Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Material de Estudio
Julio 2021
1
Curso Avanzado sobre Regulación de las TIC
Contenido
Introducción ......................................................................................................................................... 5
1. Principios básicos de datos ....................................................................................................... 6
1.1. Datos, información y conocimiento .........................................................................................................6
1.2. Ciclo de vida de los datos.........................................................................................................................9
1.3. Gestión de datos ......................................................................................................................................10
1.3.1. Objetivos estratégicos de gestión de datos.....................................................................................12
1.4. Calidad de los datos ................................................................................................................................13
1.4.1. Beneficios..............................................................................................................................................14
1.5. Marcos de referencia...............................................................................................................................15
2. Gobernanza de datos ................................................................................................................ 15
2.1. Definición...................................................................................................................................................15
2.2. Objetivos....................................................................................................................................................18
2.3. Principios ...................................................................................................................................................18
2.4. Descripción de las funciones y actividades .........................................................................................20
2.5. Importancia y beneficios .........................................................................................................................22
2.6. Motivadores más comunes para la gobernanza de datos.................................................................23
2.7. Regulación, localización y jurisdicción de datos .................................................................................24
2.7.1. Regulaciones........................................................................................................................................26
2.7.2. Localización y jurisdicción ..................................................................................................................28
3. La privacidad y las tecnologías emergentes ......................................................................... 29
3.1. Desafíos.....................................................................................................................................................29
3.2. Gobernanza de datos en el Big data.....................................................................................................32
4. Enfoques regulatorios para asegurar la privacidad, confianza y seguridad del
consumidor ........................................................................................................................................ 34
4.1. Ejemplos de datos personales bajo un contexto regulatorio.............................................................35
4.2. Roles de los actores de datos personales ...........................................................................................36
4.3. Explorar la privacidad en línea, la confianza y garantizar la seguridad: preparando el escenario
(global y regional)..................................................................................................................................................38
4.3.1. Las amenazas y el poder de la economía digital............................................................................38
4.3.2. Disminución de la confianza en la economía digital ......................................................................39
4.3.3. Potenciando la economía de las Apps .............................................................................................39
4.3.4. Identidades digitales............................................................................................................................41
4.3.5. Enfoques legislativos de la privacidad y la competencia...............................................................41
4.3.6. El derecho a ser anónimo...................................................................................................................42
4.4. Comprender los modelos de negocio de datos en línea y los mercados de datos .......................42
4.4.1. Datos y el mercado bilateral...............................................................................................................42
4.4.2. Los ingresos de estas aplicaciones ..................................................................................................43
4.4.3. El control de los datos.........................................................................................................................43
2
Curso Avanzado sobre Regulación de las TIC
4.4.4. Consideraciones sobre propiedad de datos, privacidad y competencia.....................................43
4.4.5. Los puntos de presión que deben abordarse..................................................................................44
4.4.6. Apertura y confianza ...........................................................................................................................45
4.5. Modelos para garantizar la protección, privacidad y confianza ........................................................45
4.5.1. Diferentes modelos para la regulación de protección de datos. ..................................................46
4.5.2. Adopción de directrices.......................................................................................................................47
4.5.3. Localización de datos, seguridad nacional y restricciones transfronterizas...............................47
4.6. Seguridad de datos..................................................................................................................................48
4.6.1. Barreras que enfrenta la industria para asegurar los datos..........................................................49
4.6.2. Reguladores .........................................................................................................................................50
4.6.3. Fabricantes ...........................................................................................................................................50
4.6.4. Propiedad distribuida, riesgo distribuido ..........................................................................................51
5. Desafíos y oportunidades regulatorias en el nuevo ecosistema de las TIC ..................... 52
5.1. La nueva economía .................................................................................................................................52
5.2. Pasar del legado a la nueva regulación del ecosistema de las TIC ................................................53
5.3. Regulación colaborativa..........................................................................................................................54
5.3.1. Una taxonomía reguladora de la economía de las aplicaciones..................................................55
5.4. Cuestiones normativas clave que deben abordarse ..........................................................................56
5.5. Privacidad del consumidor......................................................................................................................58
5.5.1. Derechos del consumidor...................................................................................................................59
6. Gobernanza regulatoria ............................................................................................................ 60
6.1. Política e Implementación.......................................................................................................................61
6.1.1. Evolución de la reglamentación.........................................................................................................61
6.1.2. Del entorno tradicional de telecomunicaciones al paisaje digital .................................................61
6.1.3. Implementación de estrategias digitales integrales y tecnológicas específicas ........................62
6.2. Rol y diseño institucional del regulador ................................................................................................63
6.2.1. Estructura institucional del regulador................................................................................................63
6.2.2. Modificación del mandato y los roles de los reguladores y legisladores en la era digital ........64
6.2.3. Mejorar las habilidades, la independencia y la responsabilidad del regulador..........................65
6.2.4. Estructura institucional adecuada para el entorno digital..............................................................65
6.2.5. Toma de decisiones y reglamentación en un entorno de múltiples partes interesadas...........66
6.2.6. Perspectiva del regulador: gestión de procedimientos internos y seguimiento .........................66
6.2.7. Perspectiva del proveedor: gestión del cumplimiento reglamentario ..........................................67
6.3. Colaboración reglamentaria ...................................................................................................................68
6.3.1. Colaboración formal e informal que ocurre entre gobiernos.........................................................68
6.3.2. Modelos de autorregulación...............................................................................................................70
6.4. Creación de marcos para la reglamentación digital............................................................................70
6.4.1. Marcos de concesión de licencias para redes, servicios y aplicaciones ....................................71
6.4.2. Enfoques alternativos para la concesión de licencias ...................................................................71
6.4.3. Enfoques innovadores de la regulación del sector.........................................................................72
6.4.4. Reglas innovadoras de uso del espectro.........................................................................................72
6.4.5. Licencias creativas para impulsar el despliegue de tecnologías emergentes ...........................72
6.4.6. Mecanismos creativos para facilitar el acceso universal...............................................................73
3
Curso Avanzado sobre Regulación de las TIC
7. Regímenes de protección de datos......................................................................................... 73
7.1. Autoridades de reglamentación .............................................................................................................75
7.2. Tecnologías y servicios ...........................................................................................................................75
7.3. Transferencias e implicaciones comerciales .......................................................................................77
7.4. Privacidad de las comunicaciones ........................................................................................................78
7.5. Protección de datos y seguridad de la información ............................................................................79
8. Bibliografía.................................................................................................................................. 79
4
Curso Avanzado sobre Regulación de las TIC
Introducción
El capítulo 1 de este documento trata sobre los principios básicos de dato, información y
conocimiento. Se abordan temas como ciclo de vida de los datos, así como la función de gestión de
datos y los 11 componentes que la integran. Se hace especial énfasis en los objetivos estratégicos
de la gestión de datos y en un tema fundamental como la calidad de datos.
En el capítulo 3 se hace referencia a temas como la privacidad y las tecnologías emergentes. Entre
las tecnologías emergentes se incluyen el Internet de las cosas, los servicios en la nube, la Big Data
y la inteligencia artificial, las cuales conllevan a un nivel de cambio cuyo impacto es todavía difícil
de predecir. Se incluyen además los beneficios y oportunidades que estas nuevas tecnologías
brindan a las empresas, así como los desafíos de la gobernanza de datos en un ambiente de Big
Data.
En el capítulo 5 abordamos temas como la economía de las aplicaciones. También los desafíos y
oportunidades regulatorias que se presentan en el nuevo ecosistema de TIC y vemos como la
gobernanza de datos contribuye en la privacidad y protección de datos y los derechos de los
consumidores a la privacidad de sus datos.
5
Curso Avanzado sobre Regulación de las TIC
En el capítulo 6 se hacer referencia a la evolución en la gobernanza reglamentaria de las TIC y
como ésta se está adaptando al nuevo mundo digital. Se revisa como ha sido la evolución de la
reglamentación y las políticas comenzando por el sector tradicional de las telecomunicaciones,
pasando por las TIC hasta las nuevas tecnologías digitales. Se revisa la estructura institucional del
regulador y las modificaciones que deben ocurrir al mandato y las funciones de los reguladores y
los formuladores de las políticas para adaptarlos a la nueva era digital. Introduce el tema de la
colaboración reglamentaria que habla acerca de la participación y colaboración formal e informal
que debe existir entre las agencias gubernamentales. Aborda la creación de marcos para la
reglamentación digital.
