vínculo laboral o contractual; así como las consecuencias civiles y penales derivadas de su incumplimiento.
En la celebración de sus acuerdos con terceros, los Operadores de Telecomunicaciones les exigirán a su vez, la suscripción de acuerdos de confidencialidad con el personal que éstos tuvieran a su cargo, que tenga acceso a la planta interna o externa del citado Operador; debiendo verificar dicho cumplimiento.
10.6. Los Operadores de Telecomunicaciones establecerán las medidas de seguridad pertinentes para proteger la información contenida en los recibos de servicios telefónicos, requerimientos de pago y otros comprobantes de pago (boletas, facturas, notas de crédito y débito), así como la información referida a detalles de llamadas (no incluidas en recibos), historial de suspensiones, cortes y reconexiones y grabaciones por gestiones de deuda.
Dicha información podrá ser cedida a terceros que participen en la gestión comercial del Operador de Telecomunicaciones, de conformidad con lo dispuesto en la presente norma. Así como a las centrales de riesgo, al Poder Judicial, al Organismo Supervisor de la Inversión Privada en Telecomunicaciones - OSIPTEL, al Administrador de la Base de Datos de Portabilidad Numérica, otros Operadores de Telecomunicaciones y a otras entidades habilitadas, según la legislación vigente.
Para el cumplimiento de dicha obligación, se deberá, según corresponda:
10.6.1 Celebrar acuerdos de confidencialidad con su personal y con terceros que participen de la gestión comercial y/u operativa del servicio, y que tenga acceso a la planta interna, previendo en dichos acuerdos, la obligación de no divulgar cualquier información que pudiera facilitar o coadyuvar a la vulneración del secreto de las telecomunicaciones y la protección de datos, aún después de extinguido el vínculo laboral o contractual; así como las consecuencias civiles y penales derivadas de su incumplimiento.
En la celebración de sus acuerdos con terceros, los Operadores de Telecomunicaciones les exigirán a su vez, la suscripción de acuerdos de confidencialidad con el personal que éstos tuvieran a su cargo, que tenga acceso a la planta interna del citado Operador; debiendo verificar dicho cumplimiento.
10.6.2 Adoptar medidas de seguridad en la planta interna y demás ambientes, desde donde se pueda acceder a esta información.
10.7 Los Operadores de Telecomunicaciones establecerán las medidas pertinentes para proteger la información personal contenida en los contratos de abonado y en los contratos celebrados para la adquisición, arrendamiento u otra modalidad de provisión de equipos terminales. Para dicho efecto, se deberá:
10.7.1 Celebrar acuerdos de confidencialidad con su personal y con terceros que participen de la gestión comercial y/u operativa del servicio, y que tenga acceso a la planta interna, previendo en dichos acuerdos, la obligación de no divulgar cualquier información que pudiera facilitar o coadyuvar a la vulneración del secreto de las telecomunicaciones y la protección de datos, aún después de extinguido el vínculo laboral o contractual; así como las consecuencias civiles y penales derivadas de su incumplimiento.
En la celebración de sus acuerdos con terceros, los Operadores de Telecomunicaciones les exigirán a su vez, la suscripción de acuerdos de confidencialidad con el personal que éstos tuvieran a su cargo, que tenga acceso a la planta interna del citado Operador; debiendo verificar dicho cumplimiento.
10.7.2 Adoptar medidas de seguridad en la planta interna, y demás ambientes, desde donde se pueda acceder a esta información
10.8 Los Operadores de Telecomunicaciones, realizarán monitoreos, a fin de verificar el cumplimiento de las medidas adoptadas para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales.
* Tratándose de la Planta Interna, los monitoreos deberán realizarse de acuerdo a las disposiciones que emita la Dirección General de Control.
* En el caso de la Planta Externa, los monitoreos deberán realizarse sobre muestras, observando las disposiciones complementarias que emita la Dirección General de Control.
Los Operadores de Telecomunicaciones que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable, o servicios convergentes de telefonía fija y/o acceso a Internet, realizarán monitoreos en forma semestral.
Los registros de los citados monitoreos, tanto de planta interna como externa, estarán a disposición de los inspectores autorizados de la Dirección General de Control.
