¿ Cómo se responsabiliza en un espacio difuso ?
¿ Cómo se responsabiliza a un anónimo ?

Por: Regina Angarita
Abogada. Universidad de los Andes
Especialista en DD.HH y D.I.H

La atribución de responsabilidad en las ciberoperaciones es y ha sido un tema profundo de analizar, no sólo por las delgadas líneas existentes en la forma de interpretar ciertas nociones,

sino por darse en un contexto en el que ni siquiera es del todo clara la naturaleza jurídica del

ciberespacio y en el que su caracterización como espacio difuso pareciera automáticamente estar asociándose al anonimato de la fuente de la ciberoperación y, por consiguiente, la complejidad en la atribución de dicha responsabilidad aumenta. Empero, cabe anotar que su caracterización como espacio difuso no implica necesariamente el anonimato de la fuente de la ciberoperación , pues lo difuso no implica la anonimización en la atribución de responsabilidad, mientras que lo anónimo si estaría implicando, en el fondo, una difusión/distorsión a la hora de atribuir responsabilidad en el contexto de una ciberoperación. En este sentido,  como lo señala Jeimy Cano “el tema de la atribuciòn tomarà un valor fundamental ahora y en el futuro, como una necesidad bàsica de saber quièn es mi adversario, para desde allì comenzar a comprender y ajustar las estrategias y acciones de ciberdefensa necesarias para reconocer y salvaguardar la soberanìa del paìs en el escenario cibernètico.”

Así, es posible sostener que hay tres cosas puntuales que hacen compleja dicha atribución : (i) El anonimato de la fuente, (ii) la procedencia de la ciberoperación y (iii) la velocidad de propagación de la ciberoperación. Estos tres puntos estarían generando otros desafíos a la hora de analizar el problema de la atribución desde: (a) Un punto de vista probatorio, (b) la presunción de inocencia, (c) el rastreo de los aparatos desde donde se realiza la ciberoperación así como la dificultad en su acceso , (d) la existencia de computadores zombi así como la existencia de los grupos de piratería conocidos como las APT ( Amenazas Persistentes Avanzadas), los ataques de inyección SQL, los ataques a secuencias de comandos, la saturación de tráfico en sitios web, el spyware, el phishing, entre otros , (e) la debida diligencia al realizar una ciberoperación así como (f) el punto de vista de la soberanía y (g) la calidad de los actores que intervienen en la ciberoperación.

Teniendo en cuenta lo anterior, la forma que se propondría para resolver este desafío está enfocada en 5 puntos muy concretos. (1) La implementación de lo que he querido denominar el modelo COPRESER. El modelo COPRESER que estoy proponiendo significa: Control, predicción, seguridad y repelencia. Es decir , un modelo de control respecto de la forma de ejecutarse la ciberoperación , predicción cercana respecto de los resultados y consecuencias atendiendo al principio de precaución en las ciberoperaciones, seguridad frente a la protección debida y diligencia en las medidas , y repelencia digital frente a los ataques identificados por algoritmos programados focalizados en ciberoperaciones y que no permitan su propagación. De esta manera, la huella digital detrás de la ciberoperación pueda ser más fácilmente identificada , rastreada y monitoreada para la identificación certera del autor material del ataque.

(2) La generación y creación de algoritmos automatizados que sean capaces de identificar una

ciberoperación particular de tal forma que la puedan repeler desde la raíz ( los llamaría algoritmos “REP” ( de repelente). Para el diseño de los algoritmos REP que estoy proponiendo en el presente texto habría que tener en cuenta cuestiones más técnicas desde el punto de vista secuencial, funcional, de difusión, así como su entrada, procesamiento y salida de tal manera que la identificación del ciberataque desde la raíz pueda realizarse de manera certera y facilitar la detección del autor material de la ciberoperación Así, al ser algoritmos que se programarían para un fin particular que es la inmediata detección y subsiguiente repelencia de la ciberoperación tendrían que estar orientados a tener una capacidad rápida de respuesta para prevenir la ciberoperación desde el principio, así como un lenguaje operativo que permita la detección del ataque desde el inicio sin lugar a fugas de ninguna naturaleza.

Sería un modelo de cibervigilancia más agudo que permitiría un rastreo más preciso frente a la fuente de la ciberoperación de tal manera que las formas de camuflaje digital que existen para escapar a la atribución no puedan fugarse a través de los vacíos existentes frente a la forma de analizar la huella digital o la sombra digital. Por ejemplo, se permitiría un rastreo más certero de los IP de las fuentes , o de los algoritmos desde donde proviene la ciberoperación de manera que los esfuerzos realizados en cuanto a la identificación del responsable no queden estériles sino que, por el contrario, sea una forma de facilitar esta tarea. Es decir, el modelo de cibervigilancia sería un tipo de modelo predictivo analítico que combine tanto procesos de control y monitoreo como procesos de generación de algoritmos repelentes e identificadores de ciberoperaciones

particulares.

(3) La implementación de un tipo de umbral de seguridad en la ciberoperación de tal forma que involucre tanto a los que saben que han sido atacados como a los que han sido atacados y no lo saben , de tal manera que la capacidad de respuesta frente a la ciberoperación no deje agujeros por los que los atacantes puedan escapar. Cabe anotar que este umbral de seguridad tendría que ser matizado por el hecho de que el ciberespacio es un medio de contornos difusos, de manera que la indefinición de su esencia no tendría porque ser óbice para justificar la falta de seguridad de la ciberoperación. En este sentido, e independientemente de esto, hay que aclarar que el umbral de seguridad que se plantea en este espacio es , sobre todo, respecto de la fuente y la infraestructura utilizadas para la ciberoperación, así como de los potenciales efectos de la misma . De esta forma, se trataría de un umbral de seguridad que busque disminuir considerablemente el nivel de vulnerabilidad en el que se encuentran las partes.

(4) El desarrollo de lenguajes alternativos que permitan una canalización particular en cuanto a ciberdiplomacia . A partir de este desarrollo de lenguajes alternativos se estaría gestando una base que permita un consenso frente a la forma de interpretación de las distintas problemáticas y variables que presenta un tema como este. Consenso este que permitiría un mejor entendimiento frente a las causas y consecuencias de llevar una ciberoperación a cierto término, sin lugar a términos ambiguos que generen vacíos o trabas en la práctica a la hora de atribuir responsabilidad.

(5) La generación de un paquete unificado de redes digitales de comunicación de tal forma que no haya ambigüedad entre las redes públicas y privadas al momento de establecer la atribución ni que la dualidad de las redes permita mayores confusiones o dificultades a la hora de analizar la atribución. Así, es posible darse cuenta de que la profundidad de este desafío va más allá de la generación de algoritmos o la creación de más normas que lo regulen ( aparte, por ejemplo, de los artículos sobre la responsabilidad del Estado por hechos internacionalmente ilícitos del que parte el Manual de Tallin 2.0 , instrumento no jurídicamente vinculante pero con fuerza doctrinal ). Sin embargo, lo propuesto en el presente texto se plantea como una posible alternativa en la forma de abordarlo dada su profundidad y variables existentes.

Teniendo en cuenta las consideraciones precedentes cabe preguntarse de qué forma el problema de la atribución de responsabilidad en las ciberoperaciones termina o no supeditándose (i) a la aceptación tácita de las fronteras del ciberespacio, (ii) cuáles serían estas fronteras, (iii) si el hecho de que el ciberespacio sea sujeto a un control soberano implica necesariamente la existencia de fronteras , (iv) si para la definición de unas fronteras en el ciberespacio debe hablarse necesariamente de la existencia de una infraestructura física , (v) si el hecho de que el ciberespacio no sea considerado propiamente un recurso físico implica entonces una negación respecto de su naturaleza jurídica y (vi) si la calidad de “difuso” del ciberespacio implica entonces la inexistencia de sus fronteras.

A partir de estos interrogantes es posible darse cuenta de que la atribución de responsabilidad en las ciberoperaciones es una problemática con unos matices muy profundos que van más allá de la tipología de amenazas en el ámbito cibernético, del tipo de actores y su modus operandi. Esto, pues al hablar de ciberespacio se está haciendo referencia a un espacio que realmente es muy difuso y en el que la sola volatilidad de su caracterización como tal lleva , en muchas ocasiones, a asumirlo o a asociarlo con la inexistencia de fronteras en unas situaciones y, en otras, a la negación de las mismas cuando se da por sentada su existencia. Entonces ¿ Cómo se responsabiliza en un espacio difuso? ¿ Cómo se responsabiliza a un anónimo ?

____________________________________

REFERENCIAS BIBLIOGRAFICAS

CANO, J. (2022) La atribución de los ciberataques. Un desafío en tres perspectivas: Razonamiento , datos y política. Disponible en https://www.linkedin.com/pulse/la-atribuci%C3%B3n-de-los-ciberataques-un-desaf%C3%ADo-en-tres-cano-ph-d-cfe/

COMITÈ JURÍDICO INTERAMERICANO. Derecho internacional y operaciones cibernéticas del Estado. OEA . 1-37. Disponible en http://www.oas.org/es/sla/cji/docs/Derecho_Internacional_y_Operaciones_Cibern%C3%A9ticas_del_Estado_publicacion.pdf

DIMITROVSKA, M. (2020). The Concept of International Responsibility of State in the International Public Law System. Journal of Liberty and International Affairs, 1(2).

EGLOFF, F. (2020) Public attribution of cyber instrusions. Journal of cibersecurity. Disponible en https://doi.org/10.1093/cybsec/tyaa0

EICHENSEHR K. (2020). The Lawy and Politics of Cyberattack Attribution. U.C.L.A. Law Review, 67, 520-598.

JIMENEZ & MERAYO. (2017) Los ciberataques en el marco de la responsabilidad internacional de los Estados en tiempos de paz. 1-169 Disponible en https://www.corteidh.or.cr/tablas/33456.pdf

LÓPEZ, R. (2020) La atribución de responsabilidad a un Estado por operaciones llevadas a cabo por actores no estatales en el ciberespacio. Hacia una interpretación extensiva del umbral de control efectivo. 1-62 . Disponible en https://repositori.upf.edu/bitstream/handle/10230/45206/TFG_DRET_L%C3%B3pez_Hern%C3%A1ndez_Ricardo.pdf?sequence=1&isAllowed=y

PAYNE, C. & LORRAINE, F. (2017). Addressing Obstacle to Cyber-Attribution: A Model Based on State Response to Cyber-Attack. The George Washington International Lawy Review, 49. Consultado el 1 de abril de 2021 en: https://www.euspace.eu/images/2018/document/Articles/Addresing-obstacles-to-cyber-attribution-amodel-based-on-state-response-to-cyber-attack.pdf

RÍOS, J. (2021)  La aplicaciòn del Derecho Internacional al ciberespacio en las ciberoperaciones en realizadas por actores no estatales desde el territorio de un Estado. La responsabilidad internacional de los Estados y el principio de debida diligencia. 1-60 Disponible en https://repositorio.comillas.edu/xmlui/bitstream/handle/11531/47809/TFG-Rios%20Garcia%2C%20Juan.pdf?sequence=1

SCHMITT, M. (2017)International Law in Cyberspace: The Koh Speech and Tallinn Manual Juxtaposed. Harvard International Law Journal, 54 , 13-36.