El concepto de datos como recurso organizacional, ha resultado en una variedad de cambios en las
organizaciones modernas y en especial en la era de la economía digital. Los datos capturados como
resultado de una transacción común ahora se almacenan, procesan y analizan mediante
aplicaciones de inteligencia artificial capaces de revelar relaciones complejas entre ventas, clientes,
6
Curso Avanzado sobre Regulación de las TIC
competidores y mercados. La gestión eficaz y eficiente de los datos se considera una parte integral
de la estrategia organizacional.
Los datos pueden tomar muchas formas, incluidos los datos alfanuméricos tradicionales,
compuestos de números, letras y otros caracteres que describen transacciones comerciales y otros
eventos y entidades; datos de texto, que consisten en oraciones y párrafos utilizados en
comunicaciones escritas; datos de imágenes, como figuras y figuras gráficas o imágenes
fotográficas y de video; y datos de audio, incluida la voz humana y otros sonidos.
Las personas a menudo usan indistintamente los términos datos e información. Sin embargo, es
mejor ver los datos como recursos o materia prima que al ser procesados generan un producto
terminado llamado información. Luego podemos definir información como datos que se han
convertido en un contexto significativo y útil para el usuario final. Por lo tanto, los datos generalmente
están sujetos a un proceso de valor agregado (procesamiento de datos o procesamiento de
información) durante el cual: 1) su forma se agrega, manipula y organiza; 2) su contenido es
analizado y evaluado; y 3) se colocan en un contexto adecuado con significado para un usuario
específico.
Los conceptos de datos, información y conocimientos están inter-relacionados. Los datos son la
base de la información humanamente relevante en la generación del conocimiento necesario para
todo proceso de toma de decisiones y de reducción de la incertidumbre.
La información son datos con contenido. Sin contenido, los datos no tienen sentido; creamos
información significativa interpretando el contenido alrededor de los datos. Este contenido incluye:
Los datos son la materia prima que interpretamos como consumidores de datos para crear
continuamente la información, como se muestra en la Figura 1. La información resultante alimenta
nuestros conocimientos y guía nuestro proceso de toma de decisiones.
7
Curso Avanzado sobre Regulación de las TIC
Conocimientos
Patrones y tendencias
Relaciones
Suposiciones
Información
Significado
Formatos
Período de tiempo
Importancia
Datos
Al igual que los datos y la información, el conocimiento es un recurso valioso para las empresas.
Los trabajadores del conocimiento buscan ganar experiencia a través de la comprensión de la
información y luego aplicar esa experiencia para tomar mejores decisiones.
Otro término ampliamente utilizado es el de metadatos. Los metadatos, literalmente «sobre datos»,
son datos que describen otros datos. En general, un grupo de metadatos se refiere a un grupo de
datos que describen el contenido informativo de un objeto al que se denomina recurso. El concepto
de metadatos es análogo al uso de índices para localizar objetos en vez de datos. Por ejemplo, en
una biblioteca se usan fichas que especifican autores, títulos, casas editoriales y lugares para
buscar los libros. Así, los metadatos ayudan a ubicar los datos.
8
Curso Avanzado sobre Regulación de las TIC
Los metadatos, incluyendo las definiciones de datos empresariales, ayudan a establecer el contexto
de los datos y así la gestión de metadatos contribuye directamente a mejorar la calidad de la
información. La gestión de los activos de información incluye la gestión de datos y sus metadatos.
La figura 2 describe el ciclo de vida de los datos típico en cualquier empresa u organización:
Creación / Captura: Esta primera fase del ciclo de vida de los datos consiste en la creación
y captura de aquellos datos inicialmente no existentes en la empresa. Existen diversas
formas para adquirir datos, destacándose tres de las más usadas:
o Conseguir datos ya existentes que han sido creados por entes ajenos a la empresa.
o Creación de datos por parte de personas y/o dispositivos de la propia empresa.
o Obtención de datos por parte de dispositivos conectados a través del conocido Internet
de las Cosas (IoT por sus siglas en inglés). Este tipo de datos son muy importantes
para la infraestructura de sistemas de información de una empresa e inclusive una
ciudad.
9
Curso Avanzado sobre Regulación de las TIC
ocupan un espacio y deben ser almacenados en unos repositorios adecuados para ellos
denominados bases de datos.
Destrucción: Eliminación de los datos que puedan estar contenidos en los sistemas o
archivos, una vez se determine el fin de su vida útil.
El Ciclo de vida de los datos deberá contener toda la información que permita una adecuada
identificación de amenazas y valoración de riesgos, de modo que se contemple:
Es importante tener en mente, que los datos solo tienen valor cuando se utilizan realmente o pueden
ser útiles en el futuro. Todas las etapas del ciclo de vida de los datos tienen costos y riesgos
asociados, pero solo la etapa de “Uso / Tratamiento” agrega valor a las empresas u organizaciones.
10
Curso Avanzado sobre Regulación de las TIC
Gestión de datos incluye:
11
Curso Avanzado sobre Regulación de las TIC
2) Gestión de arquitectura de datos: definición del modelo para la gestión de los activos de
datos.
12
Curso Avanzado sobre Regulación de las TIC
Integridad de los datos.
Integración de los datos.
Oportunidad de la captura de datos y su presentación.
Relevancia y la utilidad de los datos.
Claridad y aceptación común de definiciones de datos.
2) Promover una comprensión más amplia y profunda del valor de los activos de datos.
4) Alinear los esfuerzos de gestión de datos y tecnología con las necesidades del negocio.
Es importante tener en mente que mientras las metas de la gestión de datos son constantes y
consistentes a través de las organizaciones, los objetivos de gestión de datos varían de año en año.
Completitud: Los datos deben estar completos y tener la suficiente amplitud y profundidad
para soportar el proceso. Todas las instancias del negocio deberán estar representadas.
Exactitud: Los datos tienen el nivel de detalle requerido para realizar el proceso de negocio.
13
Curso Avanzado sobre Regulación de las TIC
Correctos: Los datos deben estar dentro del dominio de valores válidos y cumplir las reglas
del negocio.
Oportunos: Los datos deben estar debidamente actualizados para el proceso a realizar.
Representativos: deben cumplir con el formato, patrón, legibilidad y utilidad de los datos
para su uso previsto.
Consistentes: Los valores de los datos que se refieren al mismo elemento deben ser iguales
o consistentes.
1.4.1. Beneficios
Entre los principales beneficios de la calidad de datos podemos mencionar:
14
Curso Avanzado sobre Regulación de las TIC
1.5. Marcos de referencia
Para la gestión de datos existen varios marcos de referencia susceptibles de ser utilizados. Todos
son excelentes herramientas con sus ventajas y desventajas. Queda a criterio de cada empresa u
organización seleccionar el que mejor se adapte a sus requerimientos. Entre los más reconocidos
podemos mencionar:
1) DAMA DMBoK – Data Management Book of Knowledge: provee los detalles específicos
para definir, implementar y operar la gestión y la utilización de datos.
2) TOGAF – The Open Group Architecture Framework: define el proceso para la creación
de una arquitectura de datos como parte de la arquitectura general de una empresa u
organización. Puede ser un precursor para implementar la gestión de datos.
Para efectos de este documento estaremos tomando como referencia el DAMA DMBoK – Data
Management Book of Knowledge de la asociación DAMA International. Para aquellos que deseen
profundizar en los demás, al final del documento encontrarán los vínculos a las páginas que les
darán acceso a material con más detalles.
2. Gobernanza de datos
2.1. Definición
Gobernanza de datos es definido como el ejercicio de la autoridad, el control y una decisión
compartida (planeación, ejecución y monitoreo) sobre la gestión de los activos de datos.
15
Curso Avanzado sobre Regulación de las TIC
La figura 4 nos muestra el diagrama de contexto para la función de gobernanza de datos.
16
Curso Avanzado sobre Regulación de las TIC
Otras definiciones de gobernanza de datos
Powerdata
“Gobernanza de datos es la gestión de la disponibilidad, integridad, usabilidad y seguridad de los
datos utilizados en una empresa. Un buen programa de gobierno de datos incluye un órgano o
consejo de gobierno, un conjunto de procedimientos definidos y un plan para ejecutar dichos
procedimientos”.
