El objeto de la presente normativa es establecer las reglas que todas las empresas constituidas en el Perú que se encuentren, directa o indirectamente, bajo el control de Telefónica, S.A. (Empresas del Grupo Telefónica) deben observar en resguardo al derecho al secreto de las telecomunicaciones y a la protección de los datos personales de sus abonados y usuarios (“Información Protegida”). Para tal efecto, las Empresas del Grupo Telefónica deberán exigir el estricto cumplimiento de esta normativa y de las normas legales referidas en el anexo I de este documento a su personal y a los colaboradores que por la naturaleza de los servicios que prestan tengan acceso a la Información Protegida (todos ellos, los “Obligados”).

La Resolución Ministerial N° 111-2009-MTC/03 citada en el anexo 1 merece especial atención por cuanto contiene las medidas y procedimientos puntuales que cada área competente de las Empresas del Grupo Telefónica deberá implementar, según corresponda.

II.  Definición del secreto de las telecomunicaciones y de datos personales de los abonados y usuarios

Se entiende por secreto de las telecomunicaciones y datos personales de los abonados y usuarios lo siguiente:

A. Secreto de las telecomunicaciones (“Secreto de las Telecomunicaciones”):

Obligación de carácter constitucional en virtud de la cual las Empresas del Grupo Telefónica se encuentran obligadas a adoptar las medidas y procedimientos razonables para proteger la inviolabilidad de las comunicaciones que se cursen a través de sus redes de telecomunicaciones.

Para efectos de la presente normativa, se encuentran comprendidos dentro de la definición antes señalada:

- El contenido de cualquier comunicación, de voz o de datos, cursado a través de las redes de telecomunicaciones u otros medios que la tecnología permita.

- La ubicación en tiempo real de las celdas impactadas con el tráfico de determinada línea celular.

- Los mensajes de texto (SMS y MMS) entrantes y salientes.

- El origen, destino, realización, curso o duración de una comunicación.

- La información del tráfico de un abonado o usuario.

- Los datos codificados y decodificados de los registros de las llamadas.

- Los documentos, en soporte físico o magnético, y bases de datos que contengan la información referida anteriormente, así como aquéllos que fueran elaborados para la prestación de servicios públicos de distribución de radiodifusión por cable o de acceso a Internet.

- La información sobre facturación detallada, como por ejemplo: local tipo A (ciclos de facturación anteriores) o tipo B (ciclo de facturación previo).

- La información sobre facilidades técnicas –condiciones técnicas necesarias para la prestación del servicio– que puedan poner en riesgo la seguridad de la red telefónica, IP u otras redes de telecomunicaciones y la confiabilidad de la información del abonado, p.e.: disponibilidad de pares y de planta externa, software y hardware en centrales y capacidad en sistemas de red.

B. Datos personales de los abonados y usuarios (“Datos Personales de los Abonados y Usuarios”):

Cualquier información personal concerniente a personas identificadas o identificables que obtengan las Empresas del Grupo Telefónica de sus abonados y usuarios en el curso de sus operaciones comerciales y que se encuentre contenida en soportes físicos, informáticos o similares, tales como documentos privados y bases de datos.

Se encuentran comprendidos dentro de la definición antes señalada:

- Datos del abonado obtenidos por la contratación de servicios de telecomunicaciones u otros, tales como:

• Identificación del abonado, titularidad de la línea, código del cliente, servicios y equipos contratados, el número o dirección IP, titularidad de los nombres de usuario ("logins" o "users") y/o de las claves de acceso ("passwords") asociadas a un servicio determinado, la titularidad de las cuentas de correo electrónico y de cualesquiera servicios adicionales asociados a los servicios públicos de telecomunicaciones prestados por las Empresas del Grupo Telefónica.
• Histórico de pedidos tales como traslados, cambio de número, averías, boletines de reparación y hojas de visita, etc.
• Su ocupación, teléfonos de referencia, cuentas bancarias.
• Modalidad y comportamiento de pago: pagos, pagos anticipados, pagos a plazos, notificación de recibos pendientes, recibos de servicios telefónicos, otros comprobantes de pagos, grabaciones por gestiones de deuda, entre otros.
• Historial de suspensiones, cortes y reconexiones del servicio.
• Origen de la suspensión del servicio distinto a la falta de pago, que hubiera motivado la conexión o desconexión del servicio.
• Datos de reclamos, información del expediente y de los medios probatorios, el estado del reclamo (a un tercero ajeno al procedimiento), entrega del duplicado de recibo.
• Resultado del control de llamadas maliciosas gestionado por el abonado debido a la recepción de llamadas no deseadas.
• Definición de abonado en el contrato de concesión celebrado por Telefónica del Perú S.A.A. y el Estado peruano: “Usuario que ha celebrado un contrato de prestación de servicios de telecomunicaciones con una empresa explotadora de servicios públicos”. Se precisa que también se incluye en este concepto a los clientes del servicio pre-pago.

• ? Definición de usuario en el contrato de concesión celebrado por Telefónica del Perú S.A.A. y el Estado peruano: “Persona natural o jurídica que en forma eventual o permanente, tiene acceso a algún servicio público o privado de telecomunicaciones”.

- Otra información que ¬determine el Ministerio de Transportes y Comunicaciones (“MTC”).

Excepción: se exceptúa la información que pueda obtenerse en guías telefónicas, en otros medios como páginas web de la Superintendencia Nacional de Administración Tributaria y de la Superintendencia Nacional de Registros Públicos o que, en general, tenga carácter de información pública.

La lista precedente no es exhaustiva ni limitativa. Frente a cualquier supuesto que origine duda debe solicitarse el apoyo correspondiente al área o gerencia de regulación del respectivo negocio. Frente a supuestos no contemplados en esta normativa el área o gerencia de regulación consultada debe pedir opinión de la Secretaría General de Telefónica del Perú S.A.A.

III. Obligación general

En cumplimiento de esta normativa, las Empresas del Grupo Telefónica y los Obligados deben salvaguardar la Información Protegida y, por tanto, se encuentran impedidos de sustraer, interceptar, interferir, cambiar, alterar, desviar el curso, publicar, divulgar, utilizar, tratar de conocer o facilitar que un tercero realice dichas acciones o trate de conocer la existencia o el contenido de cualquier comunicación o de los medios que lo soportan o transmiten. Asimismo, se encuentran impedidos de entregar a terceros (incluidos cónyuges o familiares) la Información Protegida. Los impedimentos antes referidos regirán salvo las excepciones previstas en la legislación vigente.

IV. Aspectos generales

• Las Empresas del Grupo Telefónica se encuentran obligadas a proteger el derecho al Secreto de las Telecomunicaciones y mantener la confidencialidad de los Datos Personales de los Abonados y Usuarios conforme a los lineamientos establecidos en la presente normativa y en la legislación vigente.
  
  
• Los gerentes generales y demás directores y gerentes de las Empresas del Grupo Telefónica velarán por el efectivo cumplimiento de esta normativa.
  
  
• Los gerentes generales y demás directores y gerentes de las Empresas del Grupo Telefónica deberán informar a todo el personal que labore en sus respectivas empresas o áreas la obligación de proteger el Secreto de las Telecomunicaciones y los Datos Personales de los Abonados y Usuarios, responsabilizándose de que dicho personal tome conocimiento de la presente normativa, así como de aquellas normativas que correspondan al resguardo de la seguridad de la información en general.
  