TALMON, S. (2009) The responsability of outside powers for acts of secessionist entities. International and comparative law quaterly. 493-517 Disponible en doi.org/10.1017/S0020589309001171

YANNAKOGEORGOS P. (2016). Strategies for resolving the cyber attribution challenge. Alabama, USA: Air University Press. Disponible en https://www.airuniversity.af.edu/Portals/10/AUPress/Papers/cpp_0001_yannakogeorgos_cyber_Attribution_challenge.PDF

La Superintendencia de Industria y Comercio es la autoridad de protección de datos en la República de Colombia[1]. Así, por medio de la delegatura de datos personales está encargada de ejercer la vigilancia para garantizar el adecuado tratamiento de los datos personales de todos los colombianos[2]. A su vez, el Decreto 1377 de 27 de junio de 2013 – incorporado en el Decreto 1074 de 2015 – establece unas obligaciones para aquellos responsables del tratamiento de datos personales. De esta forma, “Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 (…)[3]“.

Aquel deber del responsable, se enmarca bajo lo que se ha denominado como el principio de “accountabillity” o Responsabilidad Demostrada. En efecto, el principio ha cobrado gran relevancia en el tratamiento de datos personales. Esto, toda vez que su adecuada implementación no sólo beneficia la protección de los derechos de titulares de los datos personales, sino que beneficia muy positivamente a las organizaciones porque les permitirá́ maximizar el uso inteligente de la información, aumentar su nivel de competitividad y consolidar su buena reputación empresarial o institucional[4].

Desde hace unos años, la autoridad de datos ha venido implementando el principio de Responsabilidad Demostrada, como un criterio de disminución de la sanción impuesta a las compañías infractoras de los principios y deberes que impone la Ley 1581 de 2012. 

Como ejemplo, se trae un extracto de la Resolución Nª 27708 de 2017, en la que se deja en evidencia la disminución de treinta (30) salarios mínimos legales mensuales vigentes a la sanción, por adelantar un proceso “tendiente a cumplir las obligaciones” legales (p. 16). Ahora bien, curiosamente en la misma resolución sucede lo siguiente:

1. La autoridad de datos encuentra pertinente las medidas que se están tomando, es decir, siguen en proceso, por parte del responsable del tratamiento.
2. Pero, a punto seguido, es la misma autoridad quien deja en evidencia el camino que le falta al responsable del tratamiento para lograr la implementación de medidas efectivas e idóneas para cumplir con sus obligaciones legales.

Por lo que es pertinente preguntarnos, ¿en realidad existe mérito para que con base en el principio de responsabilidad demostrada se disminuya la sanción impuesta al responsable?

Antes de una respuesta, procedamos analizar la Resolución Nª 44026 de 2018. Nuevamente, deja clara la autoridad de datos el deber que tienen los responsables por generar políticas efectivas e idóneas para el cumplimiento de sus deberes legales. Y, a su vez, como deberán ser tenidas en cuenta como un criterio para evaluar la imposición de sanciones.

Con esto presente, afirma la autoridad que el responsable aportó una documentación que demuestra la adopción de algunos mecanismos tendientes a la protección de los datos personales. Sin embargo, en el párrafo siguiente afirma que el sistema implementado “no fue efectivo para evitar la vulneración del derecho de habeas data” del denunciante.

Curiosamente, la autoridad procede a la aplicación del principio de Responsabilidad Demostrada generando una disminución en la sanción de la investigada.  

De estas dos resoluciones, solo queda por afirmar que no existió una adecuada implementación del principio en cuestión. Esto, toda vez que no puede ser sujeto de una reducción de sanción aquel responsable que realizó esfuerzos, pero no logró la implementación de verdaderos mecanismos (efectivos e idóneos) para garantizar la protección del derecho de habeas data.

Afortunadamente, esta situación parece estar cambiando.

En la Resolución Nº 83882 de 2018, la autoridad de datos resuelve un recurso de apelación presentado por la compañía LINIO COLOMBIA S.A.S. La accionante fue sujeta de sanción por un valor de equivalente a cuatrocientos cincuenta (450) salarios mínimos legales mensuales vigentes, por el incumplimiento de los deberes establecidos en el literal a) del artículo 17 de la Ley 1581 de 2012[5].

En la mismas, la autoridad de datos desarrolla de manera detallada aquel entendimiento que debe dársele al principio. Entre otras cosas, le recuerda a los Responsables[6] y Encargados[7] del tratamiento la obligación de implementar medidas apropiadas, efectivas y verificables que permitan evidenciar la observancia de las normas. Generando un escenario de menos retórica y más acción en el cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales.

Para evitar cualquier error de interpretación la autoridad deja claro que el principio “va mucho más allá de la mera expedición de documentos o redacción de políticas porque exige que se demuestre el cumplimiento real y efectivo en la práctica cuando realizan sus funciones”.

De esta manera, es claro que las organizaciones deben implementar en su estructura empresarial una “cultura de datos” con el objetivo de acatar las normas que inciden en su actividad y demostrar su compromiso con la legalidad.

Claro está, que la debida administración de datos implica el respeto y garantía de los derechos de los titulares de los datos. Por eso, la autoridad de datos pone de presente no sólo el alto nivel de responsabilidad jurídica y económica en cabeza de los administradores, pero, además, el enorme profesionalismo y diligencia que debe rodear su gestión en el tratamiento de datos personales.

En suma, queda claro que los Responsables y Encargados del tratamiento de datos en Colombia tienen la obligación de demostrar la implementación de medidas efectivas e idóneas para garantizar el respeto de los derechos de los titulares de datos. Que, además, estas medidas son sujetas de revisión y evaluación por parte de la autoridad nacional de protección de datos. Y, si bien ha existido una inconsistencia en la implementación del principio como atenuante en la imposición de sanciones, parece existir un cambio en la autoridad frente a dicha situación.

Bibliografía.

[1] Ley 1581 de 2012. Artículo 19.

[2] Ley 1581 de 2012. Artículo 21 literal a.

[3] Decreto 1074 de 2015. Articulo 2.2.2.25.6.1.

[4] Remolina Angarita, Nelson. Álvarez Zuluaga, Luisa Fernanda. (2018). Guía GECTI para la implementación del principio de responsabilidad demostrada –accountability– en las transferencias internacionales de datos personales. Recomendaciones para los países latinoamericanos. Universidad de los Andes (Bogotá, Colombia). Facultad de Derecho. GECTI, 1-58.

[5] Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

[6] Persona natural o jurídica, pública o privada, que por sí misma o en asociación con otros, decida sobre la base de datos y/o el tratamiento de los datos. 

[7] Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Agradecemos de antemano su comunicación y que para el tema objeto de esta respuesta hayan tenido en cuenta el aporte del grupo GECTI de la Facultad de Derecho de la Universidad de los Andes, sin duda nuestro grupo representa un importante aporte multidisciplinario desde la diversa formación académica como la experiencia local e internacional de sus miembros.

El grupo GECTI siempre se ha caracterizado por brindar un aporte académico independiente sobre diferentes aspectos relativos a las tecnologías de la información y las comunicaciones y del ecosistema digital, teniendo en cuenta el contexto actual de la economía digital en la región y particularmente en Colombia, así como la realidad socio tecnológica contemporánea. Reconocemos la importancia del tema objeto de su comunicación por su rol estratégico y multisectorial, tanto desde la identificación de su marco normativo, como de la efectiva administración que del dominio .CO corresponde realizar, atendiendo a los diferentes intereses involucrados como de los elementos técnicos y jurídicos que le son connaturales.

En consecuencia, como grupo de estudios, respetuosamente consideramos necesario comprender algunos aspectos sobre los que nos permitimos presentar los comentarios e inquietudes que siguen a continuación relacionados con la transferencia del dominio .CO al Ministerio de Tecnologías de la Información y las Comunicaciones como agente Administrador y punto de contacto ante el ICANN y IANA.

1. De la administración del uso del nombre del dominio de Internet bajo el código del país correspondiente a Colombia -.co-.

El punto de partida de algunos de los asuntos que más adelante desarrollamos tiene que ver con la definición y particularmente con la forma y alcance de la administración del dominio .CO. En efecto, entendemos que conforme lo previsto en la Ley 1978 de 2019 es una función del Ministerio de Tecnologías de la Información y las Comunicaciones; fijar las políticas de administración, mantenimiento y desarrollo, así como, administrar el uso del nombre de dominio de Internet bajo el código del país correspondiente a Colombia -.CO-.

Conforme a lo anterior el Ministerio de Tecnologías de la Información y las Comunicaciones tiene un espectro amplio de facultades relacionadas con el dominio .CO, que pasan por la definición de políticas públicas como la ejecución propia de las acciones y estrategias para su administración. En ese sentido no parece haber cuestionamientos sobre el marco legal de la administración del dominio .CO que fuera establecido con la ley 1978 de 2019.

Ahora bien, también encontramos que esas funciones y facultades de la administración del dominio, deben pasar por su ejercicio efectivo con los diferentes actores involucrados, dentro de los que vemos como fundamental a la academia representada por instituciones universitarias como la nuestra. En consecuencia, consideramos que un elemento de base dentro de ese ejercicio de administración pasa por integrar una administración multi stakeholders, de tal manera que se garantice la participación efectiva de todos los interesados en este elemento estratégico para el progreso y consolidación de Colombia como un país digital desde lo público y lo privado.

A partir de estas premisas, procedemos a comentar algunos de los componentes esenciales de dicho esquema multi stakeholders.

• Gobernanza de Internet

Organizaciones como ICANN y IANA, así como diversos actores de la sociedad civil alrededor del mundo han abogado por un ecosistema de Internet con un enfoque multipartes de la gobernanza de Internet en contraposición a un enfoque multilateral. Lo anterior, toda vez que el multipartidismo generalmente significa que una multitud de partes interesadas -no solo los gobiernos- puede participar y tener un impacto en los procesos y discusiones sobre gobernanza de Internet y el desarrollo de políticas de este recurso. En este sentido, el término ‘multipartes’ puede distinguirse del término ‘multilateral’. Toda vez que en los foros multilaterales, solo los gobiernos tienen poder de decisión.

El multilateralismo es el paradigma dominante que siguen organizaciones intergubernamentales como las Naciones Unidas (ONU) y sus organismos especializados, por ejemplo, la Unión Internacional de Telecomunicaciones (UIT), la Organización Mundial de la Propiedad Intelectual (OMPI) y la Organización Mundial del Comercio (OMC). Estas organizaciones son creadas mediante tratados internacionales entre países y muchas veces apoyan la elaboración de nuevos tratados. Mientras que las partes interesadas no gubernamentales pueden tener una mayor o menor participación, en estas organizaciones, la última palabra está en manos de las naciones soberanas que constituyen su membresía.

Los orígenes del enfoque multipartito hacia la gobernanza de Internet -más inclusivo que el enfoque multilateral, que es más exclusivo- se encuentran en la Cumbre Mundial sobre la Sociedad de la Información (CMSI). La idea de que muchos grupos de partes interesadas debían participar en la gobernanza de Internet, junto con la necesidad práctica de contar con el sector privado y la comunidad técnica para poder mantener el funcionamiento de Internet, y de que la sociedad civil asegurara que el interés público fuera tenido en cuenta al hacerlo, encontró apoyo en varios Estados que participaron en las negociaciones de la Agenda de Túnez en 2005, así como en la Reunión Global de Múltiples Partes Interesadas sobre el Futuro de la Gobernanza de Internet, también conocida como NETmundial realizada en el 2014.

