RECONOCIMIENTO DEL PRINCIPIO DE RESPONSABILIDAD DEMOSTRADA (ACCOUNTABILITY) EN EL RÉGIMEN DE PROTECCIÓN DE LOS USUARIOS DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES.

Por: Hector Urrea Ayala. ICT and Digital Transformation Advisor  (13/IX/2018)

El pasado 6 de septiembre de 2018 la Superintendencia de Industria y Comercio de Colombia (SIC) anunció la imposición de sanciones por un valor superior a los 6.600 millones de pesos colombianos a algunos proveedores de redes y servicios de telecomunicaciones (PRST) por incumplimiento en el deber de información y no garantizar la idoneidad del servicio de internet banda ancha en hogares. La multa está relacionada con la velocidad proporcionada a los usuarios y la falta de información al momento de la contratación y utilización del servicio, según indicó la SIC en un comunicado de prensa.

Estas sanciones se suman a otras multas millonarias que en el pasado la SIC ha impuesto a proveedores de redes y servicios de telecomunicaciones por incumplimientos del régimen de protección de usuarios. Ahora bien, con independencia de si las multas fueron justas tanto respecto de los hechos que las generaron como del valor de las mismas, es evidente que dichos proveedores han asumido impactantes consecuencias económicas, comerciales y de reputación como sujetos pasivos del ejercicio de la función de inspección, vigilancia y control de la SIC en materia del régimen de protección de usuarios.

Al respecto, es necesario cuestionarse si la imposición de multas cuantiosas garantiza una migración a una fase de mejor relacionamiento entre operadores vigilados y la autoridad en cabeza de la SIC y, además, si todo ello redunda en una mejor percepción y recepción de servicio del lado de los usuarios finales. Por ende, el interrogante que surge es si resulta conveniente para todos los actores de los mercados de servicios TICs que las multas crecientes sean el principal vehículo para conducir a los proveedores y a la SIC a una óptima protección de los derechos de los usuarios.

Algunos proveedores pueden haber adoptado mejores prácticas en el relacionamiento e intercambio de información, así como en el trámite de PRQs con sus usuarios, al tiempo que algunos otros probablemente estén interesados en adoptarlas con miras a una mejor garantía y protección de los derechos de los usuarios. Aun así, si el foco de la autoridad de inspección, vigilancia y control se llegare a limitar únicamente a investigar y encontrar una o más fallas para imponer una sanción, el esfuerzo de buscar un mejor relacionamiento con los clientes puede estar quedando sin efectos positivos.

Adicionalmente, la sanción económica junto con el efecto mediático que esto produce afecta el núcleo de la relación de confianza que debe existir entre proveedores y usuarios finales, así como entre aquellos y la autoridad. Si esto es así, las sanciones económicas pueden estar resquebrajando directa e indirectamente la credibilidad de los proveedores en detrimento también de la necesidad del sector TIC de contar con mayores inversiones, mayor acceso, conectividad y más servicios que respondan a la evolución tecnológica.

En consecuencia, se hace prioritario encontrar, reconocer e implementar nuevas políticas y medidas normativas que le permitan a los proveedores de redes y servicios de telecomunicaciones como a los de contenidos y aplicaciones, adoptar procesos internos relativos a la transparencia y claridad de la información, óptima prestación de los servicios, así como procesos de mejora en la atención de peticiones, quejas y reclamos de los usuarios que deriven en una adecuada gestión de los proveedores en busca de garantizar que al interior de las organizaciones, se cumpla con el régimen de protección de los derechos de los usuarios.

Una de esas medidas normativas es el reconocimiento del principio de responsabilidad demostrada (Accountability) para que sea aplicable al régimen de protección de usuarios de las Tecnologías de la Información y Comunicaciones. Se trata de hacer extensión del principio reconocido en el régimen legal de protección de datos y privacidad. En efecto, en virtud de la responsabilidad demostrada el responsable del tratamiento está llamado a implementar medidas dentro de la organización interna que le permitan comprometerse con incrementar sus estándares de protección para garantizarle a sus usuarios/clientes un tratamiento adecuado de su información personal. La adopción de esos estándares trae como consecuencia que la Superintendencia de Industria y Comercio deberá tenerlos en cuenta al momento de evaluar la imposición de una sanción, lo que en la práctica suele traducirse cuando menos en la inclusión de una variable de reducción de la multa en la fórmula de cálculo de la misma.