  
• Las personas naturales o jurídicas que presten servicios a las Empresas del Grupo Telefónica y que por la naturaleza de los servicios que brindan tengan acceso a los Datos Personales de los Abonados y Usuarios y a aquella información protegida por el Secreto de las Telecomunicaciones deberán ser informadas de esta normativa y comprometerse a respetarla. Es responsabilidad de la gerencia o área gestora a quien beneficie esta contratación el conservar en sus archivos el cargo de recepción de la normativa por parte de dichas personas contratadas, así como verificar, si fuera el caso, que las mismas han celebrado los acuerdos de confidencialidad respectivos con su personal. Además, en caso dicha contratación se formalice a través de la Gerencia de Compras ésta deberá incluir la presente normativa como parte de los documentos que el proveedor debe suscribir en señal de conocimiento, conformidad y compromiso de cumplimiento.
  
  
• En concordancia con las definiciones del acápite II anterior, todo el personal que labora en las Empresas del Grupo Telefónica y los terceros a que se hace referencia en el literal anterior, se encuentran prohibidos de entregar o revelar a terceros la Información Protegida.
  
  
• Si en el transcurso de sus actividades los directivos, funcionarios o empleados de las Empresas del Grupo Telefónica encontraran alguna duda sobre la definición y aplicación de los conceptos “Secreto de las Telecomunicaciones” o “Datos Personales de los Abonados y Usuarios”, dichas personas se encuentran obligadas a consultar su alcance a la gerencia de regulación del negocio. Frente a supuestos no contemplados en esta normativa la gerencia de regulación consultada debe pedir opinión de la Secretaría General del Telefónica del Perú S.A.A.
  
  
• Todas las áreas de las Empresas del Grupo Telefónica (directivos, funcionarios y empleados) se encuentran obligadas a evaluar permanentemente puntos de riesgo en el manejo de la Información Protegida. Esta evaluación deberá realizarse respecto de los procesos, sistemas, accesos, ambientes y equipos, actuales y futuros. Las áreas vinculadas con operación de redes, manejo de sistemas, facturación y servicio al cliente establecerán procedimientos operativos internos para salvaguardar la Información Protegida, coordinando, lo que juzguen conveniente, con la Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A..
  
  
• La Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A.– directamente o a través de terceros– es la encargada de atender los requerimientos judiciales de levantamiento del Secreto de las Telecomunicaciones o de Datos Personales de los Abonados y Usuarios conforme a los establecido por la ley y según las pautas impartidas por la Secretaría General de Telefónica del Perú S.A.A. Ante cualquier duda en la atención de los referidos requerimientos, se deberá consultar con dicha Secretaría General.
  
  
• Las gerencias o áreas de atención al cliente de las Empresas del Grupo Telefónica – directamente o a través de terceros - serán las encargadas de atender las solicitudes formuladas por los propios abonados o usuarios respecto de su Información Protegida, según corresponda.
  
  
• Todas las áreas competentes de las Empresas del Grupo Telefónica se obligan a informar a las respectivas gerencias o áreas de regulación de los procedimientos, medidas, sistemas y responsables del resguardo de la Información Protegida, así como de sus modificaciones y actualizaciones en las oportunidades establecidas en esta normativa para cumplir con su debido registro antes las autoridades competentes.

• Las gerencias de recursos humanos de las Empresas del Grupo Telefónica deberán entregar a toda persona que ingrese a laborar o labore (incluyendo practicantes, jóvenes ejecutivos y cooperativistas) en alguna de las Empresas del Grupo Telefónica un ejemplar de la presente normativa, debiendo mantener en sus archivos una declaración en el sentido que cada persona ha revisado, conoce el contenido de la misma y se obliga a cumplirla.
  
  
• Los contratos de trabajo escritos que se celebren con personal de las Empresas del Grupo Telefónica, así como los contratos de servicios con locadores o terceros contratados, cuando corresponda, deberán contener cláusulas que obliguen a los trabajadores, locadores o terceros –según sea el caso– a proteger los Datos Personales de los Abonados y Usuarios, así como a salvaguardar la Información Protegida en los términos de la normativa vigente. Dichas cláusulas precisarán que esta obligación regirá aún después de extinguido el vínculo laboral o contractual, así como las consecuencias civiles y penales de su incumplimiento. En caso de contratos con personas jurídicas, se incluirá la obligación de éstas de celebrar acuerdos de confidencialidad con su personal en el mismo sentido.
  
  Las gerencias de recursos humanos de cada Empresa del Grupo Telefónica deberán supervisar el cumplimiento de esta obligación en lo que respecta a los contratos de trabajo. Cada gerencia, área o negocio que celebre contratos de servicios, obra, suministro u otros que por la naturaleza de sus prestaciones de alguna manera puedan poner en riesgo la Información Protegida deberán supervisar el cumplimiento de la obligación establecida en este literal.
  
  
• El incumplimiento de la obligación de salvaguardar la Información Protegida es considerado una falta grave laboral y es causal de terminación del contrato de trabajo. Ello sin perjuicio de las responsabilidades civiles y penales correspondientes y de las acciones legales que adoptará cada empresa.
  
  
• En coordinación con su gerencia de recursos humanos, el área de regulación de cada Empresa del Grupo Telefónica difundirá semestralmente (de preferencia los meses de abril y octubre de cada año) la presente normativa interna.
  
  
• Los trabajadores de las Empresas del Grupo Telefónica se encuentran obligados a informar a su jefe inmediato de cualquier incidencia que pudiera poner en riesgo la Información Protegida y éstos, a su vez, a la Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A.

Las Empresas del Grupo Telefónica que ofrecen servicios de telecomunicaciones se encuentran obligadas a brindar al MTC todas las facilidades necesarias para que éste cumpla con sus funciones de inspección y verificación sobre el cumplimiento de la obligación de salvaguardar el secreto de las telecomunicaciones y la protección de Datos Personales de los Abonados y Usuarios, permitiendo - entre otros: las visitas a sus locales, revisión de equipos y de elementos de planta externa, así como documentos vinculados con el objeto de la inspección, previa coordinación con el área de regulación respectiva y con la Dirección de Seguridad Corporativa..

Es obligación de las Empresas del Grupo Telefónica salvaguardar la Información Protegida, salvo que: (i) se cuente con el consentimiento previo, expreso y por escrito del abonado y demás partes involucradas, (ii) se cuente con una orden judicial específica notificada a la Empresa u otras excepciones establecidas en la ley.

Las Empresas del Grupo Telefónica que brindan servicios de telecomunicaciones deberán presentar al Ministerio de Transportes y Comunicaciones (“MTC”) y OSIPTEL un informe anual sobre las medidas y procedimientos establecidos para salvaguardar la Información Protegida (el “Informe”), a más tardar el 15 de febrero de cada año. Dicho Informe deberá contener los datos exigidos por la legislación vigente y, si corresponde, será materia de una actualización semestral de acuerdo a ley.

Para tal efecto, las gerencias de regulación de las Empresas del Grupo Telefónica solicitarán y consolidarán la información respectiva de todas las áreas de su negocio. Previa coordinación del Informe con la Dirección de Seguridad Corporativa y la Secretaría General de Telefónica del Perú S.A.A., éste será presentado al MTC y al OSIPTEL. Copia del Informe y de las respectivas actualizaciones presentados deberán ser remitidos a la Secretaría General de Telefónica del Perú S.A.A. y a la Dirección de Seguridad Corporativa.

Los cambios en la información relativa al personal responsable a cargo de la implementación y supervisión de las medidas y procedimientos adoptados para salvaguardar la Información Protegida deben ser comunicados por el área competente a la Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A. para su control, así como al área o gerencia de regulación al día hábil siguiente de producidos para que realice la comunicación respectiva a las autoridades, conforme con lo establecido en la legislación vigente.