Del mismo modo, las instituciones multipartes tienen jerarquías menos rígidas -si es que tienen alguna jerarquía- y sus procesos se caracterizan por su apertura, transparencia e inclusión. Idealmente, este enfoque permite que diferentes actores de diversa naturaleza participen en pie de igualdad. Así, la administración del recurso de Internet únicamente con control gubernamental no es la línea de base. El enfoque multipartes ha sido adoptado por el IETF, ICANN y el FGI, y es el enfoque preferido por muchos otros actores de la gobernanza de Internet, incluidos algunos estados.

El FGI ha llevado a la creación de varios FGI nacionales y regionales o iniciativas similares relacionadas con la gobernanza de Internet, lo que permite que se sume un conjunto de actores mucho más amplio, habitualmente en un contexto nacional, para revisar y discutir cuestiones de gobernanza de Internet.

Así, el hecho de contar con un tercero independiente del gobierno para la administración del dominio .CO es acorde con el modelo multipartes. Con base en lo anterior, es importante tener en cuenta lo siguiente:

1. ¿Cómo ha considerado el MinTIC que garantizará la independencia en la administración del dominio .CO si podría ser al mismo tiempo el agente administrador, pero también su regulador y supervisor?

• ¿A través de que mecanismos prácticos y jurídicos el MinTIC garantizaría la gobernanza de internet en el momento que ejerza la administración del dominio sea de forma directa o a través de terceros?

• ¿Cómo el MinTIC podría garantizar el enfoque multipartes cuando ejerza la administración del dominio .CO?

• Administrador del dominio ccTLD

Existen diferentes modalidades de administración de los ccTLD regionales, y hay muchas de ellas que no tienen carácter comercial. Un tercio de los registros de ccTLD son empresas privadas, otros son administrados por gobiernos o universidades y existen otros modelos híbridos en forma de cooperación conformado por diversos sectores.   

Ninguno de los modelos es perfecto o infalible, por esta razón se deben contar con protocolos y contratos de forma transparente que incluyan temas como interoperabilidad, prácticas de bloqueos, prácticas DNS Hijackings, protocolos de registro y protocolos de datos. Es importante que independiente del modelo acogido el Administrador del dominio .CO cuente con un control y vigilancia transversal por entidades tanto gubernamentales como de la sociedad civil y así mantener la independencia. Con base en lo anterior, es importante preguntar:

1. ¿Cómo garantizará el MinTIic la imparcialidad en la administración del dominio .co?
2. ¿Cuál sería la política y los criterios sobre las asignaciones del dominio, teniendo en cuenta que hasta el momento se manejado un modelo abierto?

Finalmente, para nuestro grupo de estudios es necesario tener precisión sobre los temas analizados y las preguntas formuladas en este corto escrito. Para el GECTI es de gran importancia que la gobernanza de Internet en el país mantega el sistema multipartes y procure por una interconexión entre todos los interesados. Para el efecto, si ven como necesario que realicemos una reunión virtual entre el Ministerio y nuestro grupo, con gusto lo podemos gestionar.

Este documento electrónico “cumple, en todas las situaciones y ante todos los actores, los mismos propósitos que una factura en papel, tanto para las emisiones y receptores, como para terceros interesados; dicho de otra forma, es un documento que registra operaciones comerciales de una entidad en forma electrónica, cumpliendo los principios de autenticidad, integridad y legibilidad en todas las situaciones que aplique y ante todos los actores del proceso, en los ámbitos comercial, civil, financiero, logístico y, ciertamente, tributario”, acorde con la definición planteada por el Centro Interamericano de Administraciones Tributarias – CIAT y el Banco Interamericano de Desarrollo – BID en su libro, Factura Electrónica en América Latina.

Un mundo de oportunidades

Para todo tipo de empresas, independientemente de la clasificación a la cual pertenezcan, la implementación de la Factura Electrónica abre todo un mundo de posibilidades, no solo en la optimización de sus operaciones productivas basadas en el “core” de sus negocios, sino en alternativas diferentes de repensar procesos de interacción con clientes y proveedores.

A nivel tecnológico, convertirá la gestión documental en electrónica, los empresarios dejarán de hacer procesos actualmente físicos, basados en papel, para volverlos electrónicos, donde tendrán mejor trazabilidad y control de todas sus operaciones. Esto también transformará la manera de gestionar, utilizar y controlar la información, facilitando el relacionamiento con sus audiencias de interés y el cumplimiento de las obligaciones tributarias.

A pesar de que la Factura Electrónica fue creada legalmente en Colombia desde 1995 (Ley 223 de 1995), solo hasta 2007 fue definido un primer modelo (Decreto 1929 de 2007), modificado posteriormente en 2014 y normas subsiguientes (Decreto 2242 de 2015), con elementos técnicos y formales que la hicieron más interoperable. La última reforma tributaria (Ley 1819 de 2016), estableció algunos lineamientos a seguir en los próximos años, y le dio mandato al ejecutivo, para reglamentar las condiciones para su implementación.

1 de enero de 2019: fecha clave

De lo cual se desprende que el verdadero despegue de su adopción y masificación se ha dado en los años recientes.

De acuerdo con cifras de la DIAN, desde marzo de 2017 a la fecha, la entidad registra cerca de 14.000 empresas facturando electrónicamente, las cuales han emitido más de 15 millones de facturas de alrededor de 2´700 mil adquirientes, cuyo valor supera los $ 112 billones de pesos.

De los grupos descritos como obligados a facturar electrónicamente por la autoridad tributaria, se encuentran: Alrededor de 1.300 que lo venían haciendo con fundamento en el Decreto 1929 de 2007, y luego adoptaron el nuevo modelo (Resolución 072 de 2017 de la DIAN); en febrero del presente año se incluyeron los grandes contribuyentes (Resolución 010 de 2018 de la DIAN), más de 3.533 que corresponden a las 2/3 partes de la facturación del IVA del país[1].

Aun así, existe un universo de alrededor de 400mil contribuyentes responsables de IVA e Impoconsumo que deben empezar a facturar electrónicamente a partir del próximo 1 de enero de 2019.

Por tanto, es fundamental que las empresas, en especial la micro, pequeñas y medianas, agilicen sus esfuerzos para implementar la facturación electrónica, y sobre todo, aprovechen esta oportunidad para cimentar o fortalecer sus capacidades tecnológicas, mejorando así su estructura productiva y creando ventajas competitivas.

Las empresas de la economía digital

Como lo evidenció recientemente Raúl Katz, director de Estudios de Estrategia Corporativa en el Columbia Institute for Tele-information de la Universidad de Columbia (Nueva York), “Colombia ha hecho un buen trabajo en digitalización de su economía en los últimos 15 años, tanto que ya se parece más a un país de la Ocde que a uno latinoamericano”, y en ese orden de ideas, las empresas están llamadas a participar activamente en el robustecimiento de la economía digital.

Operar procesos de transformación digital, mencionó el experto mundial, puede prevenir riesgos a las compañías “por un lado, el riesgo de que los competidores se digitalicen por lo tanto lo desplacen, y por el otro lado, el riesgo disruptivo, de pronto aparezcan jugadores que están completamente virtualizados o digitalizados y que compitan directamente. Entonces la industria tradicional está atacada desde dos perspectivas”[2].

Las empresas pueden desarrollar su software para facturar electrónicamente, el cual debe cumplir con las condiciones técnicas de expedición (generación – entrega), recibo, rechazo y conservación de la Factura Electrónica. Pero, de igual forma tienen la opción de seleccionar uno de los 61 proveedores tecnológicos que a la fecha están autorizados por la entidad.

De otro lado, y pensando en apoyar especialmente a las Mipyme, la DIAN dispone de un servicio Web Gratuito que permite la expedición de la Factura Electrónica, así como la generación de notas débito y crédito sin ningún límite. El desarrollo de esta solución repercute en la disminución de costos y aumento de la productividad para las Mipyme.

Grandes beneficios

De acuerdo al Estudio del Centro Interamericano de Administraciones Tributarias CIAT, realizado entre 2015 y 2016, el ciclo de una factura equivalía a US$0,88, es decir: $2.552 pesos[3]. En el momento, los empresarios que han adoptado este sistema de facturación, han visto una disminución en sus costos hasta del 69% (US$0,28 = $840 pesos). El mismo estudio previó que una vez masificada la Factura Electrónica en la totalidad del aparato productivo nacional, se reducirá hasta en un 80% (US$0,18 = $522 pesos).

A nivel macro, nuestro país será el mayor beneficiado, porque la masificación de la herramienta permitirá el reporte inmediato de las operaciones, generando una disminución en los niveles de evasión y con ello un aumento en el recaudo. Así lo evidencian estudios publicados, respecto de los resultados de las administraciones tributarias de Uruguay, Ecuador y Argentina, realizados con el apoyo del Banco Interamericano de Desarrollo – BID.

[1] Fuente: Dirección de Impuestos y Aduanas Nacionales DIAN. Datos con corte a octubre 8 de 2018.

[2] Fuente: Diario Portafolio, “Empresa que no se digitalice, corre el riesgo de desaparecer”, octubre 9 de 2018, Sección Innovación.

[3] Con cálculo del valor del dólar a $ 2.900 pesos.

Estas sanciones se suman a otras multas millonarias que en el pasado la SIC ha impuesto a proveedores de redes y servicios de telecomunicaciones por incumplimientos del régimen de protección de usuarios. Ahora bien, con independencia de si las multas fueron justas tanto respecto de los hechos que las generaron como del valor de las mismas, es evidente que dichos proveedores han asumido impactantes consecuencias económicas, comerciales y de reputación como sujetos pasivos del ejercicio de la función de inspección, vigilancia y control de la SIC en materia del régimen de protección de usuarios.

Al respecto, es necesario cuestionarse si la imposición de multas cuantiosas garantiza una migración a una fase de mejor relacionamiento entre operadores vigilados y la autoridad en cabeza de la SIC y, además, si todo ello redunda en una mejor percepción y recepción de servicio del lado de los usuarios finales. Por ende, el interrogante que surge es si resulta conveniente para todos los actores de los mercados de servicios TICs que las multas crecientes sean el principal vehículo para conducir a los proveedores y a la SIC a una óptima protección de los derechos de los usuarios.

Algunos proveedores pueden haber adoptado mejores prácticas en el relacionamiento e intercambio de información, así como en el trámite de PRQs con sus usuarios, al tiempo que algunos otros probablemente estén interesados en adoptarlas con miras a una mejor garantía y protección de los derechos de los usuarios. Aun así, si el foco de la autoridad de inspección, vigilancia y control se llegare a limitar únicamente a investigar y encontrar una o más fallas para imponer una sanción, el esfuerzo de buscar un mejor relacionamiento con los clientes puede estar quedando sin efectos positivos.

Adicionalmente, la sanción económica junto con el efecto mediático que esto produce afecta el núcleo de la relación de confianza que debe existir entre proveedores y usuarios finales, así como entre aquellos y la autoridad. Si esto es así, las sanciones económicas pueden estar resquebrajando directa e indirectamente la credibilidad de los proveedores en detrimento también de la necesidad del sector TIC de contar con mayores inversiones, mayor acceso, conectividad y más servicios que respondan a la evolución tecnológica.