Bi-sourvey
“La gobernanza de datos incluye las personas, los procesos y las tecnologías necesarias para
administrar y proteger los activos de datos de la empresa con el fin de garantizar datos corporativos
generalmente comprensibles, correctos, completos, confiables, seguros y reconocibles. En esencia,
el gobierno de datos se trata de establecer métodos y una organización con responsabilidades y
procesos claros para estandarizar, integrar, proteger y almacenar datos corporativos”.
Es necesario tener claro la diferencia entre gestión de datos, definida anteriormente, y gobernanza
de datos. Aunque se trata de componentes relacionados en ambos casos con la gestión de datos
e información en la organización, no son equivalentes. La diferencia más importante entre ambos
radica en:
Es también importante resaltar que las políticas que se implementan con relación a la gobernanza
de datos, deben responder siempre a unos criterios de cultura, de estructura organizativa y a unos
procesos que sean propios y característicos de la empresa u organización que las adopta.
17
Curso Avanzado sobre Regulación de las TIC
2.2. Objetivos
Entre los objetivos típicos de un programa de gobernanza de datos destacan los siguientes:
Guiar a los gestores de la información en la toma de decisiones.
Incrementar el uso y confianza de los datos como un activo de gran valor para la empresa u
organización.
Reducir la fricción operacional (tener una fuente única de datos reconocida por toda la
organización).
Asegurar que la información se defina de manera consistente y sea comprendida por todas
las partes interesadas.
Generar la cultura organizacional de que los datos son un activo de la empresa.
Crear procesos estándares y repetibles.
Mejorar la consistencia de los proyectos a lo largo y ancho de la organización.
Asegurar el cumplimiento de regulaciones internas y externas.
Reducir los costos y aumentar la eficacia mediante la coordinación de esfuerzos.
Garantizar la transparencia de los procesos.
2.3. Principios
A continuación se muestran los principios de gobernanza de datos dirigidos a ayudar a las partes
interesadas a resolver conflictos relacionados con los datos, inherentes a toda empresa u
organización y a ponerse de acuerdo en cuanto a la correcta definición de los tipos de datos que
son compartidos en esta.
2) Unicidad: cada programa de gobernanza de datos / gestión de datos es único, ya que toma
en cuenta las características únicas de la empresa u organización y su cultura.
18
Curso Avanzado sobre Regulación de las TIC
3) Integridad: los participantes en gobernanza de datos practican integridad en sus relaciones
con los demás; deben ser veraces y comunicativos cuándo se involucren en discusiones
sobre restricciones, opciones e impactos para decisiones relacionadas con los datos.
6) Auditabilidad: las decisiones relacionadas con los datos, así como los procesos y
controles sujetos a la gobernanza de datos serán auditables y estarán acompañados por
la documentación que pueda hacer de soporte para los requerimientos basados en
auditoría.
19
Curso Avanzado sobre Regulación de las TIC
2.4. Descripción de las funciones y actividades
La gobernanza de datos es la función central de un programa de gestión de datos. La misma
interactúa e influye en las demás funciones de un programa integral de gestión de datos. En otras
palabras, la función de gobernanza de datos es el marco bajo el cual todas las funciones de
datos se realizan.
El resto de las funciones son las que a continuación se describen (DAMA DMBoK):
1) Gestión de arquitectura de datos: los custodios de datos revisan, validan, aprueban y
perfeccionan la arquitectura de datos. Los custodios de datos del negocio definen
especificaciones de datos para que los arquitectos de datos organicen de acuerdo con la
arquitectura de datos de la empresa. La coordinación de los custodios de datos ayuda a
los arquitectos de datos a que se integren estas especificaciones, la resolución de las
diferencias en los nombres y significados. Los custodios de datos ejecutivos revisan y
aprueban la arquitectura de datos empresariales. Los custodios de datos de todos los
niveles y los arquitectos de datos colaboran para mantener la arquitectura de datos.
2) Desarrollo de los datos: los custodios de datos del negocio definen los requisitos de
datos y las especificaciones para que los analistas y arquitectos de datos los organicen
en modelos de datos lógicos. Los custodios de datos también validan los modelos de datos
y diseños de bases de datos físicos, participan en los entrenamientos, las pruebas de base
de datos y conversión y aseguran el uso constante de documentación del usuario. Los
custodios de datos identifican problemas de datos a medida que surgen y se escalan
cuando sea necesario.
3) Gestión de operaciones de datos: los custodios de datos del negocio definen los
requisitos para la recuperación de datos, la retención y el rendimiento y ayudan a negociar
los niveles de servicio en estas áreas. Los custodios de datos del negocio también ayudan
a identificar, adquirir y controlar los datos de origen externo.
4) Gestión de la seguridad de los datos: los custodios de datos del negocio proporcionan
los requisitos de seguridad, privacidad y confidencialidad. Identifican y resuelven
problemas de seguridad de datos, ayudan en las auditorías de seguridad de los datos y
20
Curso Avanzado sobre Regulación de las TIC
clasifican la confidencialidad de la información de los documentos y otros productos
informativos.
5) Gestión de datos maestros y de referencia: los custodios de datos del negocio controlan
la creación, actualización y retiro de valores de código y otros datos de referencia, definen
los requisitos de gestión de datos maestros, identifican y ayudan a resolver cuestiones de
gestión de datos maestros
8) Gestión de metadatos: los custodios de datos en todos los niveles crean y mantienen los
metadatos de negocios (nombres, significados, reglas de negocio, etc.), definen el acceso
de metadatos y necesidades de integración y el uso de metadatos para tomar decisiones
efectivas de administración de datos y de gobernanza.
21
Curso Avanzado sobre Regulación de las TIC
más relevantes encontramos planificación y análisis, diseño de soluciones de integración
e interoperabilidad, desarrollo de soluciones, implantación y monitoreo.
Además, la gobernanza de datos obliga a las empresas a definir claramente sus datos
básicos y las reglas que rigen esos datos básicos. El inicio de un proyecto de gobernanza
de datos es una oportunidad única para que todos estén en la misma página acerca de
las definiciones de datos principales. La aplicación de estos principios garantiza una mayor
eficiencia operativa en el tiempo.
22
Curso Avanzado sobre Regulación de las TIC
las bases de datos de las empresas y permiten anticipar y mitigar las posibles situaciones
de riesgo.
Sin duda, las regulaciones internacionales son cada día más exigentes. Con un mundo
de datos desordenados y sin gobernabilidad, puede resultar imposible garantizar que
todos los datos relacionados con una persona en particular se eliminen, cuando este lo
solicite. Esto abre a las empresas a un gran riesgo y a multas potencialmente dañinas
para sus finanzas.
Ahora sabemos la razón por la cual la gobernanza de datos es importante y por qué las empresas
están alineando sus mejores esfuerzos para beneficiarse en un futuro cercano de tecnologías como
el IoT, la Inteligencia Artificial y el Big data.
23
Curso Avanzado sobre Regulación de las TIC
En sectores como la banca o los seguros, la regulación y el cumplimiento son los principales
motivadores a la hora de adoptar la gestión de riesgos en la gobernanza de datos. Un poco por
detrás en orden de prioridad, se encuentra la necesidad de clasificar y gestionar los datos asociados
con un elevado riesgo, sea del tipo que sea.
Conocer los propios límites en materia de seguridad de datos y entender las necesidades de negocio
en cuanto al consumo de información permite tomar las mejores decisiones para que ni la privacidad,
ni el rendimiento de los procesos se vean afectados.
En este sentido un programa de gobernanza de datos deberá encontrar un equilibrio entre la
seguridad de los datos y el rendimiento de los procesos del negocio. A partir de aquí, habrá que
trabajar en distintas líneas desde la función de gobernanza, para lo cual se deberá:
1) Definir la propiedad de los datos y los niveles de acceso: de esta forma se crea un marco
operativo que facilita el control y el monitoreo de la forma en que se interactúa con los datos.
2) Concretar las condiciones físicas para el almacén de datos: Con esto se busca definir
claramente dónde han de residir los datos geográficamente.
24
Curso Avanzado sobre Regulación de las TIC
nuestras fronteras. Con ello el reto de gobernanza de datos se hace más complejo y en particular
en los casos de resolución de conflictos.
