CONCEPTO 514308 DE 2019
(junio 17)
<Fuente: Archivo interno entidad emisora>
COMISIÓN DE REGULACIÓN DE COMUNICACIONES
REF. Solicitud de concepto - Resolución 5569 del 2018.
La Comisión de Regulación de Comunicaciones (CRC) recibió su comunicación con radicado 2019301430, mediante la cual solicita se emita un concepto acerca del reporte de incidentes de seguridad de la información implementado en el artículo 5.1.2.3 del Capítulo 1 del Título V de la Resolución CRC 5050 de 2016 con ocasión de la Resolución CRC 5069 de 2018.
I. Alcance del presente pronunciamiento.
Antes de referirnos a su consulta, debe aclararse que la CRC, al rendir conceptos, lo hace de conformidad con lo dispuesto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, y según las competencias y facultades que le han sido otorgadas por el ordenamiento jurídico vigente, en particular, lo previsto en la Ley 1341 de 2009 y la legislación complementaria. De este modo, el alcance del pronunciamiento solicitado tendrá las consecuencias que la normatividad le otorga a los conceptos rendidos por las autoridades administrativas.
II. Respuesta a los interrogantes planteados.
A continuación, la CRC procede a pronunciase respecto de cada uno de los interrogantes planteados en su comunicación.
1. Frente a la necesidad de registrar los incidentes de seguridad digital
1.1. "¿debe registrar los incidentes de seguridad relacionados con Clientes y recopilar su información que generalmente es de contenido confidencial (Contratos de confidencialidad), así como reportarla de acuerdo a la tabla 5.2.3.2 de la Resolución 5569
CRC/ En primer lugar le aclaramos que el ámbito de aplicación citado en su comunicación corresponde al Régimen de Protección de los Derechos de los Usuarios de Servicios de Comunicaciones, contenido en la Resolución 5111 del 2017 y compilado en el Capítulo 1 del Título II de la Resolución CRC 5050 de 2016.
No obstante lo anterior, el Régimen de Calidad de los Servicios de Telecomunicaciones, contenido en el Título V de la referida Resolución 5050, consagra que el mismo "no es aplicable a los planes corporativos suscritos con medianas o grandes empresas, en los que las características del servicio y de la red, así como la totalidad de las condiciones, técnicas, económicas y jurídicas han sido negociadas y pactadas de mutuo acuerdo entre las partes del contrato, siempre que tal inaplicación sea estipulada expresamente en el respectivo contrato".
Ahora bien, pese a la existencia de esta excepción de aplicación del Régimen de Calidad, la misma no implica que los proveedores de servicios de telecomunicaciones que celebren contratos cobijados por la misma no deban reportar la información a la CRC asociada a los elementos de red utilizados para la prestación de sus servicios. En tanto expresamente el artículo 5.1.1.1 de la norma en mención dispone que "En todo caso, dicha excepción no exime al PRST de reportar los indicadores asociados a los elementos de red utilizados para la prestación del servicio a sus usuarios que hacen parte de los planes corporativos".
Ahora bien, Si un proveedor manifiesta que no es viable reportar la información de acuerdo con la tabla del numeral 5.2.3.2 de la resolución CRC 5050 de 2016, en cuanto no es viable identificar el número de usuarios afectados, y si dicho operador actuará únicamente como comercializador de los servicios, en dicho caso es viable que en el campo de potenciales usuarios afectados se reporte el número de "accesos" potencialmente involucrados, de la misma forma en que se reporta para el formato 1.5 "Acceso Fijo a Internet", Formato este que ya es aplicado por el proveedor que solicito esta concepto.
Por último, frente al carácter reservado o confidencial de la información que usted debe reportar, le aclaramos que, para que esta pueda ser tenida como tal en los términos del artículo 28 de la Ley 1712 de 2014, es necesario que el remitente demuestre que dicha información: (i) está relacionada con un objetivo constitucional o legalmente legítimo; (ii) se trata de alguna de las excepciones contenidas en los artículos 18[1] y 19[2] de la Ley 1712 de 2014; y (iii) de ser revelada, podría causar un daño presente, probable y específico que excede el Interés público que representa el acceso a la información.
Adicional a lo anterior, es de aclarar que la Información requerida en el reporte asociado al numeral 5.2.3.2 de la Resolución CRC 5050 de 2016 no Involucra información de las condiciones pactadas en los contratos, sino a los incidentes de seguridad de la Información que sucedan en la red de la cual usted es responsable, asimismo en dicho reporte no se solicita ninguna Información que conlleve a identificar a sus clientes corporativos.
En los anteriores términos damos respuesta a su consulta y quedamos atentos a cualquier Información adicional que requiera.
Cordial Saludo,
MARIANA SARMIENTO ARGÜELLO
Coordinadora de Relacionamiento con Agentes
1. Artículo 18 de la Ley 1712 de 2014: "INFORMACIÓN EXCEPTUADA POR DAÑO DE DERECHOS A PERSONAS NATURALES O JURÍDICAS. Es toda aquella información pública clasificada, cuyo acceso podrá ser rechazado o denegado de manera motivada y por escrito, siempre que el acceso pudiere causar un daño a los siguientes derechos:
a) El derecho de toda persona a la intimidad, bajo las limitaciones propias que Impone la condición de servidor público, en concordancia con lo estipulado por el artículo 24 de la Ley 1437 de 2011.
b) El derecho de toda persona a la vida, la salud o la seguridad.
c) Los secretos comerciales, industriales y profesionales (...)".
2. Artículo 19 de la Ley 1712 de 2014: "INFORMACIÓN EXCEPTUADA POR DAÑO A LOS INTERESES PÚBLICOS. Es toda aquella información pública reservada, cuyo acceso podrá ser rechazado o denegado de manera motivada y por escrito en las siguientes circunstancias, siempre que dicho acceso estuviere expresamente prohibido por una norma legal o constitucional:
a) La defensa y seguridad nacional;
b) La seguridad pública;
c) Las relaciones Internacionales;
d) La prevención, Investigación y persecución de los delitos y las faltas disciplinarlas, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso;
e) El debido proceso y la Igualdad de las partes en los procesos judiciales;
f) La administración efectiva de la justicia;
g) Los derechos de la Infancia y la adolescencia;
h) La estabilidad macroeconómica y financiera del país;
I) La salud pública.
PARÁGRAFO. Se exceptúan también los documentos que contengan las opiniones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos".