En consecuencia, se hace prioritario encontrar, reconocer e implementar nuevas políticas y medidas normativas que le permitan a los proveedores de redes y servicios de telecomunicaciones como a los de contenidos y aplicaciones, adoptar procesos internos relativos a la transparencia y claridad de la información, óptima prestación de los servicios, así como procesos de mejora en la atención de peticiones, quejas y reclamos de los usuarios que deriven en una adecuada gestión de los proveedores en busca de garantizar que al interior de las organizaciones, se cumpla con el régimen de protección de los derechos de los usuarios.

Una de esas medidas normativas es el reconocimiento del principio de responsabilidad demostrada (Accountability) para que sea aplicable al régimen de protección de usuarios de las Tecnologías de la Información y Comunicaciones. Se trata de hacer extensión del principio reconocido en el régimen legal de protección de datos y privacidad. En efecto, en virtud de la responsabilidad demostrada el responsable del tratamiento está llamado a implementar medidas dentro de la organización interna que le permitan comprometerse con incrementar sus estándares de protección para garantizarle a sus usuarios/clientes un tratamiento adecuado de su información personal. La adopción de esos estándares trae como consecuencia que la Superintendencia de Industria y Comercio deberá tenerlos en cuenta al momento de evaluar la imposición de una sanción, lo que en la práctica suele traducirse cuando menos en la inclusión de una variable de reducción de la multa en la fórmula de cálculo de la misma.

Lo anterior es de la mayor importancia porque le permite a los responsables demostrar a la autoridad su debida diligencia y máximo esfuerzo en el cumplimiento de las normas de protección de datos y privacidad no solo desde el punto de vista de contar con políticas internas sino principalmente desde la óptica de hacer una aplicación práctica de estas en la búsqueda de garantizar al máximo los derechos de los titulares de datos.

Así entonces, nada impide que esta misma lógica jurídica e ilustrativo antecedente de buenas prácticas que incluso encuentra respaldo en las recomendaciones de la OCDE, sea recogida frente al cumplimiento del régimen de protección de usuarios de las redes y servicios de telecomunicaciones y de los proveedores de contenidos y aplicaciones. Incluso su aplicación se puede extender a otros servicios públicos en los que el ejercicio de las competencias de la Superintendencia tenga lugar.

Justamente el momento actual es propicio porque el Gobierno Nacional, a través del Ministerio de las TICs, ha anunciado la presentación al Congreso de un proyecto de ley que busque reorganizar el marco institucional del sector y, en consecuencia, modificar la ley 1341 de 2009. Al tiempo, se está estructurando la ley del Plan Nacional para el próximo cuatrienio. Por consiguiente, tanto en uno como en otro instrumento jurídico es posible incluir el principio de responsabilidad demostrada con elementos tales como los siguientes:

• Los proveedores de redes y servicios de telecomunicaciones (PRST) y los proveedores de contenidos y aplicaciones (PCA) responsables del régimen de protección de usuarios, deben garantizar el cumplimiento efectivo de las medidas que implementen para el efecto.
• Tales proveedores deben estar preparados para demostrarle a la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, la implementación de medidas apropiadas y efectivas dentro de la organización para cumplir con las obligaciones del régimen de protección de usuarios establecido por la Comisión de Regulación de Comunicaciones (CRC).
• La Superintendencia de Industria y Comercio (SIC) en su calidad de autoridad de inspección, vigilancia y control del régimen de protección de usuarios, deberá tener en cuenta la existencia de políticas y medidas adecuadas por parte de los responsables al momento de evaluar la imposición de una sanción.

Ahora, si los instrumentos legales no pudieran recoger una iniciativa en éste sentido, por vía de reglamentación también es posible buscar su inclusión dentro del ordenamiento legal. En ese caso, además de los elementos anteriores, el contenido reglamentario pudiera comprender que los proveedores de redes y servicios de telecomunicaciones, como los proveedores de contenidos y aplicaciones aseguren que:

• En la organización exista una estructura administrativa que se desprenda de la alta dirección y que sea responsable de hacer cumplir el régimen de protección de usuarios. Dicha estructura debe ser proporcional al número de usuarios con los que cuenta el proveedor;
• Que se adopten mecanismos internos para poner en práctica las políticas que incluyan herramientas de implementación, entrenamiento y programas de educación; y
• La implementación de procedimientos internos que permitan demostrar que se da respuesta efectiva a las peticiones, quejas y reclamos de los usuarios.

Evidentemente el éxito en el reconocimiento del principio de responsabilidad demostrada está condicionado a que las organizaciones internas de los PRST y los PCA, identifiquen y adopten un programa integral de gestión del régimen de protección de los derechos de los usuarios.

Finalmente, lo hasta aquí propuesto requiere de un cambio de perspectiva y percepción entre la autoridad de control y los proveedores de productos y servicios dentro del sector de las tecnologías de la información y comunicación, para avanzar hacia un esquema de control menos fundamentado en el poder sancionatorio y por el contrario, más proclive a la construcción y desarrollo de mejores prácticas dentro de las estructuras internas de las organizaciones que permitan elevar los indicadores de cumplimiento de los diferentes derechos y garantías propios del régimen de protección de usuarios.

Revisado el documento del doctor Velasco encontramos que son más los puntos en común y de fondo en que coinciden las regulaciones del Ministerio de Hacienda con el proyecto de ley, razón por la cual  el país merece que se reconsidere la posición inicial del Ministerio con miras a que se dé a los colombianos la oportunidad de contar con regulaciones modernas sobre títulos valores y, de paso, la República de Colombia sea pionera en este tipo de normas en Latinoamérica y el mundo. Lo anterior lo comunicamos en reunión de trabajo del 5 de diciembre de 2017 con un grupo de expertos (as) del Ministerio de Hacienda, la Superintendencia Financiera y el Ministerio de Comercio.

El 6 de diciembre de 2017 radicamos un documento mediante el cual solicitamos a la Comisión Tercera de la Cámara de Representantes aprobar el proyecto de ley dejando claro y de manera expresa que el mismo no es aplicable a la factura electrónica. Con ésta excepción del ámbito de aplicación se respeta el trabajo realizado por los autores del decreto 1349 de 2016 y se mitiga cualquier eventual riesgo de incertidumbre jurídica.

El GECTI de la Universidad de los Andes colaboró en la redacción y asesoría académica del citado proyecto. Creemos que es una iniciativa susceptible de perfeccionarse pero que está debidamente fundamentada y enfocada en satisfacer los intereses generales del país con miras a que Colombia cuente con una regulación moderna, útil y comprobada para estar a tono con las exigencias de la economía digital.

Sintetizamos nuestras razones en los siguientes términos:

• El proyecto de ley responde a las necesidades planteadas por organismos internacionales para fomentar el crecimiento de la economía digital
• Colombia necesita modernizar sobre títulos valores electrónicos y erradicar la incertidumbre jurídica sobre títulos valores diferentes a la factura electrónica
• El proyecto de ley incorpora buenas prácticas internacionales
• El proyecto de ley no improvisa sino que replica a los títulos valores la regulación colombiana expedida por el Ministerio de Hacienda y Crédito Público para los valores y los títulos valores: decretos 2555 y 3960 de 2010
• El proyecto de ley es una iniciativa de regulación general que respeta y no modifica la regulación sectorial sobre la factura electrónica
• El proyecto de ley también incorpora lo decidido por el Banco de la República mediante el parágrafo 2 del artículo 2 de la Resolución Externa 13 de 2016
• Las funciones que se atribuyen a la Superintendencia Financiera fueron establecidas mediante decretos del Ministerio de Hacienda
• La Supervisión de las centrales de registro electrónica debería ser una labor a cargo de la Superintendencia Financiera dada su experiencia especializada en valores y títulos valores electrónicos.
• El proyecto de ley no genera cargas de trabajo desproporcionadas a la Superintendencia Financiera
• El proyecto incorpora las entidades de certificación como rcentrales de registro porque así lo decidió el Gobierno Nacional mediante el decreto 19 de 2012
• Colombia no debe improvisar en la regulación sobre títulos valores electrónicos

A continuación explicamos los anteriores puntos:

EL PROYECTO DA RESPUESTA A NECESIDADES PLANTEADAS POR ORGANISMOS INTERNACIONALES PARA FOMENTAR EL CRECIMIENTO DE LA ECONOMÍA DIGITAL

La iniciativa obedece al clamor de muchas entidades internacionales que ven necesario ajustar la regulaciones medievales (como la de títulos valores) a la realidad socio tecnológica del siglo XXI y a la ECONOMÍA DIGITAL. En este sentido, la CEPAL, por ejemplo, ha recalcado que “la economía mundial es una economía digital” [1]. Para dicha entidad “el principal efecto de la digitalización ha sido su capacidad de transformar todos los flujos económicos al reducir los costos de transacción y los costos marginales de producción y distribución.(…).”[2]. Por eso, en estudio de agosto de 2015 sobre  la revolución digital la CEPAL afirmó que “una regulación moderna es imprescindible en la economía digital” [3].  La Economía digital, “implica retos significativos para el diseño de políticas y marcos regulatorios que generen las condiciones necesarias para que los individuos y las empresas participen en la economía digital” [4]. (Destacamos)

Colombia necesita modernizar su regulación sobre título valores electrónicos y erradicar la incertidumbre jurídica sobre títulos valores diferentes a la factura.

Cuando se expidió la ley 527 de 1999 sobre comercio electrónico aún no existía en Colombia una actividad significativa para expedir dicha regulación. No obstante, fue acertado hacerlo en ese momento porque esa norma imprimió de certeza jurídica el comercio electrónico en nuestro país. Lo mismo hará el proyecto de ley objeto de debate. Este contribuirá a despejar dudas de jueces, ciudadanos y el mercado sobre el tema y permitirá que desaparezca la incertidumbre jurídica que propicia la falta de ley sobre el tema.

EL PROYECTO DE LEY INCORPORA BUENAS PRÁCTICAS INTERNACIONALES

Como se menciona en la exposición de motivos, en varias partes del mundo se han implementado procesos de desmaterialización de instrumentos financieros y documentos de transporte. Algunos de los casos más significativos  respecto de instrumentos financieros son: Euroclear, en Bruselas; Cedel, en Luxemburgo; el Depository Trust Corporation y el Electronic Check Clearing House Organization (ECCHO) en Estados Unidos; CREST y el Central Gilts Office, en Londres; Sicovam, en Francia; el Monte Titoli, en Italia; y los Depósitos Centralizados de Valores, en Colombia. En cuanto a la desmaterialización de documentos de transporte  marítimo, destacan los proyecto SeaDocs, CMI y Bolero.

Todos los anteriores recurren a la figura de la central de registro como eje de la desmaterialización. Eso es, precisamente, lo que hace el proyecto de ley. En ese sentido, el mismo tiene presente la experiencia internacional sobre el tema lo cual permite afirmar que para su redacción se buscó lo mejor de las prácticas internacionales para replicarlas en Colombia.

EL PROYECTO DE LEY NO IMPROVISA SINO QUE REPLICA A LOS TÍTULOS VALORES LA REGULACIÓN COLOMBIANA EXPEDIDA POR EL MINISTERIO DE HACIENDA Y CRÉDITO PÚBLICO  PARA LOS  VALORES Y LOS TÍTULOS VALORES ELECTRÓNICOS: DECRETOS 2555 Y  3960 DE 2010

La idea central del proyecto de ley se basa en replicar a los títulos valores electrónicos las instituciones y la experiencia colombiana en la creación circulación de valores electrónicos. Creemos que la experiencia de la creación y circulación electrónica de los valores ha sido exitosa y segura. Por lo tanto, no se improvisará en el tema y, en cambio, se trasladará la confianza existente en el mercado de valores electrónicos al mundo de los títulos valores electrónicos.