Los cambios en la información relativa a las personas jurídicas y/o naturales, personal propio o de terceros que, por la naturaleza de sus funciones, tiene acceso a los ambientes en los que se encuentran instalados los sistemas de conmutación, sistemas de transmisión u otros, incluidos los de planta externa, que podrían ser empleados para vulnerar la Información Protegida, deben ser comunicados por el área competente a la Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A. para su control, así como al área o gerencia de regulación al día hábil siguiente de producidos para que realice la comunicación respectiva a las autoridades, conforme con lo establecido en la legislación vigente.

VII. Aspectos de seguridad

Las Empresas del Grupo Telefónica deberán considerar las recomendaciones y lineamientos que emita la Dirección de Seguridad Corporativa para realizar mejoras respecto a la seguridad física, infraestructura de red, seguridad de información y sistemas. De ser necesario, emitirán directivas de procedimientos adicionales y complementarios destinados a asegurar que sólo personal autorizado acceda a locales y sistemas con acceso restringido, así como informes sobre el cumplimiento de las medidas de resguardo que se hubieran comunicado al MTC y OSIPTEL. Los aspectos de seguridad antes referidos podrán ser ejecutados directamente por la Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A. a través de la contratación de empresas especializadas en estos servicios.

Las pautas generales de seguridad que deberán considerarse en la adopción de medidas y procedimientos son, entre otras: autenticación, control de acceso, no repudio, confidencialidad, integridad de los datos y alarma de seguridad.

Los gerentes generales y gerentes encargados de la administración de los recursos materiales de las Empresas del Grupo Telefónica deberán asegurarse de la implementación adecuada de las recomendaciones y lineamientos formulados por la Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A., supervisando que la adopción de medidas de seguridad física y lógica implementadas en los locales, equipos, instalaciones, redes informáticas y bienes en general en los que se custodie información vinculada con la Información Protegida, sean las más adecuadas y efectivas para dicho resguardo, para lo cual designarán un responsable por cada una de las Empresas del Grupo Telefónica.

Los responsables designados, junto con la Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A., así como con las gerencias de regulación de las Empresas del Grupo Telefónica, revisarán la necesidad de implementar nuevas medidas sobre la base del informe y de las recomendaciones, lineamientos y procedimientos adicionales emitidos o de reforzar las ya existentes.

La Dirección de Seguridad Corporativa de Telefónica del Perú S.A.A. impulsará que los negocios, en coordinación con la respectiva gerencia de regulación, cumplan con exponer semestralmente (mayo y noviembre de cada año) ante su Comité de Dirección, la situación de cumplimiento de la presente normativa, así como las mejoras implementadas, sin generar más documentación que la estrictamente necesaria para el uso restringido de los mandos de cada negocio.

VIII. Resguardo de la infraestructura de red

La(s) Dirección(es) que gestione(n) la operación y mantenimiento de las redes de telecomunicaciones ¬ o áreas equivalentes en las demás Empresas del Grupo Telefónica establecerán las medidas pertinentes para el resguardo de la planta externa y planta interna en todos aquellos componentes físicos y lógicos que pudieran facilitar la violación de la Información Protegida, teniendo en consideración la arquitectura y tecnología de las redes.

Para efecto de la presente normativa, se define como planta externa: conjunto de construcciones, cables, instalaciones, equipos y dispositivos que se ubican fuera de los edificios de la planta interna hasta el terminal de distribución. Será aérea, cuando los elementos que conforman la planta externa están fijados en postes o estructuras, y será subterránea, cuando los elementos que la conforman se instalan en canalizaciones, cámaras, ductos y conductos.

Por otro lado, se define como planta interna: conjunto de equipos e instalaciones que se ubican dentro de la edificación que alberga la central, cabecera o nodo del servicio de telecomunicaciones. Incluye los equipos de los sistemas de conmutación, sistemas de transmisión y sistemas informáticos (bases de datos, aplicativos, procesos).

Deberá limitarse el acceso a los sistemas de conmutación, control de tráfico y, en general, a todos los sistemas y plataformas que conforman la red de telecomunicaciones, a aquel personal, propio o contratado, autorizado para tal fin.

En función a las redes que posea cada Empresa del Grupo Telefónica, las medidas a adoptarse deberán cumplir como mínimo los estándares establecidos en:

- Norma Técnica Peruana NTP-ISO/IEC1779-2007EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de Seguridad de la Información emitido por la Comisión de Reglamentos Técnicos y Comerciales del INDECOPI;

- Recomendación E.408 de la Unión Internacional de Telecomunicaciones referida a “Requisitos de Seguridad para las Redes de Telecomunicaciones”y;

- Manual sobre “La seguridad de las telecomunicaciones y las tecnologías de la información” de la Unión Internacional de Telecomunicaciones, edición 2006 y versiones actualizadas.

Las medidas y procedimientos razonables a adoptarse en función a las redes, tanto en planta interna como externa, serán:

- controles de acceso para personal autorizado en puertas internas y externas;

- identificación de personal autorizado con niveles de acceso, y;

- contar con manual interno de procedimientos de seguridad que sea de conocimiento del personal.

Las medidas mínimas de seguridad en la planta externa serán aplicables a: los armarios, cajas de distribución, cámaras, repartidores principales y estaciones bases.

Las medidas mínimas de seguridad en la planta interna serán aplicables a: los sistemas de conmutación y transmisión.

Monitoreos: deberán realizarse monitoreos observando las disposiciones legales vigentes. Para la planta externa, dichos monitoreos se realizarán sobre muestras. Se deberán mantener registros de todos los monitoreos, los mismos que deberán estar a disposición el MTC en caso de supervisión.

Cada Empresa del Grupo Telefónica, según corresponda, estará facultada a fiscalizar al personal de terceras empresas contratadas para la operación y mantenimiento de sus redes con la finalidad de verificar la correcta ejecución de las labores que se les hubiera encomendado.

IX. Resguardo de los sistemas y bases de datos

La Dirección o áreas encargadas de los sistemas informáticos (Facturación, Centros de Cobro, Soporte Comercial y Atención al Cliente) de Telefónica del Perú S.A.A. o sus equivalentes en las demás Empresas del Grupo Telefónica establecerán las medidas de seguridad pertinentes en los sistemas de información para salvaguardar la Información Protegida.

Se entiende por sistemas de información al conjunto de equipos, sistemas informáticos (bases de datos, aplicativos, procesos, etc.) y enlaces de comunicaciones destinados a registrar, almacenar, procesar y distribuir información de los usuarios.

Los equipos informáticos utilizados para los procesos de facturación, tasación, base de datos, entre otros, contarán con contraseñas de acceso, firewalls, software de detección y reparación de virus y software de protección contra códigos maliciosos.

Asimismo, las respectivas áreas o gerencias de sistemas de información brindarán e implementarán los recursos técnicos que garanticen la seguridad de los medios informáticos, accesos, bases de datos, conexiones de red, de computadoras y otros medios electrónicos en sus componentes de hardware y software a través de los cuales se pudiera violar la Información Protegida.

X. Aspectos contractuales

Los contratos que se celebren con personas jurídicas o naturales que por su naturaleza impliquen acceso a Información Protegida, deberán contener cláusulas que obliguen a dichas personas a proteger la información y las hagan responsables frente a las Empresas del Grupo Telefónica por cualquier daño que el incumplimiento genere, lo cual puede ser causal de resolución del contrato o la aplicación de penalidades. Asimismo, en dichos contratos se mencionará expresamente que dichas personas han recibido la normativa, han tomado conocimiento de la misma y se obligan a respetarla. Adicionalmente, de ser el caso, los contratos obligarán a dichas personas jurídicas a celebrar con su personal acuerdos de confidencialidad en igual sentido.