1) El software como servicio (SaaS): también llamado software basado en web, son
aplicaciones basadas en la nube y que se ejecutan en la nube en los servidores de un
proveedor de SaaS. Con este tipo de servicio se busca reemplazar la práctica habitual de
instalar aplicaciones en servidores para ofrecer servicios a los diferentes usuarios de una
organización.
2) Plataforma como servicio (PaaS): esta opción soporta íntegramente el ciclo del software al
permitir que los clientes desarrollen servicios y aplicaciones en la web. La diferencia principal
con el SaaS es que este solo hospeda software ya terminado. La PaaS ofrece la posibilidad
de acoger software finalizados y en proceso, de este modo, el usuario puede acceder a
herramientas, ambientes y direcciones de configuración del proceso.
5) Nube privada: está compuesta por recursos informáticos que utiliza exclusivamente una
empresa u organización. La nube privada puede ubicarse físicamente en el centro de datos
local de su organización u hospedarla un proveedor de servicios externo.
25
Curso Avanzado sobre Regulación de las TIC
6) Nube Híbrida: La nube híbrida, que suelen llamarse "lo mejor de ambos mundos", combinan
infraestructura local (o nubes privadas) con nubes públicas, de modo que las organizaciones
puedan beneficiarse de las ventajas de ambas.
Los retos jurídicos de cualquiera de estas modalidades de contratación, por lo general surgen desde
diferentes vertientes del derecho como: la protección de datos, la transferencia internacional de
datos, la propiedad intelectual, la seguridad de la información almacenada en la nube, las
actuaciones criminales, la responsabilidad civil, el derecho de la competencia y los impuestos tienen
como eje común el problema de la ley aplicable a los contratos y bajo qué jurisdicción se realizaron
los actos jurídicos.
En este sentido se han venido elaborando una serie de recomendaciones para que los gobiernos
faciliten los mecanismos que permitan obtener los beneficios del uso de los servicios en la nube y
de los flujos transfronterizos de datos para las personas, las organizaciones, las instituciones del
Estado y la economía.
2.7.1. Regulaciones
Un marco regulatorio de ámbito global y una estrecha colaboración entre proveedores y clientes de
servicios de computación en la nube son algunas de las medidas que ayudarían a mejorar la
seguridad de estos servicios.
Hablar de Cloud Computing es hablar de Internet, un entorno en el que los datos se encuentran en
constante movimiento a través de las fronteras, en consecuencia, la gestión de los riesgos de
privacidad y seguridad requiere del establecimiento de protecciones jurídicas y técnicas centradas
en los datos, en lugar de protecciones centradas en geografías concretas. Dada la falta de una
normativa global en materia de privacidad, y específicamente en materia de movimientos
internacionales de datos, estas garantías deben procurarse contractualmente.
Si bien el cumplimiento de las normativas aplicables, en función del lugar del establecimiento u
operaciones responsable del tratamiento de dichos datos, o de su actividad sectorial, debe guiar las
protecciones mínimas que deben asegurarse por vía contractual, el mero cumplimiento normativo
no implica necesariamente la protección efectiva de los datos contra los riesgos que envuelve el
26
Curso Avanzado sobre Regulación de las TIC
internet, tales como los ataques e intrusiones provenientes de hackers y otros actores, incluidos
gobiernos, en detrimento de la confidencialidad de los datos y los derechos de sus titulares. Por lo
tanto, resulta imprescindible el establecimiento de medidas de seguridad adecuadas, teniendo en
cuenta el estado del arte tales como el cifrado robusto y la autenticación de doble factor. Igualmente
se recomienda, entre otras acciones, la realización de ciberejercicios para probar la robustez y
resiliencia de los servicios de Cloud Computing.
En la Unión Europea las instituciones financieras deben cumplir los reglamentos en materia de
protección de datos. Los contratos de computación en la nube suscritos con un Proveedor de
Servicios en la Nube (CSP por sus siglas en inglés) implican por regla general una transferencia
internacional de datos, en la que normalmente el banco actúa como responsable del tratamiento de
datos y el proveedor CSP como encargado de su tratamiento. Por este motivo, debe garantizarse el
cumplimiento de la Directiva CE/95/46 del Parlamento Europeo sobre protección de datos (que a
partir de 2018 fue sustituida por el Reglamento General de Protección de Datos 2016/679),
especialmente en relación con el requisito general de recabar la autorización de las Autoridades de
Protección de Datos Nacionales (NDPA por sus siglas en inglés) a la hora de transferir datos fuera
del Espacio Económico Europeo (UE, Islandia, Liechtenstein y Noruega), así como acerca del
cumplimiento de los artículos relacionados con las transferencias internacionales de datos. La
Comisión Europea aprobó un código de conducta para los proveedores CSP en materia de
protección de datos que se viene aplicando.
27
Curso Avanzado sobre Regulación de las TIC
Visto lo anterior, resulta pertinente retomar el problema de la localización de los centros de datos
donde estarán alojados los datos. Este asunto se torna relevante para los usuarios ya que,
dependiendo de la naturaleza del conflicto, se determinará la ley aplicable para el contrato, siendo
este asunto crucial para cualquier servicio que se ofrezca utilizando los modelos de negocio de la
computación en la nube.
Microsoft Corporation en el documento: “Privacy and data access in a world of online computing: a
call to action”, evidencia los problemas en materia de jurisdicción que están afrontando las empresas
que ofrecen estos servicios. La discusión se centra sobre la jurisdicción que los proveedores del
servicio en la nube están ejerciendo sobre los contenidos de los usuarios de los servicios y sobre la
administración de datos personales; situaciones que, en algunos casos, causan conflictos entre las
partes y los Estados donde efectivamente se encuentran los data centers. Ciertos regímenes
determinan que la jurisdicción existe sólo si los datos están almacenados físicamente en el país,
mientras que otros ejercen su jurisdicción en tanto el servicio en cuestión está siendo ofrecido allí o
si el usuario a quien se refieren los datos reside en el lugar. Otros declaran su jurisdicción en tanto
el proveedor del servicio tenga un sitio de negocios en el país, sin considerar dónde están
localizados los datos.
28
Curso Avanzado sobre Regulación de las TIC
Vale resaltar que muchos países por regulaciones internas prohíben el uso de servicios en la nube
extraterritoriales para almacenar datos sensibles, tales como historias clínicas electrónicas de
pacientes, datos de sus ciudadanos y datos bancarios.
Big data es un término que describe grandes volúmenes de datos, tanto estructurados como no
estructurados, que se incrementan en las empresas y organizaciones cada día. Pero no es la
cantidad de datos lo que es importante. Lo que importa realmente con el Big data es lo que las
organizaciones pueden hacer con esos datos. Los esquemas tradicionales de análisis de datos han
perdido vigencia, ahora hace falta una nueva generación de software y aplicaciones informáticas de
procesamiento de datos para procesarlos adecuadamente.
Sin embargo, adicional a los beneficios y oportunidades que estas nuevas tecnologías brindan a las
empresas, la computación en la nube, el Big data y la inteligencia artificial también van
acompañadas de riesgos. En el caso particular del Big data lo más relevante es el riesgo que el
análisis masivo de datos tenga sobre la privacidad y seguridad de las personas.
3.1. Desafíos
Las tecnologías emergentes y en particular el Big data, que presentan un gran potencial tanto para
29
Curso Avanzado sobre Regulación de las TIC
el presente como para el futuro, están en constante transformación y expansión. La evolución del
Big data y el nivel de adopción de estas tecnologías por parte de las empresas nos hace enfrentar
diferentes desafíos a mediano plazo. Para evitar limitaciones en este sentido, debemos estudiar
algunos puntos que pueden implicar un reto en el futuro.
Uno de los principales desafíos que tienen aquellas empresas que ya desarrollan iniciativas de Big
data, es encontrar profesionales con suficiente capacitación y experiencia. Si nos fijamos en el
mercado, la demanda de profesionales especializados en Big data es mucho mayor que la oferta.
La complejidad de los sistemas de Big data requiere de equipos técnicos totalmente dedicados a
respaldar la plataforma, tanto para el soporte de la infraestructura como para el soporte de todos los
equipos involucrados en el procesamiento de la información. Equipos dedicados al
aprovisionamiento de datos, implementación de nuevas herramientas, desarrollo de modelos y
productividad, entre otros. Esta necesidad de personal calificado puede ser una limitación para
ciertas compañías.
