Los servicios móviles de quinta generación (5G) introducen en el entorno una gama relevante de nuevos servicios y aplicaciones, potenciados por su alta velocidad de conexión y baja latencia. Por su ampliada capacidad, 5G permitirá el avance de otras tecnologías asociadas, como la realidad virtual, las casas y las ciudades inteligentes, la conducción autónoma, y la tecnología cloud, entre otras[1].
El despliegue de estos nuevos servicios y aplicaciones puestos a disposición del público involucrará una penetración mayor de las TIC en todas las áreas en que los individuos se desarrollan y relacionan, incluido el Estado, el comercio, las fuerzas armadas, la academia, entre otros. Se estima incluso que una multiplicidad de servicios críticos serán soportados en redes que implementen tecnología 5G; dependencia que generará que cualquier problema en esas redes tenga consecuencias graves y, hasta ahora, incalculables[2].
La Subsecretaría de Telecomunicaciones (Subtel) ha iniciado el proceso que llevará a la implementación de la tecnología 5G en Chile. El primer hito ha sido el lanzamiento de una consulta pública que busca que los interesados expresen sus comentarios en diversos puntos, incluyendo calidad del servicio, ciberseguridad, Internet de las Cosas o IoT, y datos personales.
Los tópicos de la consulta realizada por la Subtel no son baladíes, pues es sabido que la implementación de la tecnología 5G supondrá nuevos servicios y aplicaciones que pueden potenciar la generación de afectaciones a los derechos de los ciudadanos, incluyendo las garantías constitucionales relativas a la vida privada y la protección de sus datos personales. En este contexto, es posible advertir la tensión que se producirá al tener, por un lado, una tecnología cuyo valor se origina por la capacidad de capturar y procesar mucha información a través de una multiplicidad de dispositivos y técnicas de Big Data, y por otro, los derechos que los usuarios tienen respecto del tratamiento de sus datos personales y su vida privada.
Por lo anterior, es vital que en Chile se abra el debate respecto de lo que esta tecnología va a implicar para la privacidad de los usuarios y el tratamiento de sus datos personales, y, en consecuencia, se tomen las medidas de resguardo necesarias para mitigar los riesgos.
La protección de los datos personales fue reconocida en Chile como una garantía constitucional el año 2018, la que consagró en artículo 19 número 4 de la Constitución Política (que ya resguardaba la garantía del respeto y protección a la vida privada), lo siguiente: “La Constitución asegura a todas las personas:(…) 4.- El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley;”.
Por su parte, la Ley N° 19.628 sobre Protección de la Vida Privada que regula el tratamiento de datos personales en Chile, establece dos bases de licitud para el tratamiento de datos: el consentimiento del titular de los datos, y la ley. Es de amplio conocimiento que, al día de hoy, esta ley se ha visto superada por el avance tecnológico y las nuevas formas de tratamiento de datos y, en ese contexto, se discute hoy en el Congreso Nacional el proyecto de ley sobre datos personales que establece una nueva regulación de estructura similar al Reglamento Europeo de Protección de Datos o GDPR.
Desde la normativa sectorial de telecomunicaciones, existen resguardos a la confidencialidad e integridad de la información mediante la tipificación establecida en el artículo 36B letras b y c de la Ley N° 18.168 General de Telecomunicaciones[3].
De acuerdo con diversas publicaciones, las siguientes serían las principales afectaciones que a nivel de privacidad y protección de datos personales supondría la implementación de la tecnología 5G:
i. La implementación de la tecnología 5G involucrará mayor disponibilidad y almacenamiento de datos de geolocalización de los usuarios[4]
La tecnología 5G requerirá una mayor cantidad de antenas celulares en consideración a que sus señales tienen un rango de señal menor que el de otras tecnologías. La proliferación de estas antenas haría susceptible la obtención de datos de geolocalización más precisos del usuario, resultando en una afectación a su privacidad.
Los datos de geolocalización de un usuario son en Chile un dato personal en la medida que estos sean relativos a una persona natural (usuario), identificada o identificable. Por su parte, el proyecto de ley sobre datos personales establece dentro de su normativa un artículo específico sobre esta clase de datos, requiriendo informar al titular de manera clara, suficiente y oportuna, del tipo de datos de geolocalización que serán tratados, de la finalidad y duración del tratamiento y si los datos se comunicarán o cederán a un tercero para la prestación de un servicio con valor añadido.
ii. La implementación de la tecnología 5G puede involucrar riesgos a la privacidad de los datos de los usuarios derivados de ambientes compartidos
En redes 5G, los recursos de la red son virtualizados y la misma infraestructura es compartida entre diferentes servicios de red y competidores. Según señalan algunos autores[5], estos ambientes compartidos pueden generar condiciones más favorables para el acceso no autorizado a datos personales de los usuarios.
iii. La implementación de la tecnología 5G puede involucrar riesgos a la privacidad de los usuarios derivada de mayor dependencia de las redes 5G en la tecnología cloud
iv. La implementación de la tecnología 5G puede involucrar riesgos a la privacidad de los usuarios asociados al hecho que esta tecnología masificará exponencialmente la utilización de dispositivos IoT, los que son comúnmente susceptibles de contener vulnerabilidades de software.
La combinación de estos elementos -5G e IoT- generará una producción mucho mayor de datos personales de los usuarios de estos dispositivos, en áreas que hasta ahora habían sido ajenas a la digitalización. El almacenamiento y procesamiento de esta información puede generar riesgos a la privacidad del usuario que hasta ahora no estaban disponibles.