XI. Vigencia

La presente normativa entra en vigor a partir del día de su aprobación por cada Empresa del Grupo Telefónica y deja sin efecto la versión anterior de la misma, que fuera aprobada con fecha 16 de febrero de 2009.

XII. Aprobación

Aprobado en la ciudad de Lima el 2 de diciembre de 2010.

Javier Manzanares Gutiérrez
Presidente
Telefónica del Perú S.A.A.

Julia María Morales Valentín
Secretaria General
Telefónica del Perú S.A.A.

Mariano Rodríguez Gómez
Director de Seguridad Corporativa
Telefónica del Perú S.A.A.

Hortencia Rozas Olivera
Directora de Regulación
Telefónica del Perú S.A.A.

1. Se entiende por comunicación a cualquier forma de transmisión del contenido del pensamiento o de una forma objetivada de éste (artículo 2 de la Ley 27697).

Todo el personal que labora en las Empresas del Grupo Telefónica debe conocer que las empresas que operan en el sector de las telecomunicaciones están obligadas a preservar el Secreto de las Telecomunicaciones y los Datos Personales de los Abonados y Usuarios de conformidad con las siguientes normas legales:

1. Constitución Política del Perú

“Artículo 2.- Toda persona tiene derecho (...)

Inciso 10: Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados. Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen (...)

Inciso 6: A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar (...)

Inciso 7: Al honor y a la buena reputación, a la intimidad personal y familiar (...);”

2. Artículos 161 y 162 del Código Penal

VIOLACIÓN DE LA CORRESPONDENCIA

“Artículo 161°.- El que abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga, que no le esté dirigido, o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado, será reprimido con pena privativa de libertad no mayor de dos años y con sesenta a noventa días – multa.”

INTERFERENCIA TELEFÓNICA

“Artículo 162°.- El que, indebidamente, interfiere o escucha una conversación telefónica o similar será reprimido con pena privativa de libertad no menor de uno ni mayor de tres años. (...).”

3. Artículos 4 y 87 del Texto Único Ordenado de la Ley de Telecomunicaciones aprobado por Decreto Supremo 013-93-TCC

“Artículo 4.- Toda persona tiene derecho a la inviolabilidad y al secreto de las telecomunicaciones. El Ministerio de Transportes, Comunicaciones, Vivienda y Construcción se encarga de proteger este derecho.”

“Artículo 87.- Constituyen infracciones muy graves: (...)
4) La interceptación o interferencia no autorizadas de los servicios de telecomunicaciones no destinados al uso libre del público en general.
5) La divulgación de la existencia o del contenido, o la publicación o cualquier otro uso de toda clase de información obtenida mediante la interceptación o interferencia de los servicios de telecomunicaciones no destinados al uso público general (...) ”

4. Artículo 2 de la Ley 27697

“Artículo 2° .- Normas sobre recolección, control de comunicaciones y sanción
1.- Se entiende por “Comunicación” a cualquier forma de transmisión del contenido del pensamiento, o de una forma objetivada de éste, por cualquier medio. Para efectos de este Ley, no interesa que el proceso de transmisión de la comunicación se haya iniciado o no.
2.- Se entiende por “medio” al soporte material o energético en el cual se porta o se transmite la comunicación. Para efectos de esta Ley tiene el mismo régimen que la comunicación misma...”

5. Artículos 13, 258, 261 y Cuarta Disposición Complementaria Final del Texto Único Ordenado del Reglamento General de la Ley de Telecomunicaciones – Decreto Supremo 020-2007-MTC

"Artículo 13°.- Se atenta contra la inviolabilidad y el secreto de las telecomunicaciones, cuando deliberadamente una persona que no es quien origina ni es el destinatario de la comunicación, sustrae, intercepta, interfiere, cambia o altera su texto, desvía su curso, publica, divulga, utiliza, trata de conocer o facilitar que él mismo u otra persona, conozca la existencia o el contenido de cualquier comunicación.
Las personas que en razón de su función tienen conocimiento o acceso al contenido de una comunicación cursada a través de los servicios públicos de telecomunicaciones, están obligadas a preservar la inviolabilidad y el secreto de la misma.
Los concesionarios de servicios públicos de telecomunicaciones, están obligados a salvaguardar el secreto de las telecomunicaciones y la protección de datos personales, adoptar las medidas y procedimientos razonables para garantizar la inviolabilidad y el secreto de las comunicaciones cursadas a través de tales servicios, así como mantener la confidencialidad de la información personal relativa a sus usuarios que se obtenga en el curso de sus negocios, salvo consentimiento previo, expreso y por escrito de sus usuarios y demás partes involucradas o por mandato judicial.
Los titulares de servicios públicos privados de telecomunicaciones deberán adoptar sus propias medidas de seguridad sobre inviolabilidad y secreto de las telecomunicaciones.
El Ministerio podrá emitir las disposiciones que sean necesarias para precisar los alcances del presente artículo.”

Artículo 258°.- Infracciones muy graves
Constituyen infracciones muy graves, además de las tipificadas en el artículo 87° de la Ley, las siguientes:
1. El incumplimiento de las obligaciones de los operadores de servicios públicos de telecomunicaciones para salvaguardar la inviolabilidad y el secreto de las telecomunicaciones, así como las protección de datos personales, conforme a la normativa que regulan estas obligaciones.
(...)”

“Artículo 261°.- Alcances de las infracciones graves
A efectos de la aplicación del artículo 88° de la Ley, precísese que:
(...)
4. Se considerará como negativa a facilitar información relacionada con el servicio, a que se refiere el numeral 10, en relación a las obligaciones de salvaguardar la inviolabilidad y el secreto de las telecomunicaciones y la protección de datos personales:
a) No presentar al Ministerio la información prevista en la normativa dentro del plazo fijado.
b) Presentar la información a que se refiere el literal precedente de manera incompleta, siempre que no cumpliera con subsanar la omisión en el plazo otorgado por el Ministerio.
c) No presentar al Ministerio las modificaciones que se produzcan en relación a la información alcanzada dentro de los plazos previstos en la normativa.
d) Presentar la información de los referidos cambios de manera incompleta; siempre que no cumpliera con subsanar la omisión dentro del plazo otorgado por el Ministerio.
(...)”

“Cuarta Disposición Complementaria Final.- Alcances de la obligación de salvaguardar el secreto de las telecomunicaciones y la protección de datos personales
La obligación de salvaguardar el secreto de las telecomunicaciones y la protección de datos personales a que se refiere el artículo 13 se aplica a los prestadores de servicios de valor añadido en los casos que corresponda.”

6. Resolución Ministerial No. 111-2009-MTC/03: Norma que establece medidas destinadas a salvaguardar el derecho a la inviolabilidad y el secreto de las telecomunicaciones y la protección de datos personales, y regula las acciones de supervisión y control a cargo del Ministerio de Transportes y Comunicaciones

“1. FINALIDAD
Establecer las medidas que adoptarán los Operadores de Servicios Públicos de Telecomunicaciones, destinadas a salvaguardar el derecho a la inviolabilidad y al secreto de las telecomunicaciones y la protección de datos personales de los abonados y/o usuarios en la prestación de sus servicios; así como las disposiciones que regulan el ejercicio de las facultades de supervisión y control atribuidas al Ministerio de Transportes y Comunicaciones.

2. BASE LEGAL
a. Texto Único Ordenado de la Ley de Telecomunicaciones, aprobado por Decreto Supremo Nº 013-93-TCC.
b. Texto Único Ordenado del Reglamento General de la Ley de Telecomunicaciones, aprobado por Decreto Supremo Nº 020-2007-MTC.
c. Reglamento de Organización y Funciones del Ministerio de Transportes y Comunicaciones, aprobado por Decreto Supremo Nº 021-2007-MTC.