Otro aspecto muy importante tiene que ver con la calidad de los datos. Ahora podemos cargar
información adicional que ya no se encuentra dentro de los dominios de la empresa: comentarios o
“likes” en redes sociales, resultados de campañas de mercadeo, datos estadísticos de terceros,
etc. Todos estos datos nos ofrecen información que nos ayuda a saber si nuestros productos o
servicios están funcionando o por el contrario están teniendo problemas.
A continuación, se describen algunos desafíos a los que se enfrenta la calidad de datos de Big data:
1) Muchas fuentes y múltiples tipos de datos
Con tantas fuentes, tipos de datos y estructuras complejas, la dificultad de integración de datos
aumenta. Las fuentes de datos de Big data son muy amplias. Entre las más comunes podemos
señalar:
30
Curso Avanzado sobre Regulación de las TIC
Datos experimentales.
Igual de amplio son los tipos de datos que se pueden manejar. Entre los más comunes tenemos:
Cabe resaltar, que solo el 20% de los datos son de tipo estructurado, siendo el resto no
estructurados y en múltiples formatos. Eso sin duda implica un reto inmenso al momento de su
procesamiento. Sin las herramientas adecuadas y el establecimiento de programas de gobernanza
y calidad de datos, el procesamiento de estos se hace prácticamente inmanejable.
Es difícil recolectar, limpiar, integrar y obtener datos de alta calidad de forma rápida. Se necesita
mucho tiempo y capacidad de procesamiento para transformar los tipos no estructurados en tipos
estructurados y procesar esos datos.
3) Mucha volatilidad
Los datos cambian rápidamente y eso hace que tengan una validez muy corta. Para solucionarlo
necesitamos un poder de procesamiento muy alto.
31
Curso Avanzado sobre Regulación de las TIC
La calidad de datos de Big data es clave, no solo para poder obtener ventajas competitivas sino
también impedir que incurramos en graves errores estratégicos y operacionales basándonos en
datos erróneos con consecuencias que pueden llegar a ser muy graves para las empresas.
32
Curso Avanzado sobre Regulación de las TIC
La gobernabilidad no ocurre sin una seguridad en el punto final de la cadena. Es importante construir
un buen perímetro y colocar un cortafuego alrededor de los datos, integrados con los sistemas y
estándares de autenticación existentes. Cuando se trata de autenticación, es importante que las
empresas se sincronicen con sistemas probados.
Entre otras medidas que pueden ser adoptadas están la adecuación a las normas y leyes, control
de acceso a la información más estratégica, selección de las informaciones disponibles en el
ambiente de datos y revisión de autenticidad de la información, con origen garantizado. Finalmente,
usar el enmascaramiento de los datos puede ser una salida interesante para escribir elementos de
datos confidenciales para que esos datos no sean compartidos con personas fuera de la empresa.
Una vez superado el perímetro y con acceso al sistema, proteger los datos de PII es
extremadamente importante. Es necesario encriptar esos datos de forma que, independientemente
de quienes tengan acceso a ellos, puedan ejecutar los análisis que necesiten sin exponer ninguno
de esos datos.
33
Curso Avanzado sobre Regulación de las TIC
En última instancia, el custodio de datos del negocio, con el apoyo de los custodios de datos de TI,
deben pensar en los detalles del acceso granular, la autenticación, la seguridad, el cifrado y la
auditoría. Pero estos no deben quedarse solo allí, más bien deben pensar en cómo cada uno de
estos componentes se integran en su arquitectura de datos global. También deben pensar en cómo
esa infraestructura va a necesitar ser escalable y segura, desde la recolección de datos y
almacenamiento hasta la inteligencia del negocio, analítica y otros servicios de terceros.
En conclusión, con el uso de las tecnologías emergentes como el Internet de las cosas, la
computación en la nube y el Big data, obtenemos muchos beneficios, pero también nos enfrentamos
a una serie de desafíos, como ya hemos visto. La privacidad, seguridad y protección de los datos
de las personas son los que despiertan mayor preocupación y por ello son temas que deben ser
abordados en detalle. Solo así se puede ofrecer a los ciudadanos seguridad y confianza en que sus
datos están siendo utilizados sin vulnerar su privacidad, intimidad o cualquier otro valor vinculado a
la persona, cuando se trata del uso de sus datos personales.
En esta nueva era de la economía digital y de las tecnologías emergentes, tal como hemos
mencionados en capítulos anteriores, los datos se han convertido en uno de los activos más valiosos
del mundo, ya que no son ni finitos ni físicos y pueden transmitirse y duplicarse fácilmente.
Una de las interrogantes clave que debe abordarse es cómo fomentar el crecimiento de la economía
digital, energizarla e impulsarla, al tiempo de ofrecer a los consumidores la protección y la privacidad
34
Curso Avanzado sobre Regulación de las TIC
que requieren y crear una atmósfera de confianza en el mundo en línea. La protección de datos del
consumidor, la confianza y la seguridad son quizás algunos de los mayores desafíos pendientes
para una economía digital en constante expansión. Esto cobra cada día mayor importancia con el
surgimiento de informes sobre importantes violaciones de datos personales en el ámbito de las
redes sociales.
Según el artículo 9 del Reglamento General de Protección de Datos de la Unión Europea (GDPR
por sus siglas en inglés), las categorías especiales (sensibles) de datos personales incluyen, entre
otros: datos de salud, datos genéticos, biometría, creencias religiosas y creencias políticas. Se
aplican reglas más estrictas al procesamiento y manejo de estos datos especiales, y dichos datos
disfrutan de una mayor protección que los datos personales ordinarios (artículo 64), que abarca
todos los datos personales que no figuran en el artículo 9.
Bajo la mayoría de los diferentes regímenes globales de protección de datos, las empresas privadas
pueden recopilar datos personales, pero no son "propietarios" de estos datos. En cambio,
"controlan" los datos y, por lo tanto, se los conoce legalmente como "controladores de datos",
mientras que los datos en sí siguen siendo propiedad del individuo.
Esto se aplica tanto a los modelos europeos como a los del Foro de Cooperación Económica Asia
– Pacífico (APEC) y a la Asociación de Naciones del Sureste Asiático (ASEAN), que se basan en
las directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE) que
primero proporcionaron estas definiciones en la década de 1980.
35
Curso Avanzado sobre Regulación de las TIC
Dos eventos importantes de la primera mitad de 2018 tuvieron un impacto significativo en la forma
en que las organizaciones y las personas ven y gestionan sus relaciones con los datos personales.
El 17 de marzo, dos importantes diarios publicaron artículos donde indicaban que la empresa
Cambridge Analytica utilizó los datos personales de más de 87 millones de usuarios de una red
social reconocida, para crear anuncios políticos dirigidos a influir en los resultados de las elecciones
de 2016 en EE. UU. y el Brexit en Inglaterra.
Dos meses después el GDPR entregó criterios explícitos y reglas sobre quién fue afectado, lo que
podía y no podía hacerse con los datos personales y la acción de cumplimiento para aquellas
organizaciones que no se adhirieron a las regulaciones. De manera crucial, el alcance del GDPR no
se limita a las personas dentro de la UE, sino que también cubre a las compañías que controlan o
procesan datos personales de ciudadanos de la UE en cualquier país, convirtiéndolo efectivamente
en un conjunto de regulaciones casi global.
Reguladores
Regular la protección de datos en diferentes industrias y sectores.
Cooperar en todas las áreas regulatorias con autoridades de protección de datos,
agencias de protección al consumidor, autoridades de competencia, organismos
antimonopolio y reguladores de TIC y telecomunicaciones.
36
Curso Avanzado sobre Regulación de las TIC
Sensibilizar sobre las normas y regulaciones de protección de datos, privacidad y
seguridad vigentes e informar a los consumidores de sus derechos.
Ayudar al sector privado en los esfuerzos regulatorios, ya sea a través de la corregulación
o facilitando la autorregulación.
Realizar evaluaciones de impacto de privacidad al desarrollar reglas y regulaciones.
Facilitar la creación y adopción de estándares específicos de la industria y el sector para
la protección de datos.