Recalcamos que con el proyecto de ley no se improvisa sino que se usa la regulación del Ministerio de Hacienda y Crédito Público sobre valores y títulos valores electrónicos expedida desde 2010, particularmente el decreto 3960 de ese año. Dos razones justifican esa decisión: En primer lugar, el Ministerio de Hacienda tiene experiencia regulatoria en el tema desde que se expidió la ley 27 de 1990 y, en segundo lugar, según la ley 964 de 2005 “los valores tendrán las características y prerrogativas de los títulos valores, excepto la acción cambiarla de regreso”[5]

Reiteramos que el Ministerio de Hacienda desde el año 2010 reguló lo atinente a los títulos valores electrónicos cuando dispuso lo siguiente en el decreto 3960 de ese año:

“Artículo 2.14.2.1.5. Custodia y administración de títulos valores e instrumentos financieros. Los depósitos centralizados de valores podrán custodiar y administrar valores, títulos valores de contenido crediticio, de participación, representativos de mercancías e instrumentos financieros que no se encuentren inscritos en el Registro Nacional de Valores y Emisores -RNVE-, (…)  en la forma y condiciones que señale el reglamento del depósito centralizado de valores.

Parágrafo. Las disposiciones del presente libro relativas a la anotación en cuenta serán aplicables en lo pertinente a los títulos valores de contenido crediticio o de participación, que reciban en custodia tales depósitos. En este caso, se entenderá que la entrega y/o endoso de los títulos valores se efectuará mediante la anotación en cuenta siempre que, en relación con el endoso, la orden de transferencia que emita el endosante cumpla con los requisitos pertinentes establecidos en la ley. Los títulos valores indicados en este parágrafo conservarán todos los derechos, acciones y prerrogativas propias de su naturaleza, consagradas en la legislación mercantil.”

EL PROYECTO DE LEY ES UNA INICIATIVA DE REGULACIÓN GENERAL QUE RESPETA Y NO MODIFICA LA REGULACIÓN SECTORIAL SOBRE LA FACTURA ELECTRÓNICA.

La iniciativa no suple el trabajo que ha hecho el Gobierno Nacional en la reglamentación de la creación y circulación de la factura electrónica. Al contrario, complementa dicha labor para los demás títulos valores. Por eso, el proyecto no genera incertidumbre jurídica sino que la fomenta para los demás títulos valores electrónicos.

Recalcamos que el proyecto de ley es complementario de la regulación reciente sobre factura electrónica y que no será modificada ni derogada por el proyecto de ley.

EL PROYECTO DE LEY TAMBIÉN INCORPORA  LO DECIDIDO POR  EL BANCO DE LA REPÚBLICA MEDIANTE EL PARÁGRAFO 2 DEL ARTÍCULO 2 DE LA LA RESOLUCIÓN EXTERNA NO. 13 DE 2016

El proyecto también replica lo ordenado por el Banco de la República sobre pagarés electrónicos en el sentido de ratificar la anotación en cuenta como la forma de crear y perfeccionar esa clase de títulos, tal y como se puede constatar a continuación. Para corroborar lo anterior, nos permitimos transcribir la Resolución Externa No 13 de 2016 del Banco de la República:

Parágrafo 2. Los pagarés podrán estar incorporados en documento electrónico como título valor desmaterializado o  inmaterializado, conforme lo establecido en la Ley 27 de 1990, la Ley 527 de 1999, la Ley 964 de 2005 y las demás normas que las desarrollen, modifiquen o adicionen. (…)

“El perfeccionamiento del endoso de los pagarés desmaterializados y/o inmaterializados al Banco de la República, conforme a lo previsto en la presente Resolución, requerirá de la anotación en cuenta en los términos establecidos en los artículos 12 y 13 de la Ley 964 de 2005 y en el parágrafo del artículo 2.14.2.1.5. del Decreto 2555 de 2010, y las demás normas que las desarrollen, modifiquen o adicionen”.

   LAS FUNCIONES QUE SE ATRIBUYEN A LA SUPERINTENDENCIA FINANCIERA FUERON CREADAS MEDIANTE DECRETOS DEL MINISTERIO DE HACIENDA

Reiteramos que el proyecto sólo aplica a las centrales de registro (los depósitos de valores y las entidades de certificación) las normas que ya existen para los depósitos centralizados de valores respecto de los valores y de los títulos valores electrónicos. En ese sentido, se sigue lo dispuesto en el decreto 3960 de 2010, el cual sustituye el libro 14 del decreto 2555 de 2010. Ambos decretos fueron firmados por el Presidente de la República (Doctor Juan Manuel Santos) y el Ministro de Hacienda.

En todo caso, de aprobarse el proyecto de ley no habría ningún inconveniente legal ni constitucional porque el Congreso estaría ratificando lo que ha dispuesto el Presidente de la República y el Ministerio de Hacienda mediante los decretos citados.

La Supervisión de las centrales de registro electrónica debería ser una labor a cargo de la Superintendencia Financiera dada su experiencia especializada en valores y títulos valores electrónicos.

Dada la experiencia de supervisión de la Superintendencia Financiera en el mercado de valores y títulos valores electrónicos, creemos que para el país es mejor –como lo hice el proyecto de ley- que esa entidad se encargue de la creación y circulación de los títulos valores diferentes a la Factura electrónica (tarea asignada a la Superintendencia de Industria y Comercio –SIC-).

Consideramos que se trata de un mercado de billones de pesos  y dado que la SIC no tiene experiencia en ese tema porque hasta ahora va a empezar su labor respecto de la factura electrónica, lo más prudente de una política pública de tal magnitud es no improvisar y dejar el tema en manos de los expertos en ese campo, como lo es la Superintendencia Financiera de Colombia.

EL PROYECTO DE LEY NO GENERA CARGAS DE TRABAJO DESPROPORCIONADAS A LA SUPERINTENDENCIA FINANCIERA (SF).

Esto es algo importante. La SF ya expidió la regulación sobre los valores electrónicos y sabe cómo supervisar a los depósitos centralizados de valores (DCV). Lo que ha hecho simplemente lo deberá replicar a un eventual nuevo operador que podría ser una entidad de certificación.

Esto no implica modificar la Superintendencia Financiera ni sumarle otra carga de trabajo desproporcionada. Sólo se trata de que dicha entidad multiplique lo que ha hecho para los DCV a las nuevas centrales de registro.

EL PROYECTO INCORPORA LAS ENTIDADES DE CERTIFICACIÓN COMO CENTRALES DE REGISTRO PORQUE ASÍ LO DECIDIÓ EL GOBIERNO NACIONAL MEDIANTE EL DECRETO 19 DE 2012

La inclusión en el proyecto de las entidades de certificación como centrales de registro obedece a que el artículo 161 del decreto ley 19 de 2012 les atribuyó a dichas empresas la función de “ofrecer los servicios de registro, custodia y anotación de los documentos electrónicos transferibles”. Lo que hace el proyecto es incluir esas entidades y no excluirlas porque se expediría una norma que no fomentaría la competencia en el mercado.

Ahora bien, la regulación colombiana ya estableció cómo deben crearse dichas entidades y quién las vigila. Sobre ese punto no se modifica la normatividad vigente.

Lo único que hace el proyecto de ley es asignarle a la Superintendencia Financiera la función de vigilarlas –como lo hace con los Depósitos Centralizados de Valores (DCV)- respecto de los títulos valores electrónicos para que en Colombia no existan centrales de registro de primera o de segunda categoría. Todas deben ser de primera calidad y, por ende, vigiladas por la entidad especializada en ese tema que, a la fecha, es la Superintendencia Financiera.

COLOMBIA NO DEBE IMPROVISAR EN LA REGULACIÓN SOBRE TÍTULOS VALORES

Algo positivo del proyecto es que con el mismo no se está improvisando ni experimentando. Al contrario se acude a instituciones jurídicas y entidades que ha la fecha han hecho una buena tarea. Por eso, vale la pena replicar esa experiencia positiva en nuestra regulación.

CONCLUSIÓN

Creemos que el proyecto de ley está redactado pensando en lo mejor para el país, teniendo en cuenta tanto la experiencia internacional como la regulación que ha expedido para el Ministerio de Hacienda y el Banco de la República.

Colombia merece la oportunidad de contar con regulaciones modernas sobre títulos valores y, de paso, el Congreso de la República de Colombia ser pionero en este tipo de normas en Latinoamérica y el mundo.

PETICIÓN

Dado todo lo anterior, respetuosamente reiteramos que se apruebe el proyecto de ley dejando claro y de manera expresa que el mismo no es aplicable a la factura electrónica.

[1] Cfr. CEPAL. 2015. La nueva revolución digital. De la internet del consumo a la internet de la producción. Pág. 17

[2] Loc. Cit

[3] Cfr. CEPAL. Op. cit. p. 75

[4] Loc. Cit

[5] Cfr. Parágrafo 5 del artículo 2

Estudios recientes como el realizado en Colombia por la Comisión de Regulación de Comunicaciones (CRC) en 2017, concluyen con algunos mensajes no solo ajustados a la realidad de hoy, sino bien concebidos sin son puestos en perspectiva. Así por ejemplo, en el citado estudio el regulador de las TICs en Colombia encontró:

• – La sustitución de servicios tradicionales de TV con contenidos audiovisuales OTT requerirá desarrollos adicionales y cambios a lo largo de la cadena de valor.
• – Es importante entender los determinantes de estos desarrollos y cambios al momento de desarrollar escenarios de transición para servicios de contenidos audiovisuales OTT, al igual que las implicaciones para estrategias asociadas, inversión y decisiones de política.
• – La evolución tanto de la televisión lineal como no lineal será determinada en cada mercado por las decisiones claves hechas por los jugadores nacionales e internacionales, inversionistas y reguladores.
• – Para que los contenidos audiovisuales OTT sean exitosos, la oferta debería ser tanto sustitucional (incluyendo tanto el contenido y los servicios que son parte de la oferta tradicional de TV paga) y debe adicionar valor complementario, preferiblemente a un bajo costo, para poder proporcionar suficiente valor para convencer a los consumidores de televisión de cortar el cable[1].

