Sábado 24 de febrero de 2024 | Suscríbete al Newsletter de La Ley

Entel permitió que sujeto renueve móvil con datos de un DNI ajeno, pero denuncia fue declarada infundada

Entel permitió que sujeto renueve móvil con datos de un DNI ajeno, pero denuncia fue declarada infundada

Por Redacción Laley.pe

miércoles 19 de octubre 2022

Loading

La Dirección General de Transparencia y Acceso a la Información Pública y Protección de Datos Personales declaró infundada una denuncia administrativa en contra de la empresa de telefonía Entel.

El denunciante sostuvo que la empresa permitió que un desconocido suplante su identidad y renueve un equipo móvil a nombre suyo, además de un plan de pagos mensuales. El denunciante era cliente de Entel. 

Las deficiencias fueron reconocidas por la empresa Entel, sin embargo, la resolución que emitió la entidad encargada de la protección de datos personales declaró infundada la denuncia administrativa.

En la resolución a la que tuvo acceso Laley.pe, la empresa de telefonía aceptó que sus medidas de seguridad no fueron las adecuadas, por ende, tras la denuncia, optaron por añadirle dos preguntas al cuestionario que sus teleoperadoras formularían antes de contratar.

Estas preguntas fueron incluidas con el objetivo de contribuir a validar la identidad de los contratantes. Entel también dispuso el uso de la identificación con huellas biométricas.

72. En sus descargos, la administrada reconoció su responsabilidad por la deficiencia de las medidas de seguridad implementadas, señalando que en su protocolo de renovación, se añadieron dos preguntas para validar la identidad de los contratantes y recurriendo a la identificación con huellas biométrica.

 

¿Qué ocurrió realmente?

En 2019, se acordó por una llamada telefónica la renovación de un equipo de telefonía móvil, es decir, un celular, que estaba a nombre del denunciante, quien no fue notificado sobre aquella adquisición, pues habían suplantado su identidad, a expensas de los sistemas de seguridad de Entel.

Esta indebida adquisición le produjo una deuda que fue reportada a las centrales de riesgo crediticio, por lo que tuvo que presentar una denuncia policial y reportar la situación a Entel y al Organismo Supervisor de la Inversión Privada en Telecomunicaciones (Osiptel).

Por su lado, Osiptel resolvió bloquear la línea adquirida y la deuda que produjo aquella contratación, mientras que la Dirección de Protección de Datos Personales ordenó una diligencia de fiscalización para verificar posibles incumplimientos a la Ley de Protección de Datos Personales, Ley 29733 y su reglamento. 

Así, durante la diligencia solicitaron el audio de la llamada telefónica que concretó la contratación del nuevo equipo móvil. Esta información permitió acceder al número telefónico desde donde se realizó la llamada. También solicitaron que se les precise quiénes fueron los responsables de brindarle seguridad tecnológica a la base de datos de sus clientes. Estas y otras informaciones le fueron solicitadas a Entel. 

Luego de unos días,  la empresa envió un escrito, en cuyo contenido detalló los procedimientos ejecutados para validar los datos de sus compradores, entre otras informaciones:

  • Para validar los datos del comprador, se utiliza la información de su DNI, como nombres y apellidos, dirección de domicilio, fecha y lugar de nacimiento (distrito, provincia y departamento).
  • La información del DNI, luego de ser descargada del portal empleado por sus colaboradores, debe ser cotejada con las respuestas que dé el cliente, identificando su fecha de nacimiento y ubigeo, dando este último, información exacta sobre el lugar de nacimiento.
  • Los procedimientos de renovación telefónica son realizados por sus socios estratégicos, empresas de call center.
  • Identificaron el número del teléfono móvil usado para realizar la renovación objeto de denuncia, es de otra empresa.

Tras esto, se inició un procedimiento administrativo sancionador contra Entel, pues las probabilidades de haber realizado un indebido tratamiento de los datos personales del denunciante para contratar un nuevo equipo y el plan de pagos mensuales, sin su consentimiento, parecían ser altas.