Hacer cumplir y defender los derechos individuales de protección de datos.
Sector privado
Comprender y actuar de acuerdo con las leyes de protección de datos aplicables.
Garantizar el procesamiento transparente y legal de los datos personales.
Definir y aplicar pautas internas, procedimientos y estructuras de gobernanza para el
manejo de datos personales.
Realizar evaluaciones de privacidad en actividades de alto riesgo.
Contribuir a la creación y adopción de estándares sectoriales específicos para la
protección de datos y la privacidad.
Garantizar el cumplimiento y la defensa de los derechos individuales de protección de
datos en sus actividades.
Los consumidores
Conocer los datos que regalan y los servicios que reciben a cambio.
Participar activamente y comprender los debates públicos sobre protección de datos.
Hacer responsables a los controladores de datos.
La economía digital es vital para el crecimiento global continuo, por eso la confianza del consumidor
y el cumplimiento legal deben ser el centro y el poder para impulsar la economía digital e impulsar
el desarrollo digital. Las empresas deben considerar la privacidad y la ciberseguridad como partes
integrales de sus servicios y la vanguardia del desarrollo futuro y las innovaciones en toda la
industria de las TIC.
37
Curso Avanzado sobre Regulación de las TIC
4.3. Explorar la privacidad en línea, la confianza y garantizar la seguridad: preparando el
escenario (global y regional)
Los avances en la tecnología de la nube también han hecho posible que las empresas se inicien en
áreas de negocios que de otro modo serían muy pesadas, como la banca y los seguros, que ahora
ven un crecimiento en la competencia de proveedores en línea sin sucursales físicas.
Los datos se utilizan cada vez más para perfilar a los usuarios en función de, entre otras cosas, su
historial de búsqueda en línea, comentarios activos en las redes sociales, ubicaciones geográficas
etiquetadas y compras en línea, e incluyen información confidencial y personal sobre sus
preferencias políticas, orientación sexual y mucho más. Si bien la publicidad dirigida puede parecer
inofensiva, es importante reconocer que se basa en un sistema diseñado para recolectar datos
personales y que distribuye estos datos ampliamente a través de las fronteras, a veces de manera
no intencional.
Aunque las empresas deseen tratar los datos personales con respeto a la privacidad, pueden
terminar violando inadvertidamente la privacidad de sus usuarios mediante el uso de cookies y
programas de seguimiento para monetizar el flujo de tráfico, y también compartir estos datos
inadvertidamente con terceros, perder el control sobre quién recibe y utiliza los datos de sus propios
visitantes.
Otras partes pueden tratar de engañar al controlador de datos y entregar datos engañosamente a
terceros, quienes pueden hacer un mal uso de los datos sin el conocimiento del controlador de datos.
38
Curso Avanzado sobre Regulación de las TIC
Existe un aumento en los ataques cibernéticos, que a menudo afectan los datos personales en poder
de las empresas o las autoridades públicas. El éxito de estos ataques ayuda a corroer la confianza
del público y del consumidor en las diferentes entidades responsables del manejo de datos
personales.
Los recién llegados a Internet pueden desconocer los posibles abusos y riesgos. Sin embargo, esta
confianza es esencial para la expansión exitosa y el uso de plataformas de comercio electrónico y
sistemas de pago móvil en países en desarrollo. La confianza parece disminuir en proporción directa
a la duración de la exposición a los servicios de Internet y sus riesgos asociados.
En general, en todos los mercados, la confianza en el uso de datos personales por parte de las
organizaciones se está erosionando, tanto en términos de seguridad como de uso. La pregunta es,
si hay un punto de inflexión cuando los beneficios y el inicio de sesión en un servicio se ven
compensados por los riesgos y posibles daños causados por la presencia en línea. A medida que
más y más datos fluyan a empresas privadas y públicas, y la falta de control y transparencia crezca,
podemos estar en peligro de acercarnos a este punto. De hecho, si el equilibrio alguna vez se inclina
contra el individuo, la carrera evolutiva digital en curso entre ciberseguridad, cibercriminales,
empresas y autoridades públicas tiene el potencial de poner en peligro el crecimiento sostenible de
la economía digital. Si bien no sabemos dónde está el "punto de inflexión", no obstante, está claro
que la seguridad y la privacidad son esenciales para mantener y potenciar la economía digital.
39
Curso Avanzado sobre Regulación de las TIC
indirecto de la interacción entre consumidores y proveedores de bienes y servicios, interacciones
que son facilitadas por los datos personales.
El término economía de las aplicaciones se refiere a la suma de las actividades económicas, los
productos y los servicios, necesarios para ofrecer la funcionalidad de la aplicación a los usuarios
finales, en particular a través de las conexiones de banda ancha móvil.
Las aplicaciones no están solas, sino que dependen de sistemas operativos (IOS, Android, etc.), de
teléfonos inteligentes o tabletas, de un operador de telecomunicaciones y, a menudo, diferentes
servicios en la nube, que facilitan el uso de las propias aplicaciones. Estos sistemas y servicios
también recopilan datos personales y también usan las aplicaciones para recopilar datos. Los
sistemas operativos y los servicios en la nube rastrean dónde se encuentran (geolocalización) e
interactúan con las aplicaciones que usa, y a veces entran en conflicto con los principios de
transparencia y consentimiento. Los dispositivos portátiles conectados, como los relojes inteligentes,
monitores de signos biomédicos y los instrumentos de acondicionamiento físico, también se
conectan a los sistemas operativos y servicios en la nube, lo que puede enviar datos personales
confidenciales a otros destinatarios de una manera no transparente.
40
Curso Avanzado sobre Regulación de las TIC
4.3.4. Identidades digitales
La digitalización exitosa entre los usuarios, el mercado privado y el sector público se basa, en gran
medida, en una combinación de confianza y conveniencia. Mientras la conveniencia supere los
riesgos, tanto los ciudadanos como los consumidores continuarán utilizando servicios específicos.
Al mismo tiempo que las aplicaciones están expandiendo el panorama digital, un número cada vez
mayor de países están introduciendo identidades digitales como un medio para facilitar la
digitalización de la sociedad y aumentar la seguridad e integridad de los servicios públicos y privados
en línea.
Los derechos individuales, como el Derecho de Datos del Consumidor y el Derecho a la Portabilidad
de Datos en la GDPR, abren la oportunidad de romper los monopolios en línea al garantizar que los
consumidores puedan cambiar de proveedor sin tener que comenzar necesariamente desde cero.
Esto le da la opción de elegir un proveedor diferente sin sufrir penalizaciones.
41
Curso Avanzado sobre Regulación de las TIC
4.3.6. El derecho a ser anónimo
Todo esto plantea la pregunta: ¿deberían los usuarios tener el derecho a ser anónimos en línea?
Esta no es una pregunta fácil de responder. Como se indicó anteriormente, los datos personales
son el combustible principal que impulsa la economía digital y como tal, están profundamente
integrados en la mayoría de los servicios en línea.
Las tiendas en línea no pueden enviar mercancías, por ejemplo, a menos que tengan detalles de
nombre y dirección para el envío. Otras compañías también necesitan pruebas de la existencia de
compradores y personas físicas para cumplir con la legislación contra el lavado de dinero y las
normas fiscales nacionales.
A medida que nos acercamos al punto de inflexión de lo que es posible a nivel técnico, la posibilidad
de un anonimato completo podría estar más cerca de lo que pensamos. Pero cualquier derecho al
anonimato tendrá que equilibrarse cuidadosamente con la seguridad nacional.
4.4. Comprender los modelos de negocio de datos en línea y los mercados de datos
No hay duda de que los datos se han convertido en uno de los productos más valiosos del mundo,
lo que lleva a algunos a proclamar que los datos son hoy en día el activo más valioso para muchas
empresas. Una de sus ventajas sobre otros activos, se debe precisamente a que los datos pueden
ser enviados casi al instante y se pueden duplicar con facilidad.
42
Curso Avanzado sobre Regulación de las TIC
Para examinar las diferencias entre un mercado convencional y un mercado bilateral basado en
aplicaciones, vale la pena ver el impacto de las empresas de transporte de pasajeros basadas en
app, en comparación con el modelo de negocio de taxi convencional.