Efectivamente, aun cuando los servicios audiovisuales no lineales soportados en plataformas digitales presentan niveles de penetración y de sustitución en fase de observación, también es claro que con independencia de estos dos elementos, los mercados en los que existen servicios audiovisuales lineales como los soportados en tecnologías cableadas o satelitales, presentan dinámicas y características tales como:

• – Los servicios audiovisuales soportados por redes de cable o satelitales existen en tanto cuenten con una habilitación legal plasmada en un título de concesión o licencia emitido por el Estado respectivo;
• – La prestación de estos servicios se encuentran reglada tanto desde las perspectiva legal, como reglamentaria y regulatoria, derivándose de lo anterior un cúmulo de obligaciones que van desde los aspectos técnicos, pasando por temas operativos y de funcionamiento hasta las obligaciones que cubren los derechos de los usuarios de los servicios, en algunos casos las obligaciones derivadas de la condición de servicio público de la televisión, reglas de protección del consumidor, normas relativas a la protección de datos personales y privacidad, obligaciones en materia de pagos de derechos o contraprestaciones a fondos públicos para la promoción de la televisión pública o del sector TIC en conjunto y, obligaciones relativas a impuestos en donde gravámenes como el impuesto sobre las ventas (IVA) genera un impacto importante sobre los usuarios y lógicamente sobre los modelos de negocio de los prestadores;
• – En relación con los mercados, algunos de ellos son objeto de tratamiento regulatorio que se concreta en la aplicación de medidas regulatorias ex ante o ex post normalmente derivadas de análisis y aplicación de metodologías de mercados relevantes caracterizadas por detalladas revisiones de las condiciones de oferta y demanda, índices de concentración, sustitución de los servicios, dimensiones geográficas de los mercados, entre otros.
• – Los contenidos que conforman las parrillas de programación son el resultado de contratos suscritos entre los dueños de dichos contenidos y los prestadores de los servicios de televisión cableada o satelital para la explotación del contenido, siendo en muchos casos de relevancia estratégica que algunos de esos contenidos sean negociados y pactados en exclusividad con la idea de caracterizar la oferta comercial y generar un factor diferencial en los mercados.
• – En algunos países los proveedores por cable o satélite tiene la obligación legal de incluir dentro de sus parrillas de programación algunas o incluso todas la señales de televisión abierta existentes en el territorio respectivo (must carry), algunas tienen cobertura nacional, otras regional y muchas son de cobertura local. Por la ocupación de espacio en las parrillas de programación, por el espacio que ocupen a nivel de instalaciones físicas tales como transpondedores en el caso de la tecnología satelital, dichos proveedores no reciben contraprestación ni por parte de los operadores de las señales abiertas ni por parte de los gobiernos.

Mientras estas características se mantienen en mayor o menor medida en países latinoamericanos, los servicios no lineales, de forma constante y evolutiva van penetrando en los mercados con ofertas cada vez más competitivas que, si bien no plenamente sustitutivas de aquellas de los prestadores por cable o satélite, si presentan características similares que hacen que el consumidor las esté empezando a contratar sea como complemento de su servicio audiovisual tradicional, sea como único servicio audiovisual de pago multipantalla a través de internet o como sustituto parcial de sus servicios actuales.

Los servicios no lineales o también conocidos como Over the Top (OTTs)[2] que en una mejor aproximación técnica y de mercado deberían ser conocidos como  Rich Interaction Applications (RIAs) o Rich Interactive Applications[3] ofrecen contenidos pre definidos por el prestador, a semejanza de los servicios audiovisuales tradicionales, pero con la características de poder ser vistos cuando el usuario lo decida. Así mismo, cada vez más los contenidos que determinan un porcentaje alto de la decisión de contratarlos por parte de los usuarios, son producidos en exclusiva no siendo posible su acceso por medio diferente a la plataforma digital que los produce y comercializa.

Pese a la irreversible llegada y muy segura consolidación de los servicios audiovisuales no lineales en los mercados latinoamericanos, los servicios tradicionales venían manteniendo ciertos elementos diferenciales que aseguraban en alguna medida la permanencia y fidelidad de sus suscriptores. En efecto, el hecho de contar con contenidos cuyos derechos de transmisión y/o re transmisión se contratan en exclusiva como es el caso de los eventos deportivos del tipo  mundiales de fútbol y competiciones regionales como la liga de campeones de Europa, les permitían resistir la muy probable sustitución por parte de los servicios soportados en Internet.

Las noticias de los últimos días deben poner a tambalear el sector audiovisual en Latinoamérica porque lo que parecía un atributo exclusivo de los proveedores tradicionales, ahora ya no lo es. En efecto, la semana anterior Facebook anunció que emitirá desde el segundo semestre de 2018, los partidos de la Liga de Campeones en países de Latinoamérica, según un acuerdo anunciado también por la Unión Europea de Fútbol (UEFA).

Facebook adquirió los derechos de difusión de 32 partidos de la liga de campeones y la súper copa de Europa, sin exclusividad y en directo por temporada para la etapa 2018-2021 en los territorios de lengua española. La trasmisión de los partidos estará a cargo de los programadores de contenido ESPN y Fox Sports y los usuarios de Facebook podrán ver los encuentros deportivos en vivo sin necesidad de ser cliente de un operador de cable.

Indiscutiblemente se trata de una de las noticias más importantes para los mercados audiovisuales de pago o suscripción en la región porque si antes para acceder a contenidos como los partidos de la liga de campeones se necesitaba tener una suscripción a un servicio de televisión de pago, ahora no solo dejará de ser una condición inevitable sino que además no tendrá costo.

La negociación y final obtención de los derechos de transmisión de eventos deportivos como los citados a título de ejemplo, han sido tradicionalmente caracterizadas por complejidades legales, económicas, de mercadeo, entre otras, que finalmente le permitían al operador de servicios de televisión de pago contar con un elemento diferenciador en su oferta comercial para competir en mercados cada vez más maduros y en donde buena parte de la dinámica comercial tiene que ver con conquistar a usuarios de los competidores y cada vez menos tener la posibilidad de contar con usuarios que no se encuentren ya suscritos a algún servicios audiovisual de pago. Al mismo tiempo y, en ese contexto, los operadores tradicionales recuperaban parte de la inversión en la adquisición de derechos exclusivos a través de las tarifas finales cobradas a los usuarios por acceder a los planes de televisión por suscripción ofrecidos.

Pues bien, con lo anunciado por Facebook y el efecto multiplicador que esto puede tener para otros proveedores de servicios digitales, es evidente que ese factor diferenciador en favor de los prestadores tradicionales tenderá a desaparecer y no sin generar consecuencias que tendrán que ser analizadas y asumidas por las autoridades nacionales relacionadas con las tecnologías de la información y las comunicaciones. Así por ejemplo, cuáles serán las condiciones de competencia que se definirán entre servicios audiovisuales con iguales contenidos pero en donde unos de sus usuarios los reciben de forma gratuita al tiempo que otros si pagan por acceder a ellos y, tratándose de sus prestadores, cómo proceder frente a ellos si para el primer caso no tienen las cargas legales y regulatorias que si tienen los operadores tradicionales y que fueron sintetizadas arriba en el presente artículo .

Esta situación aumenta la necesidad de continuar haciendo monitoreo regulatorio de los mercados audiovisuales para identificar necesidades de intervención ex ante o ex post que permitan direccionar los mercados hacia condiciones de equilibrio competitivo, promoción de la competencia y garantía de las inversiones de los proveedores audiovisuales tradicionales e incluso de los nuevos jugadores digitales. Así mismo, bajo la misma lógica de las discusiones nacionales y regionales sobre fijación de condiciones de nivelación de terrenos de juego o level playing field, las autoridades sectoriales de los países deberían revisar los marcos normativos para replantear y modificar lo que resulte necesario en términos de cargas legales y regulatorias para que, en casos de servicios en competencia y condiciones de sustitución, no se generen asimetrías competitivas que finalmente faciliten que nuevos jugadores puedan transformar los mercados sin tener que asumir obligaciones iguales o equivalente a quienes vienen operando en ellos con productos y servicios que resulten sustitutos desde la perspectiva de las preferencias y posibilidades económicas de los usuarios finales.

Retomando algunos de los mensajes de la CRC en su estudio de 2017, el anuncio realizado por Facebook es un fiel reflejo de que un nuevo actor internacional en los mercados audiovisuales ha tomado una decisión clave que hará evolucionar los servicios y que invita a que las autoridades de regulación estén alerta a los efectos de esa decisión. Además, los contenidos deportivos que normalmente venían siendo objeto de exclusividad para un proveedor tradicional y mediando tarifa para el usuario final, harán frente a nuevas ofertas con directa y clara vocación sustitucional que agregan valor complementario a cero costo para el usuario, lo que sin duda puede terminar llevando a los usuarios a cortar los servicios de cable o satelitales de los que actualmente disponen.

 —————————————————————–

[1] Estudio Mercados Relevantes Audiovisuales en un Entorno Convergente, Comisión de Regulación de Comunicaciones de Colombia, agosto de 2017.

[2] Ha sido costumbre denominar a algunos servicios digitales como servicios OTTs. Sin embargo, esa denominación es incompleta y en ciertos casos imprecisa pues en la actualidad no todos los servicios digitales se soportan sobre las redes de acceso a internet de los proveedores de redes de telecomunicaciones. En efecto, algunos prestadores de servicios digitales (v.gr. los de computación en la nube) disponen de sus propias redes y funcionan de manera autónoma sin depender de las redes tradicionales de telecomunicaciones.

[3] La denominación de RIAs corresponde a aplicaciones que le permiten a los consumidores interacciones que no son posibles a través de los canales tradicionales de comunicaciones. La denominación de RIAs surge en contraposición al término Over the Top que tiene origen en la industria de las telecomunicaciones para describir cualquier aplicación o servicio transitando a través de las infraestructuras de telecomunicaciones. Por el contrario, RIAs es un acrónimo que corresponde más efectivamente con aplicaciones o servicios utilizados para un amplio rango de funciones que le permiten a dos o más partes interactuar entre ellas en diversas formas.

Incluso la Asia Internet Coalition y el Centro de estudios estratégicos e Internacionales de Indonesia, en estudio sobre Rich-Interactive-Applications in Indonesia, clasificó los servicios comprendidos dentro de RIAs en categorías como: comunicaciones, redes sociales, medios y entretenimiento y comercio, quedando comprendidos dentro de medios y entretenimiento servicios audiovisuales como Netflix y Youtube. En consecuencia, esta noción amplia de los RIAs incluye no solo aplicaciones cuyas principales funciones sea generar interacciones interpersonales tales como mensajes de texto y llamadas, sino también servicios audiovisuales.

Entorno a esta dinámica y evolución el sector de las tecnologías de la información y las comunicaciones se han tenido que incorporar y reglar conceptos como los tradicionales de redes y servicios de telecomunicaciones (con sub clasificaciones como la de servicios de valor añadido), servicios de contenidos y aplicaciones, servicios de la sociedad de la información y ahora, el país tiene que hacer frente a los denominados servicios de información que tienen origen en el Tratado de Libre Comercio suscrito con los Estados Unidos.

Efectivamente, como se desarrolla y explica a continuación, los servicios de información desde hace varios años están a la espera de ser incorporados dentro de la estructura normativa del sector TIC con los correspondientes efectos que eso llegue a representar frente a los mercados de servicios, sus condiciones de competencia, su promoción y control por parte del esquema institucional sectorial, entre otros.

Análisis del contenido del Tratado de Libre Comercio (TLC) con los Estados Unidos.

En 2012 entró en vigencia el Tratado de Libre Comercio (TLC) acordado y suscrito entre los Estados Unidos y Colombia. En el capítulo relativo a las telecomunicaciones quedó incluida una particular categoría de servicios hasta ahora desconocida para el marco legal colombiano de las telecomunicaciones y de las tecnologías de la información y las comunicaciones. En efecto, en Colombia no existía antecedente legal o regulatorio sobre los denominados servicios de información que tienen origen en la Ley marco de telecomunicaciones de los Estados Unidos que data de 1996.

De acuerdo con el Capítulo 14 del Tratado, relativo a las telecomunicaciones, el ámbito y cobertura del mismo aplica, entre otros servicios, a las medidas relacionadas con el suministro de servicios de información (Artículo 14.1 literal d).