Estos monitoreos se realizarán de manera independiente a las acciones de control realizadas periódicamente por los Operadores de Telecomunicaciones.
10.9 Los Operadores de Telecomunicaciones deberán identificar sus ambientes internos y, de ser el caso, externos (oficinas, edificios, perímetros) que requieran protección o seguridad a efectos de salvaguardar el secreto de las telecomunicaciones y la protección de datos. Dichos ambientes deberán tener solidez física y no podrán contar con zonas que puedan derribarse fácilmente y facilitar su acceso.
10.10 Los Operadores de Telecomunicaciones deberán emplear tecnología que les permita contar con seguridad de red a través de mecanismos tales como autenticación, control de conexión de red y cifrado en los sistemas principales, bajo su control. Se exceptúa de esta obligación a los Operadores de Telecomunicaciones que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable, o servicios convergentes de telefonía fija y/o acceso a Internet.
10.11 Los Operadores de Telecomunicaciones, tienen la obligación de implementar mejoras respecto a la seguridad física, infraestructura de red, seguridad de información y sistemas de sus redes, según corresponda al servicio que presta.
10.12. En caso el Operador de Telecomunicaciones identifique indicios o registre antecedentes de vulneración a la seguridad implementada, deberá adoptar medidas de seguridad adicionales que permitan minimizar dicho riesgo o amenaza.
10.13 Los Operadores de Telecomunicaciones implementarán las medidas y procedimientos destinados a salvaguardar el secreto de las telecomunicaciones en interés de la seguridad nacional que fueran dispuestas por el Ministerio o la autoridad competente.
11. DEL INFORME DE LOS OPERADORES DE TELECOMUNICACIONES
11.1 Los Operadores de Telecomunicaciones informarán en forma anual al Ministerio, las medidas adoptadas para salvaguardar el secreto de las telecomunicaciones y la protección de datos. Dicho informe será presentado a más tardar el 15 de febrero de cada año.
11.2 El informe a que se refiere el numeral precedente deberá contener como mínimo, la siguiente información relativa al año anterior y las mejoras que se prevén implementar durante el año en curso, vinculadas a las obligaciones establecidas en el numeral 10:
11.2.1 Relación y contenido de las medidas implementadas para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales de los abonados y usuarios de los servicios que preste. En particular, se deberá describir las medidas de seguridad o protección que son inherentes e implícitas de la tecnología implementada en su red y, en su caso, las medidas de seguridad de extremo a extremo implementadas, bajo su control.
11.2.2 Relación y contenido de las medidas implementadas para mantener la confidencialidad de la información personal que le hubiere sido proporcionada por sus abonados con quiénes mantienen o han tenido relación comercial.
11.2.3 Relación y contenido de las medidas internas implementadas para salvaguardar la seguridad de la red pública de telecomunicaciones, tanto en planta interna como externa.
Tratándose de la infraestructura de planta externa, se incluirá las medidas implementadas respecto de armarios o cajas terminales instaladas en inmuebles de particulares o áreas de dominio público.
11.2.4 El personal responsable a cargo de la implementación y supervisión de las medidas y procedimientos adoptados para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales.
11.2.5 El personal, propio o de terceros, que por la naturaleza de sus funciones, tiene acceso a los ambientes en los que se encuentran instalados los sistemas de conmutación, sistemas de transmisión u otros, incluidos los de planta externa, que podrían ser empleados para vulnerar el secreto de las telecomunicaciones y/o la protección de datos personales de los abonados y/o usuarios. Ello, incluye a las personas naturales y/o jurídicas que, en ejecución de una relación contractual, prestan servicios al Operador de Telecomunicaciones.
11.2.6 Relación de las medidas adoptadas en coordinación con el Ministerio o con la entidad competente, para salvaguardar el secreto de las telecomunicaciones en interés de la seguridad nacional.
11.3 Las modificaciones que se produzcan en relación a la información contenida en el informe anual presentado, deberán ser comunicadas a la Dirección General de Control de manera semestral. El cómputo de este plazo, se realizará a partir de la fecha de presentación del referido informe.