Una de las empresas más reconocidas de este sector, ahora opera en 900 ciudades alrededor del
mundo. Al vincular a los conductores de los automóviles con los clientes que requieren transporte,
es un ejemplo clásico de una economía basada en aplicaciones bilaterales.
43
Curso Avanzado sobre Regulación de las TIC
Uno de los problemas surge cuando una empresa es adquirida por otra. En un principio, los clientes
dieron su consentimiento para un tipo de procesamiento de datos bajo los propietarios anteriores,
pero es probable que sus nuevos propietarios procesen sus datos de manera diferente y los usen
para otros fines. Esto crea una multitud potencial de problemas de cumplimiento legal.
Otro problema, relacionado con la competencia, es la cantidad de datos personales en poder de una
sola empresa. ¿Cuántos datos personales puede controlar una sola empresa antes de que las leyes
antimonopolio comiencen a aplicarse? Estamos comenzando a ver que se aplican regulaciones
antimonopolio en esta área. Queda la pregunta de cuántos usuarios puede tener una empresa antes
de que se considere que ha alcanzado una posición dominante en el mercado. Esta no es una
pregunta fácil de responder y será cada vez más relevante en el futuro.
Dichas preguntas afectarán el trabajo de los reguladores de protección de datos, los reguladores
antimonopolio y los reguladores de las TIC. Aunque actualmente estamos viendo cooperación entre
las Autoridades de Competencia y Protección de Datos (DPA por sus siglas en inglés), hay mucho
menos entre las DPA y los reguladores de las TIC. De hecho, un análisis realizado por UIT concluyó
que hay muy poca cooperación entre los reguladores de las TIC y las DPA por el momento.
Hay dos puntos de presión importantes que ya deben abordarse, y tanto los reguladores como los
que procesan datos deben reconocerlos y trabajar para garantizar el flujo continuo de datos. El
primer punto de presión importante son los propietarios de datos individuales. El segundo, seguido
directamente del primero, es la respuesta regulatoria a las crecientes preocupaciones sobre el uso
de datos.
Las empresas que no tomen medidas activas para asegurar a los interesados que sus datos
personales estarán seguros con ellos ahora comenzarán a enfrentar consecuencias. Las empresas
proveedoras de redes sociales, reconocidas por su alta dependencia de datos, están comenzando
44
Curso Avanzado sobre Regulación de las TIC
a sentir puntos de presión directos, tanto de la regulación como de la disminución de la confianza
del sujeto (dueño) de los datos.
Pero ¿cómo hacer esto mejor?. Construyendo una mejor relación con sus consumidores,
asegurándose de que sus clientes se conviertan en una parte clave de la marca.
Algunos países tienen Autoridades de Protección de Datos (DPA), mientras que otros aun no, y en
algunos países no tienen legislación alguna. Otros pueden tener legislación específica del sector,
pero no regulaciones de protección de datos para toda la economía, como el GDPR, que se aplica
tanto horizontal como verticalmente. Sin embargo, en muchos países del mundo, existe una fuerte
tendencia mundial hacia el establecimiento de autoridades especiales de protección de datos con
fuertes poderes de aplicación. A nivel mundial, alrededor del 60% de los países han establecido una
Autoridad de Protección de datos (DPA).
Al menos 109 países de todo el mundo han adoptado alguna forma de protección de datos y
legislación de privacidad. Mientras que el 10% de los países tienen proyectos de ley, el 21% no tiene
legislación alguna.
45
Curso Avanzado sobre Regulación de las TIC
4.5.1. Diferentes modelos para la regulación de protección de datos.
En la actualidad se identifican tres tipos diferentes de regulación: regulación directa, autorregulación
y corregulación (que puede ser similar a la regulación colaborativa entre el sector privado y el
regulador).
2) Autorregulación
La autorregulación ocurre cuando las empresas establecen sus propios marcos regulatorios,
por ejemplo, protegiendo los datos personales a través de términos y condiciones internas
específicas, o adoptando una política de privacidad interna. Esto a menudo es necesario, ya
que la regulación de la privacidad puede ser algo vaga; un ejemplo son los períodos de
retención, en relación con el período de tiempo que los datos personales pueden conservarse
antes de que se eliminen.
3) Corregulación
La corregulación ocurre cuando las agencias gubernamentales y las empresas privadas
trabajan juntas para crear regulaciones de privacidad, ya sea que cubran empresas
individuales o un sector específico. Según la corregulación, los gobiernos y la industria
46
Curso Avanzado sobre Regulación de las TIC
comparten la responsabilidad de redactar, monitorear y hacer cumplir los estándares de
privacidad.
Las DPA a menudo emiten directrices nacionales para la economía en su conjunto, donde se centran
en la interpretación de ciertas disposiciones de protección de datos.
Dichas directrices también pueden ser específicas del sector. En Singapur, la Comisión de
Protección de Datos Personales (PDPC por sus siglas en inglés) ha emitido pautas de privacidad
no vinculantes dirigidas a los sectores de telecomunicaciones, bienes raíces, educación, salud,
servicios sociales y transporte.
“Un país miembro debe abstenerse de restringir los flujos transfronterizos de datos personales entre
él y otro país donde: (a) el otro país cumpla sustancialmente con estas Directrices o (b) existan
salvaguardas suficientes, incluidos mecanismos de aplicación efectivos y medidas apropiadas
47
Curso Avanzado sobre Regulación de las TIC
implementadas colocadas por el controlador de datos, para asegurar un nivel continuo de protección
consistente con estas Pautas".
Sin embargo, las directrices de la OCDE también alientan firmemente la adopción de salvaguardas
apropiadas.
Estados Unidos ha aprobado una legislación en la forma de la Ley CLOUD, que estipula que las
agencias gubernamentales de aplicación de la ley tienen el derecho de solicitar la extracción de
cualquier información almacenada por compañías con sede en Estados Unidos fuera de los Estados
Unidos, sin solicitar ayuda a las autoridades nacionales de esos países. Esta medida ha llevado al
Parlamento Europeo a pedir la suspensión del Escudo de Privacidad, a través del cual los Estados
Unidos han otorgado una garantía política para restringir y limitar el acceso del gobierno a los datos
en poder de las empresas certificadas.
Existe una serie de áreas que deben examinarse al analizar la seguridad de los datos, ya que esto
es fundamental para generar la confianza del consumidor en las organizaciones que procesan y
almacenan datos personales. Los datos son vulnerables, tanto en reposo como en tránsito. El riesgo
para las organizaciones también variará según el valor de los datos, tanto para las organizaciones,
en términos del valor del negocio o el impacto de una violación en el negocio, como para los propios
interesados.
48
Curso Avanzado sobre Regulación de las TIC
4.6.1. Barreras que enfrenta la industria para asegurar los datos
Asegurar los datos es fácil, pero puede ser difícil proteger los datos a los que se puede acceder y
procesar fácilmente, compartir de manera segura y actualizar cuando sea necesario, todo mientras
se mantienen los costos bajos.
4) Costo
La cuarta barrera es el costo del aumento de las actividades de protección de datos. En una línea
similar a la sobreestimación o la subestimación de los controles, implementar soluciones técnicas
para proteger los datos no es barato y puede ser que el modelo de negocios de una organización
tenga que adaptarse al hecho de que la protección de datos ahora es una sobrecarga financiera
49
Curso Avanzado sobre Regulación de las TIC
adicional. Cualquier nuevo participante en la economía digital se enfrenta a costos considerables
simplemente al lanzar su producto o servicio.
5) Habilidad de adopción
La barrera final es la habilidad. La entrada en vigor de las nuevas regulaciones generalmente es
bien recibida por los consumidores, pero puede plantear problemas reales para aquellos que deben
adherirse a ellas.
4.6.2. Reguladores
La regulación de la protección de datos no es nueva, pero su necesidad está creciendo rápidamente,
particularmente a la luz de las importantes violaciones de datos que afectan a un número cada vez
mayor de consumidores.
Además del problema de las definiciones ambiguas, está la cuestión de cómo se entrega la
regulación de seguridad. Existen varios modelos, que van desde la regulación directa del gobierno
hasta la autorregulación. La corregulación ofrece un enfoque flexible de medio camino para definir
y alcanzar estándares. Esto permite a la industria y al gobierno combinar e incorporar estándares
establecidos por la industria para la seguridad cibernética que contienen medidas para la protección
de datos.