Dentro del mismo capítulo y artículo 14 fueron prevista en el numeral 14.6 las condiciones para el suministro de servicios de información, a saber:

1. Ninguna parte exigirá a una empresa que en su territorio se clasifique como un proveedor de servicios de información y que suministre dichos servicios sobre instalaciones que no son propias que:

• Suministre esos servicios al público en general;
• Justifique las tarifas de sus servicios de acuerdo a costos;
• Registre las tarifas para tales servicios;
• Se conecte con cualquier cliente particular para el suministro de dichos servicios;
• Se ajuste a un estándar o reglamento técnico particular para conectarse a cualquier red distinta a la red pública de telecomunicaciones.

Posteriormente, aclara la norma que con el fin de aplicar este artículo, cada Parte podrá clasificar en su territorio cuáles servicios son servicios de información.

Veamos hasta aquí algunos mensajes y conclusiones:

Se reconoce a cada una de las Partes en el Tratado el derecho de clasificar a los prestadores como proveedores de servicios de información así como de poderles imponer la obligación de suministrar dichos servicios sobre instalaciones que no sean propias, salvo en los casos de los literales que fueron listados. Supone también lo anterior que el Gobierno Colombiano a través del Ministerio TIC y de la CRC, creen dentro del marco regulatorio una nueva clasificación de servicios o modifiquen, transformen o amplíen alguna existente para contemplar a los servicios de información.

También queda el interrogante de si los casos relacionados en los literales (a) hasta el (e) son acumulativos o con que uno de ellos se presente, la Parte no podrá clasificarlo como servicio de información ni imponer la obligación que sea provisto sobre instalaciones de terceros.

Siguiendo adelante, dentro del citado Capítulo 14 se previó una definición de los servicios de información en los siguientes términos: “Significa la oferta de una capacidad para generar, adquirir, almacenar, transformar, procesar, recuperar, utilizar o hacer disponible información a través de las telecomunicaciones, e incluye la publicidad electrónica, pero no incluye el uso de dicha capacidad para la administración, control u operación de un sistema de telecomunicaciones o la administración de un servicio de telecomunicaciones”.

Entonces, es absolutamente claro que la publicidad que se realice por medios electrónicos es un servicio de información. Por ende, como caso de ejemplo, las acciones de publicidad digital en actividades de comercio electrónico son servicios de información en los términos del Tratado.

Conforme la definición, un servicio de información es la facultad, la posibilidad o el espacio para hacer toda una serie de acciones sobre cualquier información, esa posibilidad tiene que ser necesariamente sobre las telecomunicaciones, lo que supone sus redes. Si bien el producto final de estos servicios es la información, de antemano no supone su coincidencia con otros productos como los contenidos y las aplicaciones que aun comprendiendo información, contienen más elementos y prestaciones para sus destinatarios lo que en principio permite entender, en primera instancia, que para el caso del marco legal y regulatorio colombiano, los servicios de información serían una categoría independiente de los servicios de telecomunicaciones pero también de los servicios de contenidos y aplicaciones.

En adición, se tendrá que definir localmente si los servicios de información tienen alcance de prestación a usuarios diferentes a los usuarios masivos o público en general y, también puedan ser prestados a nivel mayorista entre proveedores de estos y los proveedores de otros servicios como los de telecomunicaciones.

Finalmente, el Capítulo 14 incluye una definición de telecomunicaciones, en los siguientes términos: “Significa la transmisión y recepción de señales por un medio electromagnético, incluyendo medio fotónicos”.

Se confirma con la definición de servicios públicos de telecomunicaciones que son una categoría aparte de los servicios de información.

Antecedentes de los servicios de información en los Estados Unidos:

De acuerdo con el Telecommunications Act de 1996, un servicio puede ser de telecomunicaciones si permite al suscriptor la escogencia del contenido que recibe y enviarlo sin interferencia por parte del proveedor del servicio, o puede ser un servicio de información, como el de televisión por cable en el que se define y selecciona que es lo que el suscriptor recibirá.

Los servicios de telecomunicaciones están sujetos a condiciones de no discriminación, mientras que los servicios de información no lo están.

Establece el Telecommunications Act de 1996 que las telecomunicaciones consisten en la transmisión de información entre puntos específicos en función de los usuarios, sin que se produzcan cambios en la forma o en el contenido de dicha información tal como fue enviada o recibida. Por su parte, los servicios de información son aquellos que ofrecen la capacidad para generar, adquirir, almacenar, transformar, procesar, recuperar, utilizar o hacer disponible información a través de las telecomunicaciones.

Así entonces, de acuerdo con la definición, se está en presencia de un servicio de telecomunicaciones solo cuando éste se provee bajo condiciones de transparencia en la transmisión y no se realiza ningún cambio la forma o el contenido de la información.

En los Estados Unidos la clasificación de un servicio como de información o no, se ha convertido en un debate político y jurídico entre la Federal Commmunications Commission (FCC) y algunas Cortes Estatales porque mientras la autoridad regulatoria adopta una clasificación, las Cortes en ciertos casos particulares, han rechazado la decisión de la FCC. Así por ejemplo, entrando en el análisis de ciertas tipologías de servicios, la FCC ha venido clasificando el acceso a Internet de banda ancha como un servicio de información y, por esa circunstancia, no pudo aplicar reglas de neutralidad de red a los proveedores de dicho servicio (al menos hasta antes del Gobierno Trump que eliminó las reglas federales sobre neutralidad de red).

El foco del debate y de las decisiones de la FCC ha sido si el servicio de acceso a Internet de banda ancha se ajusta a la definición de un servicio de información en virtud del Título I de la Ley de Comunicaciones, quedando entonces la FCC sin autoridad legal para imponer la regulación propia de los servicios públicos a dicho servicio. En efecto, los servicios de información solo pueden ser regulados ligeramente en virtud de la Ley de 1996. Por el contrario, los servicios de telecomunicaciones, en virtud del Título II de la Ley están sujetos a un paquete de reglas y restricciones por su condición de servicios de utilidad pública.

Un elemento importante tanto para la FCC como para algunas Cortes norte americanas que han expedido fallos relacionados con la clasificación de los servicios sea como de telecomunicaciones o sea como de información, es el relativo a la percepción de los usuarios. Al respecto y, tratándose del servicio de acceso a internet de banda ancha, la FCC ha considerado que el proveedor de este servicio puede ofrecer dos tipologías separadas de servicios, uno el de acceso a internet a través del cual se permite la transmisión de datos hacia y desde un punto de conexión a internet y; otro el de adicionar aplicaciones, contenidos y servicios que normalmente son servicios de información tales como correo electrónico y almacenamiento de la información. Para el regulador, desde la perspectiva del usuario, el servicio de acceso a internet de banda ancha es suficientemente independiente de los de información que constituyen una oferta separada.

En resumen, si un servicio se clasifica como de telecomunicaciones, su proveedor tendrá limitadas y condicionadas sus posibilidades de hacer gestión de tráfico. Si por el contrario, el servicio es clasificado como de información, sus proveedores tendrán una posibilidad más amplia de gestionar tráfico y de la misma forma, contar con la posibilidad de limitar las garantías en favor de los usuarios.

Los servicios de información en la Agenda Regulatoria y estudios sobre economía digital de la Comisión de Regulación de Comunicaciones.

La Comisión de Regulación de Comunicaciones (CRC) tanto en la Agenda Regulatoria 2018-2019 como en la Ruta para la Economía Digital, ha hecho expresa referencia a los servicios de información en la forma como se resume a continuación:

La CRC reconoce que la economía digital representa una oportunidad de modernización no solo para el sector privado, sino también para las autoridades sectoriales para que tengan un funcionamiento más eficiente, dando lugar a que se pueden coordinar de mejor forma las políticas públicas y regulatorias.

El estudio del que parte la CRC, identificó algunos retos para impulsar nuevos modelos de negocio y mayor innovación tecnológica dentro de la economía digital, a saber:

• Criterios para la clasificación de servicios de cara a la Economía Digital.
• Criterios para actuar o no regulatoriamente en mercados dinámicos.
• Reglas para comercialización de datos personales del consumidor digital.

Pensando en los servicios de información en la forma como se encuentran definidos en el TLC con los Estados Unidos y teniendo de presente el contexto dentro del cual se han dado los desarrollos regulatorios en dicho país, son estos tres los retos que tienen directa relación con los servicios de información.

De lo anterior se puede interpretar que el regulador está considerando que se requiere de una clasificación de los servicios sea nueva o modificar la que existe en la Ley 1341 de 2009 para afrontar la economía digital, esto supone varios interrogantes tanto desde el punto de vista regulatorio como legal. Así por ejemplo, si con la Ley 1341 se eliminó la clasificación por servicios que caracterizaba el marco legal en colombiano, no parece lógico ni conveniente que el reto identificado por la CRC pueda llevar al sector nuevamente a un esquema de clasificación por servicios, que además de requerir reformas de orden legal, podría crear asimetrías entre diferentes tipos de servicios, que incluso ya existen y se acentúan más entre los servicios de telecomunicaciones y los servicios de contenidos y aplicaciones.

Desde el punto de vista regulatorio, los interrogantes pasan por contar con garantías de que la clasificación de los servicios para la economía digital, no generará situaciones ni tratos asimétricos entre los servicios que acentúen la situación actual que el mismo regulador ha reconocido, correspondiendo entonces que cualquier clasificación que se adopte garantice un tratamiento en balance y equivalencia en aspectos como el régimen de protección de los derechos de los usuarios, el régimen de calidad, protección de datos, entre otros.

Finalmente, en cuanto a las reglas para la comercialización de datos personales del consumidor digital, es claro también que el reto es de suma importancia vis a vis los servicios de información y lo que de ellos se defina tanto reglamentaria como regulatoriamente.

La Agenda regulatoria de la CRC incluye proyectos y acciones de competencia de esta entidad como del Ministerio TIC y otras autoridades. Así, respecto del proyecto denominado: “Criterios para definir los servicios de información previstos en el TLC con USA” a cargo del Ministerio TIC, su desarrollo corresponde a una política pública. Otro proyecto tiene que ver con “Regulación de servicios de telecomunicaciones e información en competencia” a cargo de la CRC y su desarrollo se hará a través de regulación.

En vista de lo anterior, en lo que resta de 2018 y particularmente en 2019, le corresponderá al Gobierno, a través del Ministerio TIC, entrar a definir como se entenderán dentro del ordenamiento jurídico interno y, en particular, dentro del marco legal de las tecnologías de la información y la comunicación, los servicios de información del capítulo 14 del TLC suscrito con los Estados Unidos.

Conclusiones.

Es deseable que la política pública que para efectos de definir los servicios de información se elaboré, no se limite a listar unos criterios a partir de los cuales se identifique un servicio como de información, sino que además, se encargue de fijar principios y reglas de competencia y protección de los derechos de los usuarios, para que no se generen asimetrías regulatorias ni distorsiones en los mercados de servicios que hagan parte de las tecnologías de la información y la comunicación, donde es de suponer que se enmarcarán los servicios de información.

Respecto de la regulación de servicios de telecomunicaciones e información en competencia,  será necesario que la CRC analice los mercados en donde servicios de telecomunicaciones y servicios de información concurran para entender si compiten, cómo lo hacen, si se presentan fallas o asimetrías en los mercados y, en consecuencia, determinar posibles regulaciones aplicables. Es más, de ese análisis no podrían ser excluidos los servicios de contenidos y aplicaciones que, al menos hasta ahora, se mantendrían como una clasificación más.