Por lo demás, la ciberseguridad de los dispositivos IoT ha sido tema de preocupación en los últimos años, y diversas iniciativas han hecho eco de esta situación[6]. Ejemplos concretos a nivel comparado se vinculan a iniciativas legislativas en Estados Unidos que abordan el hecho de que existen múltiples dispositivos IoT en el mercado cuyas vulnerabilidades de software pueden, entre otras cosas, otorgar acceso no autorizado a información de carácter sensible o datos personales, y que, por lo tanto, se deben tomar medidas que corrijan esta situación, incluyendo la no utilización de dispositivos IoT vulnerables, o la obligación de los fabricantes a hacerlos más seguros.
Bajo este escenario, los siguientes puntos pueden ser mecanismos útiles para mitigar en Chile los riesgos descritos:
i. Se debe modificar la normativa que regula el tratamiento de datos personales en Chile avanzando con la aprobación del proyecto de ley que modifica la actual Ley N° 19.628 sobre Protección de la Vida Privada.
La normativa actual es deficiente en la protección de los datos personales de los usuarios, no incluye una autoridad supervisora, y no establece un catálogo sensato de bases de licitud para que las empresas puedan tratar datos personales acorde al marco regulatorio.
ii. Se deben evaluar mejoras a nivel regulatorio que sean específicas para las empresas de telecomunicaciones, estableciendo parámetros mínimos a nivel técnico y organizacional que deban cumplir los operadores de forma que otorguen garantías en la protección de los derechos de los titulares de datos personales, incluyendo medidas estrictas en confidencialidad de la información[7].
Estos parámetros deben considerar múltiples aristas, como las características del operador, su origen, o la influencia que las autoridades de un tercer Estado puedan tener sobre él, su gobierno corporativo, etc. También se debe evaluar la aplicación de medidas técnicas concretas relativas a la protección de la privacidad de los usuarios, como, por ejemplo, privacidad por diseño, evaluaciones de impacto asociadas a privacidad y seguridad realizadas por terceros auditores, sistemas de nube híbrida, etc.
Por último, se debe incentivar a que las empresas de telecomunicaciones sean transparentes con sus usuarios en relación al origen de los componentes y software que puedan afectar o relacionarse con el nivel de seguridad de la tecnología 5G ofrecida y el tratamiento de sus datos personales, de acuerdo el estado del arte y las prácticas comerciales. Esta información debería ser en lenguaje claro y actualizado según sea prudente[8].
iii. Se debe promover la autorregulación en las industrias de telecomunicaciones nacionales.
A nivel de industria, los operadores de telecomunicaciones pueden generar principios y prácticas que reflejen consenso y que permitan las mejores prácticas en materia de protección a la privacidad de sus usuarios. Para esto, la industria podría tomar en consideración estándares generados por organizaciones de estandarización, como las que ha publicado el Instituto Europeo de Normas de Telecomunicaciones[9].
La autoridad debe promover la generación de prácticas de autorregulación que permitan adaptarse al vertiginoso cambio tecnológico. Hay diversas iniciativas en Chile que toman la autorregulación como herramienta que les permite ir más allá del mínimo exigido por ley, y así lograr una industria más desarrollada y susceptible de abordar situaciones que la norma no previó en su momento.
Citas
[1] Así lo establece la Unión Internacional de Telecomunicaciones en su informe “SettingtheScenefor 5G: Opportunities&Challenges (2018)”. Disponible en: https://www.itu.int/en/ITU-D/Documents/ITU_5G_REPORT-2018.pdf
[2] European Commission recommendation of 26.3.2019 Cybersecurity of 5G networks.Disponible en: https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks
[3 ]El artículo 36 B de la Ley N° 18.168 General de Telecomunicaciones establece: “Comete delito de acción pública: (…) b) El que maliciosamente interfiera, intercepte o interrumpa un servicio de telecomunicaciones, sufrirá la pena de presidio menor en cualquiera de sus grados y el comiso de los equipos e instalaciones; c) El que intercepte o capte maliciosamente o grave sin la debida autorización, cualquier tipo de señal que se emita a través de un servicio público de telecomunicaciones, será sancionado con la pena de presidio menor en su grado medio y multa de 50 a 5.000 UTM.”
[4] Véase: https://bgr.com/2019/02/28/5g-privacy-concerns-new-technology-interview/
[5] Liyanage, Madhusanka&Salo, Jukka&Braeken, An& Kumar, Tanesh&Seneviratne, Suranga&Ylianttila, Mika. (2018). 5G Privacy: Scenarios and Solutions. 10.1109/5GWF.2018.8516981.
[6] Véase: https://www.cnet.com/news/at-ces-security-risks-still-a-core-internet-of-things-fear/
[7] Esto va en línea con las Directivas de la Unión Europea 2002/20/EC y 2002/58/EC.
[8] Véase las recomendaciones de la conferencia internacional sobre seguridad de las redes 5G: https://www.vlada.cz/assets/media-centrum/aktualne/PRG_proposals_SP_1.pdf
[9] Hay otras organizaciones de estandarización relevantes como: 3GPP (3rd Generation Partnership Project), NGMN (Next Generation Mobile Networks), y ONF (Open Networking Foundation).
Artículos
opinión
ver todosBerton Moreno IP Law
Franco Abogados - Consultores Ambientales
Eskenazi Corp
Richards, Cardinal, Tützer, Zabala & Zaefferer