3. ALCANCE
La presente Norma es de aplicación a las personas naturales y jurídicas que prestan servicios públicos de telecomunicaciones.
Cuando un Operador de Servicios Públicos de Telecomunicaciones financiado por el Fondo de Inversión en Telecomunicaciones - FITEL, haga uso de los servicios de transmisión de voz y/o datos de un operador de servicio privado de telecomunicaciones; la responsabilidad de salvaguardar el secreto de las telecomunicaciones y la protección de datos personales recaerá sobre el Operador del Servicio Público de Telecomunicaciones.
Para los operadores que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable o servicios convergentes de telefonía fija y/o acceso a Internet, la presente Norma se aplicará únicamente en lo concerniente a la protección de datos personales.

4. REFERENCIAS
Para efectos de la presente norma, entiéndase por:
Dirección General de Control: Dirección General de Control y Supervisión de Comunicaciones.
Ley de Telecomunicaciones: Texto Único Ordenado de la Ley de Telecomunicaciones.
Ministerio: Ministerio de Transportes y Comunicaciones.
Reglamento de la Ley: Texto Único Ordenado del Reglamento General de la Ley de Telecomunicaciones.
Asimismo, cuando se haga referencia a un artículo o a un numeral sin indicar el dispositivo al cual pertenece, se entenderá referido a la presente norma.

5. DEFINICIONES
Para efectos de la presente norma, se aplicarán las siguientes definiciones:
Cámara: Estructura subterránea, donde se realizan empalmes y la distribución de cables de la red de telecomunicaciones.
Operador de Telecomunicaciones: Persona natural o jurídica que cuenta con concesión o registro otorgado por el Ministerio para prestar servicios públicos de telecomunicaciones.
Planta externa: Conjunto de construcciones, cables, instalaciones, equipos y dispositivos que se ubican fuera de los edificios de la planta interna hasta el terminal de distribución. Será aérea, cuando los elementos que conforman la planta externa están fijados en postes o estructuras, y será subterránea, cuando los elementos que la conforman se instalan en canalizaciones, cámaras, ductos y conductos.
Planta interna: Conjunto de equipos e instalaciones que se ubican dentro de la edificación que alberga la central, cabecera o nodo del servicio de telecomunicaciones. Incluye los equipos de los sistemas de conmutación, sistemas de transmisión y sistemas informáticos (bases de datos, aplicativos, procesos).
Protección de datos personales: Se entiende como protección de datos personales a la obligación de los Operadores de Telecomunicaciones de adoptar las medidas necesarias, a fin de que la información personal que obtengan de sus abonados o usuarios en el curso de sus operaciones comerciales, no sea obtenida por terceros, salvo las excepciones previstas en el numeral 8.
Red Pública de Telecomunicaciones: Red o sistema de telecomunicaciones establecido y explotado por una o más empresas, con la finalidad específica de ofrecer servicios de telecomunicaciones al público.
Secreto de las telecomunicaciones: Se entiende como secreto de las telecomunicaciones al derecho fundamental de toda persona, a que sus comunicaciones no sean vulneradas y que genera la obligación a cargo de los Operadores de Telecomunicaciones de adoptar las medidas y procedimientos razonables para garantizar la inviolabilidad de las comunicaciones que se cursen a través de sus redes.
Servicios Públicos de Telecomunicaciones: Servicios declarados como tales por el Reglamento de la Ley, cuyo uso está a disposición del público en general a cambio de una contraprestación tarifaria, sin discriminación alguna, dentro de las posibilidades de oferta técnica que ofrecen los operadores.

6. ÁMBITO DE PROTECCIÓN
La protección del derecho a la inviolabilidad y al secreto de las telecomunicaciones y a la protección de datos personales, comprende, entre otros aspectos, los siguientes:
- El contenido de cualquier comunicación, de voz o de datos, cursado a través de las redes de telecomunicaciones u otros medios que la tecnología permita.
- Los mensajes de texto (SMS) y multimedia (MMS), entrantes y salientes.
- El origen, destino, realización, curso o duración de una comunicación.
- La información del tráfico de un abonado o usuario.
- Los datos codificados y decodificados de los registros de las llamadas.
- Los documentos, en soporte físico o magnético, y bases de datos que contengan la información referida anteriormente, así como aquellos que fueran elaborados para la prestación de los servicios públicos de distribución de radiodifusión por cable o de acceso a Internet.
- La información personal que los Operadores de Telecomunicaciones obtengan de sus abonados y usuarios en el curso de sus operaciones comerciales y que se encuentre contenida en soportes físicos, informáticos o similares, tales como documentos privados y bases de datos, en tanto el usuario o abonado no haya autorizado su difusión o esté permitida por el marco legal vigente.
- Los pagos, tales como el pago anticipado, pago a plazos y notificación de recibos pendientes, entre otros.
- La información referida al origen de la suspensión del servicio, distinto a la falta de pago, que hubiera motivado o generado la conexión o desconexión del servicio.
- Otros que se determine mediante Resolución Viceministerial.
Se exceptúa del ámbito de aplicación de la presente Norma, los supuestos previstos en la legislación vigente, referidos a cualquiera de los aspectos detallados en el presente numeral.

7. DE LA VULNERACIÓN DEL DERECHO A LA INVIOLABILIDAD Y AL SECRETO DE LAS TELECOMUNICACIONES
Se atenta contra el derecho a la inviolabilidad y al secreto de las telecomunicaciones, cuando deliberadamente una persona que no es quien origina ni es el destinatario de la comunicación, sustrae, intercepta, interfiere, cambia o altera su texto, desvía su curso, publica, divulga, utiliza, trata de conocer o facilitar que él mismo u otra persona, conozca la existencia o el contenido de cualquier comunicación, salvo las excepciones previstas en la legislación vigente.

8. DE LA VULNERACIÓN A LA PROTECCIÓN DE DATOS PERSONALES
Se atenta contra la protección de la información personal relativa a los abonados o usuarios cuando ésta es entregada a terceros, salvo las excepciones previstas en la legislación vigente.
La obligación de protección a que se refiere el párrafo precedente, no incluye la información que los Operadores de Telecomunicaciones deben incluir en las guías de abonados que publiquen, según corresponda.
Asimismo, no constituye vulneración a la protección de datos personales, la entrega de información personal de los usuarios o abonados a terceros que participen en la gestión comercial del servicio y respecto de la información estrictamente necesaria para dicho fin. Sin perjuicio de ello, la entrega y resguardo de esta información, deberá efectuarse de conformidad con lo dispuesto en la presente Norma.

9. PAUTAS GENERALES DE SEGURIDAD
9.1 Los siguientes aspectos marcos de seguridad orientarán a los Operadores de Telecomunicaciones, en la adopción de medidas y procedimientos para el mejor cumplimiento de las Obligaciones previstas en el numeral 10:
* Autenticación: Implica corroborar que una entidad (personal, dispositivos, servicios y/o aplicaciones) tiene efectivamente la identidad que pretende, incluye verificar que no se trata de un caso de usurpación de identidad o reproducción no autorizada de una comunicación anterior.
* Control de acceso: Implica que sólo el personal o los dispositivos autorizados puedan acceder a los elementos de red, la información almacenada, los flujos de información, los servicios y las aplicaciones.
* No repudio: Implica contar con la capacidad de evitar que una entidad (personal, dispositivos, servicios y/o aplicaciones), pueda negar haber realizado una acción en etapas posteriores. Supone asimismo la creación de pruebas que, en ocasiones posteriores, podrían ser utilizadas para demostrar la falsedad de un argumento.
* Confidencialidad: Implica que la información no se divulgará ni se pondrá a disposición de individuos, entidades o procesos no autorizados.
* Integridad de los datos: Implica verificar que los datos personales no han sido alterados sin la autorización respectiva.
* Alarma de seguridad: Mecanismo para detectar un evento relacionado con la seguridad, mediante la generación de un mensaje.