Lo anterior es de la mayor importancia porque le permite a los responsables demostrar a la autoridad su debida diligencia y máximo esfuerzo en el cumplimiento de las normas de protección de datos y privacidad no solo desde el punto de vista de contar con políticas internas sino principalmente desde la óptica de hacer una aplicación práctica de estas en la búsqueda de garantizar al máximo los derechos de los titulares de datos.

Así entonces, nada impide que esta misma lógica jurídica e ilustrativo antecedente de buenas prácticas que incluso encuentra respaldo en las recomendaciones de la OCDE, sea recogida frente al cumplimiento del régimen de protección de usuarios de las redes y servicios de telecomunicaciones y de los proveedores de contenidos y aplicaciones. Incluso su aplicación se puede extender a otros servicios públicos en los que el ejercicio de las competencias de la Superintendencia tenga lugar.

Justamente el momento actual es propicio porque el Gobierno Nacional, a través del Ministerio de las TICs, ha anunciado la presentación al Congreso de un proyecto de ley que busque reorganizar el marco institucional del sector y, en consecuencia, modificar la ley 1341 de 2009. Al tiempo, se está estructurando la ley del Plan Nacional para el próximo cuatrienio. Por consiguiente, tanto en uno como en otro instrumento jurídico es posible incluir el principio de responsabilidad demostrada con elementos tales como los siguientes:

  • Los proveedores de redes y servicios de telecomunicaciones (PRST) y los proveedores de contenidos y aplicaciones (PCA) responsables del régimen de protección de usuarios, deben garantizar el cumplimiento efectivo de las medidas que implementen para el efecto.
  • Tales proveedores deben estar preparados para demostrarle a la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, la implementación de medidas apropiadas y efectivas dentro de la organización para cumplir con las obligaciones del régimen de protección de usuarios establecido por la Comisión de Regulación de Comunicaciones (CRC).
  • La Superintendencia de Industria y Comercio (SIC) en su calidad de autoridad de inspección, vigilancia y control del régimen de protección de usuarios, deberá tener en cuenta la existencia de políticas y medidas adecuadas por parte de los responsables al momento de evaluar la imposición de una sanción.

Ahora, si los instrumentos legales no pudieran recoger una iniciativa en éste sentido, por vía de reglamentación también es posible buscar su inclusión dentro del ordenamiento legal. En ese caso, además de los elementos anteriores, el contenido reglamentario pudiera comprender que los proveedores de redes y servicios de telecomunicaciones, como los proveedores de contenidos y aplicaciones aseguren que:

  • En la organización exista una estructura administrativa que se desprenda de la alta dirección y que sea responsable de hacer cumplir el régimen de protección de usuarios. Dicha estructura debe ser proporcional al número de usuarios con los que cuenta el proveedor;
  • Que se adopten mecanismos internos para poner en práctica las políticas que incluyan herramientas de implementación, entrenamiento y programas de educación; y
  • La implementación de procedimientos internos que permitan demostrar que se da respuesta efectiva a las peticiones, quejas y reclamos de los usuarios.

Evidentemente el éxito en el reconocimiento del principio de responsabilidad demostrada está condicionado a que las organizaciones internas de los PRST y los PCA, identifiquen y adopten un programa integral de gestión del régimen de protección de los derechos de los usuarios.

Finalmente, lo hasta aquí propuesto requiere de un cambio de perspectiva y percepción entre la autoridad de control y los proveedores de productos y servicios dentro del sector de las tecnologías de la información y comunicación, para avanzar hacia un esquema de control menos fundamentado en el poder sancionatorio y por el contrario, más proclive a la construcción y desarrollo de mejores prácticas dentro de las estructuras internas de las organizaciones que permitan elevar los indicadores de cumplimiento de los diferentes derechos y garantías propios del régimen de protección de usuarios.