En sus descargos, Entel sostuvo que nunca le ofreció a los suplantadores la información del denunciante, pues al llamar, ellos conocían dicha información, por lo que la empresa validó de buena fe los datos del DNI que les proporcionaron por teléfono. En concreto, la empresa Entel dijo no haber entregado información a los suplantadores, solo haberla validado.

En ese mismo sentido, Entel sostuvo que no tuvo cómo comprobar que se trataba de una persona no autorizada por el denunciante, quien además era su cliente, por ende, estaría exenta de la obligación de obtener el consentimiento del titular.

¿Cómo resolvió la entidad protectora de nuestros datos personales?

La entidad consideró que no hubo un indebido tratamiento de los datos personales del denunciante, pues en circunstancias normales, el procedimiento ejecutado por la empresa sería el necesario para establecer una relación contractual válida, por eso, no fue necesario solicitar el consentimiento del titular para el tratamiento de datos personales. Es decir, legitimó los argumentos de Entel.

61. En consecuencia, se aprecia que, al no requerirse el consentimiento para el tratamiento dirigido a la contratación de la renovación de equipo de telefonía móvil, no se aprecia el incumplimiento imputado, debiendo declararse infundada la presente imputación.

 

62. Sin perjuicio de lo anterior, esta Dirección debe anotar que la mencionada contratación se habría ejecutado sin efectuarse adecuadamente la verificación de identidad del contratante, generando sucesivas actividades de tratamiento de tales datos personales, relacionadas con su cumplimiento, lo cual se analizará en un posterior subtítulo de este acápite.

Sin embargo, la resolución aclaró que al haber omitido una adecuada verificación de la identidad del contratante (que no es reprochable, según la resolución), las actividades sucesivas de tratamiento de los datos personales también deberían ser analizadas, pues podrían haberse vulnerado el tratamiento de los datos del denunciante. En atención a esta posibilidad, la resolución invocó el artículo 39 del reglamento de la Ley de Protección de Datos Personales

Artículo 39.- Seguridad para el tratamiento de la información digital.

Los sistemas informáticos que manejen bancos de datos personales deberán incluir en su funcionamiento:

(…)

2. Generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre otros. Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a los datos mediante procedimientos de identificación y autenticación que garanticen la seguridad del tratamiento de los datos personales.

 

La entidad a cargo de la investigación destacó el último párrafo del artículo para formular su análisis. Este párrafo contempla la obligación de autenticar de forma adecuada la identificación de los usuarios para garantizarles seguridad.

Sin embargo, durante el proceso, Entel había presentado el registro de la validación que se efectuó al momento de la contratación telefónica: información sobre variación del domicilio para la facturación, lugar de entrega, el discurso para el procedimiento de validación en una contratación telefónica que permitió validar el nombre del titular de la línea, el DNI, dirección de domicilio, fecha y lugar de nacimiento, especificando el departamente, la provincia y el distrito, además del ubigeo. 

Por ende, luego de una lectura íntegral del artículo 39 del reglamento, la entidad concluyó que los hechos deñ caso no guardaban relación con el artículo invocado, ya que la normativa se refiere a aquellos trabajadores que, dentro de la organización, relizan acciones de tratamiento de datos personales en el sistema interno de la empresa. En síntensis, el último párrafo invocado en la denuncia administrativa no se refiere a la autenticación de la identidad de clientes, es decir, no impacta sobre la cuestionada autenticación de quien llamó suplantando al denunciante.

Debido a este razonamiento, se declaró infundada la denuncia administrativa contra Entel y se remitió la resolución a los encargados de ejecutar las fiscalizaciones en materia de datos personales, para que evalúen fiscalizar -nuevamente- a Entel.


NEWSLETTER DE LA LEY.PE

NOTICIAS RELACIONADAS