9.2 En la adopción de medidas y procedimientos para salvaguardar el derecho a la inviolabilidad y al secreto de las telecomunicaciones y la protección de datos personales de sus abonados y/o usuarios, complementarios a los previstos en el numeral 10, los Operadores de Telecomunicaciones se guiarán, en función a su red, de las siguientes recomendaciones:
* Norma Técnica Peruana NTP-ISO/IEC 1779 2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información, emitido por la Comisión de Reglamentos Técnicos y Comerciales del Instituto Nacional de Defensa de la Competencia y Protección de la Propiedad Intelectual - INDECOPI.
* Recomendación E.408 de la Unión Internacional de Telecomunicaciones, referida a los “Requisitos de seguridad para las redes de telecomunicaciones”.
* Manual sobre “La Seguridad de las Telecomunicaciones y las Tecnologías de la Información” de la Unión Internacional de Telecomunicaciones, edición 2006 y versiones actualizadas.

9.3 Los Operadores de Telecomunicaciones tenderán a que sus redes estén en capacidad de permitir técnicas de cifrado de extremo a extremo, a fin de atender la eventual demanda de los abonados o usuarios por estos servicios. El cifrado de datos de extremo a extremo, es la transformación de datos para que éstos sólo sean inteligibles a los usuarios o personal autorizado, efectuada en el interior o en el sistema extremo fuente, cuyo descifrado correspondiente se produce sólo en el interior o en el sistema extremo de destino.

10. DE LAS OBLIGACIONES DE LOS OPERADORES DE TELECOMUNICACIONES RELATIVAS A LA INVIOLABILIDAD Y AL SECRETO DE LAS TELECOMUNICACIONES Y LA PROTECCIÓN DE DATOS PERSONALES
10.1 Los Operadores de Telecomunicaciones tienen la obligación de brindar a la Dirección General de Control del Ministerio, todas las facilidades necesarias para el cumplimiento de sus funciones inspectoras y de verificación sobre el cumplimiento de la obligación de respetar y salvaguardar el secreto de las telecomunicaciones y la protección de datos personales de los abonados y/o usuarios, sin que para ello se requiera una notificación previa.

10.2 Los Operadores de Telecomunicaciones tienen la obligación de presentar a la Dirección General de Control del Ministerio, un informe anual sobre las medidas y procedimientos establecidos para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales de sus abonados y/o usuarios. Dicha información será presentada a más tardar el 15 de febrero de cada año, observando las disposiciones previstas en el numeral 11.

10.3 Los Operadores de Telecomunicaciones tienen la obligación de respetar y salvaguardar el secreto de las telecomunicaciones y proteger los datos personales de sus abonados y/o usuarios, salvo las excepciones previstas en la legislación vigente. En ese sentido, las medidas mínimas que se detallan en los numerales siguientes, no deberán ser entendidas, como medidas únicas y/o excluyentes, encontrándose los Operadores de Telecomunicaciones obligados a implementar las medidas y procedimientos complementarios que resulten razonables para garantizar la inviolabilidad y el secreto de las telecomunicaciones y los datos personales de sus abonados y/o usuarios. Ello, en función a las redes y tecnologías que empleen y el personal propio o de terceros que tenga acceso a la red pública o a la información confidencial de sus abonados y/o usuarios.

10.4. Los Operadores de Telecomunicaciones implementarán las medidas y procedimientos que resulten razonables para garantizar que sólo el personal debidamente autorizado, propio o de terceros, acceda a locales y sistemas con acceso restringido, los que serán previamente determinados por el Operador de Telecomunicaciones, en función a su red, tanto en planta interna como externa. Para dicho efecto, deberán:
* Implementar adecuados mecanismos o sistemas de control de acceso para el personal autorizado, en puertas internas y externas.
* Establecer medidas para la identificación del personal autorizado, así como sus niveles de acceso. En el caso de planta interna, se empleará tarjetas magnéticas y/o detectores de huella digital u otros identificadores cuyo nivel de seguridad y confiabilidad sea similar o superior.
Los operadores que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable, o servicios convergentes de telefonía fija y/o acceso a Internet, podrán emplear otros mecanismos a fin de dar cumplimiento a esta obligación.
* Contar con un Manual Interno de procedimientos de seguridad, que sea de conocimiento del personal. Asimismo, se deberán adoptar medidas para difundir sus alcances, a través de charlas de orientación, afiches, recordatorios, entre otros.
* Establecer medidas que incentiven al personal al cumplimiento del Manual Interno de procedimientos de seguridad.

10.5. Los Operadores de Telecomunicaciones implementarán las medidas que fueran necesarias para el resguardo de la planta externa e interna comprendiendo los componentes físicos y/o lógicos que pudieran facilitar la violación del secreto de las telecomunicaciones o el acceso a datos personales protegidos. Para el cumplimiento de la referida obligación, se deberá:
10.5.1 En la planta externa:
- Los armarios, contarán con mecanismos de seguridad, tales como candados con clave, candados con llave, platinas de seguridad con cerradura, entre otros.
- Las cajas de distribución contarán con mecanismos de seguridad, tales como cerraduras con llave, entre otros.
- Las cámaras deberán contar con mecanismos de seguridad tales como soldadura de tapas, contratapas, seguridad neumática, tapas especiales con grava, entre otros.
- Los Repartidores Principales (MDF), de ser el caso, y los recintos empleados para éstos, contarán con mecanismos de seguridad.
- Las estaciones base contarán con mecanismos de seguridad.
10.5.2 En la planta interna:
- Los sistemas de conmutación y transmisión, en función a la red, contarán con mecanismos de protección y seguridad.
- Los equipos informáticos empleados para los procesos de facturación, tasación, bases de datos, entre otros, contarán con contraseñas de acceso, firewalls, software de detección y reparación de virus y software de protección contra códigos maliciosos, entre otros.
10.5.3 Respecto del personal:
Celebrar acuerdos de confidencialidad con su personal y con terceros que participen de la gestión comercial y/u operativa del servicio, y que tenga acceso a la planta externa o interna, previendo en dichos acuerdos, la obligación de no divulgar cualquier información que pudiera facilitar o coadyuvar a la vulneración del secreto de las telecomunicaciones, aún después de extinguido el vínculo laboral o contractual; así como las consecuencias civiles y penales derivadas de su incumplimiento.
En la celebración de sus acuerdos con terceros, los Operadores de Telecomunicaciones les exigirán a su vez, la suscripción de acuerdos de confidencialidad con el personal que éstos tuvieran a su cargo, que tenga acceso a la planta interna o externa del citado Operador; debiendo verificar dicho cumplimiento.