Tratándose de la información a que se refiere el numeral 11.2.4, las modificaciones serán comunicadas al Ministerio, al finalizar la primera o segunda quincena de cada mes, según el período en el que se produzca el cambio. En el caso de la información a que se refiere el numeral 11.2.5, la citada comunicación se realizará, a más tardar, el último día hábil del mes, en el que se genere dicho cambio.
11.4 El Ministerio podrá solicitar a los Operadores de Telecomunicaciones, información adicional a la que remiten en forma anual.
12. DE LAS INSPECCIONES
12.1 Las inspecciones a los Operadores de Telecomunicaciones serán realizadas por la Dirección General de Control, a través de sus inspectores debidamente acreditados para dicho fin. Para el inicio de la acción de inspección, los inspectores entregarán al Operador de Telecomunicaciones un oficio expedido en la fecha por el Director General de Control, en el cual se indicará la materia de la inspección, así como el nombre y otros datos de identificación de los inspectores autorizados.
Las inspecciones serán realizadas en cualquier día y hora, dentro del horario laborable del Operador de Telecomunicaciones, sin necesidad que para ello medie una denuncia de violación al secreto y la inviolabilidad de las telecomunicaciones o de inobservancia a la norma que cautela la protección de los datos personales. Sin perjuicio de ello, en casos excepcionales, la Dirección General de Control podrá realizar inspecciones, incluso fuera del horario establecido.
12.2 El personal acreditado de la Dirección General de Control efectuará la inspección, verificando el cumplimiento de las obligaciones que se detallan en los numerales 10 y 11 de la presente Norma, según corresponda.
12.3 En las inspecciones a la Planta Externa, se podrá verificar el interior de los elementos de red que se encuentren protegidos por las medidas de seguridad de acceso implementadas por el Operador de Telecomunicaciones. Para tal efecto, dicho operador deberá asegurar la presencia del personal que posea los dispositivos o información que permitan el acceso a los referidos elementos.
12.4 Pautas para la inspección:
- El Operador de Telecomunicaciones deberá instruir al personal aludido en los numerales 11.2.4, 11.2.5 y 11.3, sobre el contenido y alcances del presente procedimiento, disponiendo el otorgamiento de las facilidades de inspección e información a los inspectores designados por el Ministerio.
- Durante la inspección, deberán estar presentes el o los responsables designados por el Operador de Telecomunicaciones. Para estos efectos, se entenderá que el responsable designado es la persona cuyo nombre y funciones han sido comunicados por el Operador de Telecomunicaciones al Ministerio, de conformidad con lo dispuesto en los numerales 11.2.4, 11.2.5 y 11.3.
- Como resultado de la inspección se levantará un acta que será redactada por el inspector acreditado del Ministerio, en la que se consignarán las medidas y procedimientos verificados. Asimismo, el Operador de Telecomunicaciones podrá consignar sus observaciones de ser el caso. El acta deberá ser suscrita por los responsables a que se refiere el párrafo precedente; en ausencia de éstos, la suscripción se entenderá con quien se encuentre al momento de la inspección.
12.5 El personal de la Dirección General de Control podrá intervenir a cualquier persona que se encuentre realizando actividades en la planta externa de los Operadores de Telecomunicaciones. Para tal efecto, solicitará su identificación y corroborará de manera inmediata sus datos, contrastándolos con la información proporcionada por los Operadores de Telecomunicaciones en aplicación de los numerales 11.2.4, 11.2.5 y 11.3, para cuyo efecto podrá requerir del apoyo de la fuerza pública.
12.6 Si en el marco de una inspección el personal de la Dirección General de Control, advirtiera la presunta comisión de una infracción referida a la vulneración al secreto e inviolabilidad de las telecomunicaciones o la protección de datos personales, independientemente de las acciones administrativas a que hubiera lugar, comunicará dichos hechos al Ministerio Público, para la adopción de las acciones correspondientes de acuerdo a su competencia.
13. DE LAS INFRACCIONES
El incumplimiento de las obligaciones establecidas en los numerales 10, 11.2, 11.3, 11.4 y 12 de la presente norma se sujetan al régimen de infracciones y sanciones establecido en la Ley de Telecomunicaciones y en el Reglamento de la Ley.
No hay comentarios:
Publicar un comentario