Si los proveedores de servicios de información llegan a tener las cargas regulatorias que hoy en día tienen los proveedores de servicios de telecomunicaciones, las posibilidades de generar nuevos negocios serán diferentes si las cargas regulatorias son mínimas como sucede con los contenidos y las aplicaciones.

Finalmente, si se tratara de anticipar una propuesta de concepto y alcance de los servicios de información, además de los lineamientos que de forma general establecen los textos del TLC arriba analizados y que tanto el Ministerio TIC como la CRC tendrán que seguir, es fundamental que a dichos servicios les sean de aplicación exigencias entorno a la protección de los derechos de los usuarios, la protección de datos personales y privacidad, la seguridad informática y obligaciones fiscales para con el Estado Colombiano. Esos cuatro elementos son ejes fundamentales sobre los que cualquier servicios dentro del Ecosistema debe sustentar su prestación, siendo necesario que dichas autoridades se encargue de la revisión de las obligaciones aplicables de tal forma que se garanticen condiciones reales de equilibrio competitivo, nivelación de cargas, perspectivas de simplificación normativa y menores cargas fiscales.

Efectivamente, mientras en la mayor parte de los países los envíos de dinero entre personas se canalizan mayoritariamente a través de instrumentos propios del sistema financiero, en Colombia no sucede así pues no solo desde la existencia del operador postal oficial como único proveedor del servicio, sino también desde la apertura de los giros postales a la competencia en 2014, los envíos de dinero entre personas ocurren principalmente a través de las redes de los operadores postales.

Ahora, no se trata de que solamente los envíos de dinero se realicen a través de giros postales, adicionalmente la cantidad de dinero que se cursa es cada vez más representativa, es así como de acuerdo con las cifras reportadas al Ministerio TIC por parte de los operadores de giros postales, en 2017 movilizaron en giros alrededor de $16 billones.

Se plantean cuestionamientos alrededor de la idea que los giros postales están ocupando un lugar reservado para el sistema financiero o que no siendo un servicio propio de aquel sistema, le genera presiones competitivas que hacen pensar en una posible situación de competencia en términos de sustituibilidad del lado de la oferta y la demanda.

Aún más, si lo descrito en el párrafo precedente apenas comienza a ser analizado y discutido, ya existe un factor de influencia adicional. En efecto, algunas de las nuevas plataformas digitales que cuentan hoy en día con un número considerable de usuarios, trasladan o remiten dinero de un cliente a otro satisfaciendo necesidades muy similares a las que responden los proveedores de giros postales con sus operaciones actuales que a diferencia de aquellas, se sustentan en el registro de una habilitación ante el Ministerio TIC, el pago de contraprestaciones y la obligatoriedad de cumplir con la regulación sectorial definida por la CRC.

Precisamente la CRC recientemente ha publicado un documento relativo a

la revisión del mercado de giros postales y aprovechamiento de la red de giros para promover la inclusión financiera en Colombia, dicho documento sometido a consulta pública, contiene diversos retos que con seguridad transformarán en el mediano plazo las condiciones de competencia del mercado de giros postales, así como las condiciones en las que sus proveedores concurren a este. En efecto, el regulador ha dimensionado algunas posibles líneas de acción con impacto directo sobre la forma como funciona el mercado actualmente.

A título enunciativo a continuación se citan y comentan algunas de ellas:

• Ø La existencia de capilaridades diferenciales entre las redes de giros, puede dar lugar a generar la necesidad de promover procesos de interconexión entre estas redes para lograr mercados más competidos con la consecuente fijación de precios mayoristas.

 En forma general la interconexión en el sector postal se presenta como una posibilidad de ampliar el cubrimiento de los operadores postales, mas no es un requisito indispensable para la prestación del servicio.

La obligación de interconexión existe desde la Ley 1369 de 2009 bajo la forma de libre acceso a las redes postales, en tanto la interconexión es una especie dentro del género del acceso. Lo novedoso no sería contar con la regla de interconexión, sino el hecho que la regulación establezca los casos en los que la interconexión de redes de giros se tenga que darse. En consecuencia, podría dejar de ser de la libre iniciativa de los operadores el momento de llegar a un acuerdo de interconexión como sucede hoy. Además, una medida de impacto seria que se establezca regulación de precios en forma similar a como se presenta hoy con las redes de telecomunicaciones cuyos precios de interconexión están regulados, lo anterior entre varios aspectos involucra el conocimiento previo por parte del regulador de los costos de la interconexión y probablemente de la delimitación de los mismos como de los diferentes componentes que puedan o deban ser comprendidos dentro de la relación de interconexión.

No puede perderse de vista que todo lo anterior es dable porque la CRC está facultada para definir regulación ex ante cuando encuentre causas objetivas y sustentadas para ello, relacionadas con fallas de mercado, incluyendo problemas de calidad, y decisiones ex post frente a conflictos que tengan los agentes del mercado.

• Ø Existen cuellos de botella en el mercado de giros relacionados con la capilaridad de la red en dos temas: (i) interconexión y (ii) modelo de costos y márgenes para a partir de ahí, lograr mercados más competidos con la consecuente fijación de precios mayoristas. Lo anterior podría dar lugar a regulación ex ante.

En línea con el punto anterior, además de volver a resaltar la necesidad de emprender acciones en materia de interconexión por estar comprendida dentro del diagnóstico realizada por la CRC cuyo bajo desarrollo genera barreras en el mercado, aquí surge un elemento crucial para los operadores postales y es que tendrán que trabajar con el regulador para definir el modelo de costos de la operación de sus servicios.

Efectivamente, la ausencia de un modelo de costos de referencia es para el regulador una limitación a su posibilidad de promover y garantizar mercados que funcionen en condiciones de competencia. En respaldo de lo anterior, la CRC, en el documento objeto de estas reflexiones ha expresado que: “Es posible que se deban desarrollar modelos para el análisis de costos del segmento de giros”.

Ahora, al parecer, por la forma como ha sido descrito este cuello de botella por el regulador, su tratamiento regulatorio podría llevar a medidas que en la dinámica vigente del sector TIC parecen estar siendo reconsideradas. En efecto, las medidas regulatorias ex ante se están repensando para permitir sectores menos regulados y más proclives a una regulación de mínimos y de intervención regulatoria solamente cuando no exista otra posibilidad de subsanar una falla que impida el funcionamiento del mercado en condiciones de competencia.

Las relaciones de acceso e interconexión para las redes de giros postales, dejarían de reglarse por el acuerdo libre de voluntades de sus partícipes, para pasar a esquemas en donde los precios mayoristas estén previamente definidos y en donde puedan estar tipificados unos costos que serían los únicos aceptables y permitidos en las relaciones de interconexión .

• Ø En relación con esos cuellos de botella, es necesario desarrollar procesos de monitoreo del mercado, que puede ser complementado con análisis de costos para evaluar la racionalidad y proporcionalidad de las utilidades que generan los diversos servicios como indicador de la existencia o no de un proceso competitivo o como herramienta a aplicar en caso de una intervención directa.

Lógicamente la identificación y socialización de los costos del sector de giros postales puede traer como consecuencia la revisión de las utilidades que genera. No se trata simplemente de informar, divulgar y comparar la magnitud de las utilidades, sino de constatar su pertinencia y justificación respecto del modelo de costos que el regular defina. Por consiguiente, el impacto de lo anterior sería el control de los dos componentes fundamentales de la estructura económica del sector, a saber, los costos y las utilidades con las consecuentes posibilidades de intervención regulatoria de la CRC.

• Ø Los servicios de giros postales se enmarcan en una estructura oligopólica, con un actor que cubre casi la mitad del mercado con un cubrimiento nacional con alta capilaridad de red, dos actores que se complementan regionalmente. Son tres las principales consecuencias que se identifican en la limitada competencia en el servicio de envío y entrega de dinero:

(i) Mayores posibilidades de presencia de operadores con posición dominante en el mercado de giros.

(ii) Tarifas minoristas altas asociadas el envío y entrega de dinero y

(iii) Baja inclusión social y financiera.

De entrada es necesario comentar que un hallazgo de limitada competencia en el sector de giros postales, desencadena la correspondiente intervención regulatoria y no se está anunciando al sector un proceso de monitoreo sino de real aplicación de nuevas medidas regulatorias que como se indicó arriba, tomarán muy probablemente la forma de regulación ex ante que tienden, en el mejor de los casos, a tener como característica su permanencia en el tiempo (cuando menos de tres años que es normalmente el periodo que define el regulador para hacer una proyección de su regulación y de monitoreo y evaluación de la misma).

De igual forma la caracterización del mercado como oligopólico trae también como consecuencia directa la percepción de posible insuficiencia de competencia y de la necesidad de ingreso de más competidores o de promover la presencia de los actuales en territorios en donde hoy solo esté uno o dos de ellos.

El riesgo de comprobación y designación de un operador como dominante en un mercado determinado, tiene que ver con la posibilidad de que él o los operadores así catalogados sean objeto de regulación asimétrica en tópicos a nivel mayorista y minorista como precios diferenciales para las relaciones de acceso e interconexión, como limitaciones en las comisiones que se perciben por los giros postales e imposición de obligaciones de hacer que por ejemplo tengan como objetivo la inclusión financiera.

• Ø La CRC propone avanzar en la homologación de condiciones operativas y cargas regulatorias entre los servicios de giros postales y los servicios financieros para equilibrar el campo de juego, en especial en materia de la prevención de prácticas como el lavado de activos.

Si bien existen sustitutos del sector financiero que generan presiones competitivas, la capilaridad de las redes de SGP permite generar un factor muy apreciado por los usuarios relativo a la cercanía y facilidad de acceso al servicio.

De una parte, los desafíos y líneas de acción del sector de giros postales, no solo pasan por el trabajo que tendrán que adelantar con el regulador sectorial. En efecto, su cercanía con ciertos servicios financieros, desde el punto de vista de las alternativas de sustituibilidad del lado de la demanda, darán lugar a que entidades como la Superintendencia Financiera pueda definir regulación que afecte a los proveedores de giros postales al menos en lo que tiene que ver con reglas para combatir el lavado de activos.

De otra parte, la ventaja competitiva lograda por el sector de giros postales al tener una red capilaridad de red muy amplia y difícil de replicar, puede llevar a que los reguladores del sector postal y financiero, puedan generar obligaciones de compartición de elementos de esa red con el objeto de generar equilibrios en los dos sectores. Esa compartición puede tomar la forma de compartición de todos o algunos de los componentes de la red o incluso de obligaciones de comercialización de dichos componentes.

• Ø El factor precio parece irrelevante conforme los niveles de comisiones.

Existe el riesgo que la posible alta concentración en el segmento de giros postales nacionales se refleje en tarifas más elevadas para los usuarios. En consecuencia, se debe hacer una revisión preliminar de los precios que están pagando los usuarios por el envío de dinero a través de las redes de giros postales.

Líneas arriba se hizo referencia a la posibilidad de regulación de precios minoristas, lo que se confirma con estas posibles líneas de acción que describió así el regulador. Ahora, los actores del sector tendrán que abordar este reto y demostrar que si bien puede haber indicadores y determinantes de concentración, las tarifas que a título de comisión cobran a sus usuarios, están soportadas en costos más una utilidad razonable y por consiguiente, no son elevadas. La demostración de lo contrario, puede dar lugar a que derivado de la construcción de un modelo de costos de referencia, se llegue a implementar regulación de topes tarifarios a nivel minorista.