10.6. Los Operadores de Telecomunicaciones establecerán las medidas de seguridad pertinentes para proteger la información contenida en los recibos de servicios telefónicos, requerimientos de pago y otros comprobantes de pago (boletas, facturas, notas de crédito y débito), así como la información referida a detalles de llamadas (no incluidas en recibos), historial de suspensiones, cortes y reconexiones y grabaciones por gestiones de deuda.
Dicha información podrá ser cedida a terceros que participen en la gestión comercial del Operador de Telecomunicaciones, de conformidad con lo dispuesto en la presente norma. Así como a las centrales de riesgo, al Poder Judicial, al Organismo Supervisor de la Inversión Privada en Telecomunicaciones - OSIPTEL, al Administrador de la Base de Datos de Portabilidad Numérica, otros Operadores de Telecomunicaciones y a otras entidades habilitadas, según la legislación vigente.
Para el cumplimiento de dicha obligación, se deberá, según corresponda:
10.6.1 Celebrar acuerdos de confidencialidad con su personal y con terceros que participen de la gestión comercial y/u operativa del servicio, y que tenga acceso a la planta interna, previendo en dichos acuerdos, la obligación de no divulgar cualquier información que pudiera facilitar o coadyuvar a la vulneración del secreto de las telecomunicaciones y la protección de datos, aún después de extinguido el vínculo laboral o contractual; así como las consecuencias civiles y penales derivadas de su incumplimiento.
En la celebración de sus acuerdos con terceros, los Operadores de Telecomunicaciones les exigirán a su vez, la suscripción de acuerdos de confidencialidad con el personal que éstos tuvieran a su cargo, que tenga acceso a la planta interna del citado Operador; debiendo verificar dicho cumplimiento.
10.6.2 Adoptar medidas de seguridad en la planta interna y demás ambientes, desde donde se pueda acceder a esta información.

10.7 Los Operadores de Telecomunicaciones establecerán las medidas pertinentes para proteger la información personal contenida en los contratos de abonado y en los contratos celebrados para la adquisición, arrendamiento u otra modalidad de provisión de equipos terminales. Para dicho efecto, se deberá:
10.7.1 Celebrar acuerdos de confidencialidad con su personal y con terceros que participen de la gestión comercial y/u operativa del servicio, y que tenga acceso a la planta interna, previendo en dichos acuerdos, la obligación de no divulgar cualquier información que pudiera facilitar o coadyuvar a la vulneración del secreto de las telecomunicaciones y la protección de datos, aún después de extinguido el vínculo laboral o contractual; así como las consecuencias civiles y penales derivadas de su incumplimiento.
En la celebración de sus acuerdos con terceros, los Operadores de Telecomunicaciones les exigirán a su vez, la suscripción de acuerdos de confidencialidad con el personal que éstos tuvieran a su cargo, que tenga acceso a la planta interna del citado Operador; debiendo verificar dicho cumplimiento.
10.7.2 Adoptar medidas de seguridad en la planta interna, y demás ambientes, desde donde se pueda acceder a esta información

10.8 Los Operadores de Telecomunicaciones, realizarán monitoreos, a fin de verificar el cumplimiento de las medidas adoptadas para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales.
* Tratándose de la Planta Interna, los monitoreos deberán realizarse de acuerdo a las disposiciones que emita la Dirección General de Control.
* En el caso de la Planta Externa, los monitoreos deberán realizarse sobre muestras, observando las disposiciones complementarias que emita la Dirección General de Control.
Los Operadores de Telecomunicaciones que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable, o servicios convergentes de telefonía fija y/o acceso a Internet, realizarán monitoreos en forma semestral.
Los registros de los citados monitoreos, tanto de planta interna como externa, estarán a disposición de los inspectores autorizados de la Dirección General de Control.
Estos monitoreos se realizarán de manera independiente a las acciones de control realizadas periódicamente por los Operadores de Telecomunicaciones.

10.9 Los Operadores de Telecomunicaciones deberán identificar sus ambientes internos y, de ser el caso, externos (oficinas, edificios, perímetros) que requieran protección o seguridad a efectos de salvaguardar el secreto de las telecomunicaciones y la protección de datos. Dichos ambientes deberán tener solidez física y no podrán contar con zonas que puedan derribarse fácilmente y facilitar su acceso.

10.10 Los Operadores de Telecomunicaciones deberán emplear tecnología que les permita contar con seguridad de red a través de mecanismos tales como autenticación, control de conexión de red y cifrado en los sistemas principales, bajo su control. Se exceptúa de esta obligación a los Operadores de Telecomunicaciones que sólo presten el servicio público de distribución de radiodifusión por cable, y que no brinden servicios de valor añadido soportados en la red de cable, o servicios convergentes de telefonía fija y/o acceso a Internet.

10.11 Los Operadores de Telecomunicaciones, tienen la obligación de implementar mejoras respecto a la seguridad física, infraestructura de red, seguridad de información y sistemas de sus redes, según corresponda al servicio que presta.

10.12. En caso el Operador de Telecomunicaciones identifique indicios o registre antecedentes de vulneración a la seguridad implementada, deberá adoptar medidas de seguridad adicionales que permitan minimizar dicho riesgo o amenaza.

10.13 Los Operadores de Telecomunicaciones implementarán las medidas y procedimientos destinados a salvaguardar el secreto de las telecomunicaciones en interés de la seguridad nacional que fueran dispuestas por el Ministerio o la autoridad competente.

11. DEL INFORME DE LOS OPERADORES DE TELECOMUNICACIONES
11.1 Los Operadores de Telecomunicaciones informarán en forma anual al Ministerio, las medidas adoptadas para salvaguardar el secreto de las telecomunicaciones y la protección de datos. Dicho informe será presentado a más tardar el 15 de febrero de cada año.

11.2 El informe a que se refiere el numeral precedente deberá contener como mínimo, la siguiente información relativa al año anterior y las mejoras que se prevén implementar durante el año en curso, vinculadas a las obligaciones establecidas en el numeral 10:

11.2.1 Relación y contenido de las medidas implementadas para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales de los abonados y usuarios de los servicios que preste. En particular, se deberá describir las medidas de seguridad o protección que son inherentes e implícitas de la tecnología implementada en su red y, en su caso, las medidas de seguridad de extremo a extremo implementadas, bajo su control.
11.2.2 Relación y contenido de las medidas implementadas para mantener la confidencialidad de la información personal que le hubiere sido proporcionada por sus abonados con quiénes mantienen o han tenido relación comercial.
11.2.3 Relación y contenido de las medidas internas implementadas para salvaguardar la seguridad de la red pública de telecomunicaciones, tanto en planta interna como externa.
Tratándose de la infraestructura de planta externa, se incluirá las medidas implementadas respecto de armarios o cajas terminales instaladas en inmuebles de particulares o áreas de dominio público.
11.2.4 El personal responsable a cargo de la implementación y supervisión de las medidas y procedimientos adoptados para salvaguardar el secreto de las telecomunicaciones y la protección de datos personales.
11.2.5 El personal, propio o de terceros, que por la naturaleza de sus funciones, tiene acceso a los ambientes en los que se encuentran instalados los sistemas de conmutación, sistemas de transmisión u otros, incluidos los de planta externa, que podrían ser empleados para vulnerar el secreto de las telecomunicaciones y/o la protección de datos personales de los abonados y/o usuarios. Ello, incluye a las personas naturales y/o jurídicas que, en ejecución de una relación contractual, prestan servicios al Operador de Telecomunicaciones.
11.2.6 Relación de las medidas adoptadas en coordinación con el Ministerio o con la entidad competente, para salvaguardar el secreto de las telecomunicaciones en interés de la seguridad nacional.

11.3 Las modificaciones que se produzcan en relación a la información contenida en el informe anual presentado, deberán ser comunicadas a la Dirección General de Control de manera semestral. El cómputo de este plazo, se realizará a partir de la fecha de presentación del referido informe.
Tratándose de la información a que se refiere el numeral 11.2.4, las modificaciones serán comunicadas al Ministerio, al finalizar la primera o segunda quincena de cada mes, según el período en el que se produzca el cambio. En el caso de la información a que se refiere el numeral 11.2.5, la citada comunicación se realizará, a más tardar, el último día hábil del mes, en el que se genere dicho cambio.

11.4 El Ministerio podrá solicitar a los Operadores de Telecomunicaciones, información adicional a la que remiten en forma anual.

12. DE LAS INSPECCIONES 12.1 Las inspecciones a los Operadores de Telecomunicaciones serán realizadas por la Dirección General de Control, a través de sus inspectores debidamente acreditados para dicho fin. Para el inicio de la acción de inspección, los inspectores entregarán al Operador de Telecomunicaciones un oficio expedido en la fecha por el Director General de Control, en el cual se indicará la materia de la inspección, así como el nombre y otros datos de identificación de los inspectores autorizados.
Las inspecciones serán realizadas en cualquier día y hora, dentro del horario laborable del Operador de Telecomunicaciones, sin necesidad que para ello medie una denuncia de violación al secreto y la inviolabilidad de las telecomunicaciones o de inobservancia a la norma que cautela la protección de los datos personales. Sin perjuicio de ello, en casos excepcionales, la Dirección General de Control podrá realizar inspecciones, incluso fuera del horario establecido.

12.2 El personal acreditado de la Dirección General de Control efectuará la inspección, verificando el cumplimiento de las obligaciones que se detallan en los numerales 10 y 11 de la presente Norma, según corresponda.

12.3 En las inspecciones a la Planta Externa, se podrá verificar el interior de los elementos de red que se encuentren protegidos por las medidas de seguridad de acceso implementadas por el Operador de Telecomunicaciones. Para tal efecto, dicho operador deberá asegurar la presencia del personal que posea los dispositivos o información que permitan el acceso a los referidos elementos.

12.4 Pautas para la inspección:
- El Operador de Telecomunicaciones deberá instruir al personal aludido en los numerales 11.2.4, 11.2.5 y 11.3, sobre el contenido y alcances del presente procedimiento, disponiendo el otorgamiento de las facilidades de inspección e información a los inspectores designados por el Ministerio.
- Durante la inspección, deberán estar presentes el o los responsables designados por el Operador de Telecomunicaciones. Para estos efectos, se entenderá que el responsable designado es la persona cuyo nombre y funciones han sido comunicados por el Operador de Telecomunicaciones al Ministerio, de conformidad con lo dispuesto en los numerales 11.2.4, 11.2.5 y 11.3.
- Como resultado de la inspección se levantará un acta que será redactada por el inspector acreditado del Ministerio, en la que se consignarán las medidas y procedimientos verificados. Asimismo, el Operador de Telecomunicaciones podrá consignar sus observaciones de ser el caso. El acta deberá ser suscrita por los responsables a que se refiere el párrafo precedente; en ausencia de éstos, la suscripción se entenderá con quien se encuentre al momento de la inspección.

12.5 El personal de la Dirección General de Control podrá intervenir a cualquier persona que se encuentre realizando actividades en la planta externa de los Operadores de Telecomunicaciones. Para tal efecto, solicitará su identificación y corroborará de manera inmediata sus datos, contrastándolos con la información proporcionada por los Operadores de Telecomunicaciones en aplicación de los numerales 11.2.4, 11.2.5 y 11.3, para cuyo efecto podrá requerir del apoyo de la fuerza pública.

12.6 Si en el marco de una inspección el personal de la Dirección General de Control, advirtiera la presunta comisión de una infracción referida a la vulneración al secreto e inviolabilidad de las telecomunicaciones o la protección de datos personales, independientemente de las acciones administrativas a que hubiera lugar, comunicará dichos hechos al Ministerio Público, para la adopción de las acciones correspondientes de acuerdo a su competencia.

13. DE LAS INFRACCIONES
El incumplimiento de las obligaciones establecidas en los numerales 10, 11.2, 11.3, 11.4 y 12 de la presente norma se sujetan al régimen de infracciones y sanciones establecido en la Ley de Telecomunicaciones y en el Reglamento de la Ley.”

7. Artículo 11 del Decreto Supremo 024-2010-MTC (que aprobó el procedimiento para la subsanación de la información consignada en el Registro de Abonados Pre Pago)

“Artículo 11.- Requerimiento de información por parte de la Policía Nacional del Perú
En un plazo máximo de 48 horas, las empresas operadoras de servicios públicos móviles estarán obligadas a atender los requerimientos que presente la Policía Nacional del Perú, en el marco de sus investigaciones, respecto de la información consignada en el registro de abonados prepago, control y postpago a que hace referencia el artículo 8 de las Condiciones de Uso de los Servicios Públicos de Telecomunicaciones, la cual deberá ser utilizada con la reserva del caso.”

8. Sección 8.10 de los Contratos de Concesión celebrados por Telefónica del Perú S.A.A. con el Estado Peruano

“Sección 8.10: Secreto de las Telecomunicaciones y Protección de Datos.

(a) Obligación de Salvaguardar el Secreto de las Telecomunicaciones y Protección de Datos. La EMPRESA CONCESIONARIA establecerá medidas y procedimientos razonables para salvaguardar el secreto de las telecomunicaciones y mantener la confidencialidad de la información personal relativa a los USUARIOS que atienda en el curso de sus negocios. La EMPRESA CONCESIONARIA designará a nivel de la administración de la empresa, el personal que estará a cargo de la implementación, cumplimiento y supervisión de tales medidas. La EMPRESA CONCESIONARIA enviará al MINISTERIO y a OSIPTEL un informe anual sobre las medidas y procedimientos que se hayan establecido en su funcionamiento y sobre los cambios y las mejoras necesarias, debiendo presentar tales informes el 15 de febrero de cada año, comenzando el año siguiente al de la FECHA EFECTIVA.

(b) Ámbito de la Obligación de Secreto y Protección de Datos. La EMPRESA CONCESIONARIA salvaguardará el secreto de las telecomunicaciones y mantendrá la confidencialidad de la información personal relativa a sus USUARIOS, que atienda en el curso de sus negocios, salvo (i) el consentimiento previo, expreso y por escrito del USUARIO y demás partes involucradas o (ii) una orden judicial específica.”

9. ENTREGA DE INFORMACIÓN A OSIPTEL VINCULADA CON SU FACULTAD SUPERVISORA

Artículo 8 de la Ley 27336, Ley de Funciones y Facultades de OSIPTEL

“8.1 En ningún caso la autoridad competente puede solicitar información que signifique la violación al derecho al secreto y la inviolabilidad de las comunicaciones, a que se refiere el inciso 10) del Artículo 2° de la Constitución Política del Peru.
8.2 Se atenta contra este derecho, cuando deliberadamente una persona que no es quien cursa la comunicación ni es el destinatario, intenta conocer, alterar, publicar o utilizar el contenido de la misma o facilita que otra persona conozca la existencia o el contenido de cualquier comunicación. Asimismo, cuando se sustrae, intercepta, interfiere o desvía el curso de la comunicación.
8.3 No constituye violación del derecho al secreto y la inviolabilidad de las telecomunicaciones, ni afecta el derecho a la confidencialidad de la información personal, el acceso que tenga OSIPTEL a la información necesaria para cumplir sus funciones y, particularmente, el ejercicio que haga de las facultades contempladas en el Artículo 15° de la presente Ley. En ningún caso OSIPTEL podrá exigir la presentación de información que revele el contenido de las comunicaciones.”

Jurisprudencia nacional para la protección del secreto de las telecomunicaciones

Sentencia del 9 de marzo de 1998, emitida por la Sala Corporativa Transitoria Especializada en Derecho Público. Exp. N°170-97: “(...) secreto de las comunicaciones no se limita al contenido en sí sino que la hacen extensiva a la existencia de cualquier comunicación, que implica la identidad del autor o destinatario del enlace, la oportunidad, frecuencia o prioridad de las comunicaciones, aún con prescindencia de su contenido, pueden inferirse conclusiones que afectan a la privacidad o a la intimidad de los interlocutores (...)”.