4.6.3. Fabricantes
Tradicionalmente, los proveedores de seguridad han basado sus productos y tecnología en
prácticas de seguridad tradicionales como la creación de un perímetro seguro, bajo la premisa de
que si construyes un muro lo suficientemente alto y dejas atrás todos tus activos, deberías estar
razonablemente seguro. Si bien esto puede haber funcionado en el pasado, a medida que los datos
se convierten cada vez más en el producto, y compartirlos se vuelve esencial para el éxito comercial,
50
Curso Avanzado sobre Regulación de las TIC
este enfoque causa problemas, incluida la menor disponibilidad de información y una percepción
peligrosamente falsa de seguridad.
Hoy en día el mayor desarrollo en seguridad lo ofrece blockchain, que se ha descrito como una
innovación disruptiva de la forma en que muchas industrias procesan transacciones basadas en
bases de datos. De la misma manera que algunas de las compañías del mercado bilateral de
transporte de pasajero basadas en app han hecho una aparición disruptiva en las compañías de
taxis tradicionales, blockchain está haciendo lo mismo en industrias desde la banca hasta la atención
médica.
Blockchain puede ofrecer más eficiencia a las transacciones, más seguridad a través de la
distribución y mayores niveles de integridad a través de la aprobación de pares, y habrá muchas
oportunidades para usarlo para impulsar la economía digital. Sin embargo, es importante tener en
cuenta que blockchain no es una aplicación económica de dos lados, o un modelo de negocio en sí
mismo; es una tecnología que puede ser aplicada y utilizada por plataformas que conforman el
modelo de negocio de la economía bilateral.
Blockchain también ofrece un nivel mucho más alto de protección a la integridad de los datos, ya
que cualquier cambio de datos en solo una parte de la cadena de bloques sería mucho más rápido
de detectar que en las soluciones de almacenamiento tradicionales.
51
Curso Avanzado sobre Regulación de las TIC
5. Desafíos y oportunidades regulatorias en el nuevo ecosistema de las TIC
El nuevo ecosistema de las TIC ha desatado un ciclo virtuoso, transformando múltiples actividades
económicas y sociales en su camino, abriendo nuevos canales de innovación, productividad y
comunicación.
El sello distintivo del nuevo ecosistema de las TIC es el uso común de la interconectividad: todo está
conectado a todo lo demás y cada día más. La regulación que hasta ahora se venía utilizando y que
había evolucionado en el siglo pasado ahora ha pasado a ser obsoleta. A fin de poder garantizar
que los consumidores disfruten de las dimensiones positivas del nuevo ecosistema de las TIC, es
importante que existan unas nuevas formas de cooperación reguladora en todas las industrias y en
todos los ámbitos. Solo de esa forma se les puede garantizar la protección contra su potencial
negativo, impulsar el crecimiento económico teniendo en cuenta la sostenibilidad ambiental y la
inclusión social.
Sin duda en este nuevo ecosistema se necesitan nuevas regulaciones, normas, políticas, convenios
nacionales, regionales, globales que apoyen y ayuden a salvaguardar la seguridad y la confianza
del público en general, a fin de lograr impulsar el desarrollo económico y social de las naciones.
Todo esto presenta desafíos, pero también muchas oportunidades para los reguladores. Los
gobiernos y los reguladores del sector deben encontrar un equilibrio entre maximizar los beneficios
del nuevo ecosistema de las TIC y asegurar objetivos óptimos de política y regulación diseñados
para abordar las consecuencias potenciales y realmente negativas de un panorama en constante
cambio, como el abuso del poder de mercado, los abusos de los derechos del consumidor y la falta
de desarrollo de producción de contenido local. Dicho equilibrio debe optimizar la regulación
específica del sector y al mismo tiempo crear un entorno propicio que contribuya a la innovación y
la inversión.
52
Curso Avanzado sobre Regulación de las TIC
La palabra "disruptivo" ha entrado en el lenguaje común, y se usa como una descripción de cómo
las empresas basadas en aplicaciones y los modelos comerciales están desplazando rápidamente
a los operadores tradicionales en una amplia gama de industrias.
En realidad, los servicios OTT ya no son over-the-top (de libre transmisión) en términos de su
contribución al futuro del sector de telecomunicaciones / TIC. Aunque se consideran perjudiciales
para los modelos y mercados comerciales anteriores, se han convertido en una parte integral e
importante del movimiento global hacia la economía de las aplicaciones.
5.2. Pasar del legado a la nueva regulación del ecosistema de las TIC
Los operadores de telecomunicaciones se enfrentan a modelos comerciales cambiantes debido a
la aparición de servicios de comunicación de libre transmisión o sobre la red (over-the-top (OTT) por
su nombre en inglés) como Skype, WhatsApp, Telegram, entre otros, que compiten directamente
con los servicios tradicionales de voz y SMS ofrecidos por los operadores.
Las relaciones entre los intereses del consumidor a corto y largo plazo son complejas. La tendencia
de los operadores a innovar está relacionada tanto con la capacidad de generar márgenes, como
con el nivel de competencia que estimula la innovación continua. No es raro, por ejemplo, que una
empresa innove para salir de un período de baja rentabilidad y restablecer así su viabilidad comercial.
Esta perspectiva sugiere que los reguladores de telecomunicaciones / TIC con su enfoque
tradicional en el interés a largo plazo de los consumidores y los aspectos dinámicos de la estructura
53
Curso Avanzado sobre Regulación de las TIC
del mercado podrán proporcionar un contraste útil para el énfasis de los reguladores de la
competencia en los precios al consumidor a corto plazo.
A medida que algunas de las grandes empresas de tecnología en la economía de las aplicaciones
comienzan a incursionar en los roles de operadores, será necesario considerar las interacciones
entre sus actividades en los muchos mercados que ocupan y las implicaciones de estas en la
configuración de su comportamiento como operadores de telecomunicaciones. Un marco regulatorio
que combina perspectivas dinámicas y estructurales con el enfoque actual de la regulación de la
competencia crea un terreno fértil para la regulación colaborativa entre las telecomunicaciones y las
autoridades de competencia.
Los datos de la UIT sugieren que, en la mayoría de los países, existe algún tipo de mecanismo de
coordinación para garantizar el diálogo y la interacción con los diferentes niveles de gobierno
involucrados en la regulación de las TIC. Sin embargo, los mecanismos institucionalizados para la
implementación de la regulación colaborativa para aprovechar las telecomunicaciones / TIC en otros
sectores deben fomentarse aún más.
Del mismo modo, la colaboración con otros reguladores, incluidas las agencias de protección de
datos, competencia y protección del consumidor, crecerá en importancia, a medida que el dominio
del mercado, el antimonopolio, las fusiones y adquisiciones en la economía de las aplicaciones
traigan nuevos actores donde la propiedad y el control de los datos son el foco.
54
Curso Avanzado sobre Regulación de las TIC
Estamos en el comienzo de una nueva generación de regulaciones donde la colaboración dentro
del sector de las TIC y en todos los sectores es una realidad.
Los reguladores requieren cada vez más estrategias de colaboración con otras agencias en otros
sectores para desarrollar respuestas específicas a desafíos y oportunidades comunes. La
experiencia muestra que están coordinando con las autoridades competentes respectivas y otras
partes interesadas para crear conciencia y fomentar un entorno innovador y amigable para el
consumidor. Los encargados de formular políticas y los reguladores están siendo convocados todos
juntos para garantizar que las personas tengan acceso a las tecnologías, posean las habilidades
digitales para usarlas y que se confíe en el uso de los servicios de gobierno electrónico.
55
Curso Avanzado sobre Regulación de las TIC
Lo anterior es una preocupación para todos los gobiernos, ya que la economía de las aplicaciones
incorpora una proporción cada vez mayor de la actividad económica.
Tales enfoques regulatorios, por lo tanto, son anteriores a la conectividad ubicua de Internet / banda
ancha, los cambios en la estructura de la industria, los jugadores de servicios en línea, el
advenimiento de las redes sociales, los avances en la tecnología IP y los cambios en las
expectativas de los consumidores. Estos cambios plantean desafíos importantes para el régimen
regulador y los reguladores en todos los mercados mundiales.
56
Curso Avanzado sobre Regulación de las TIC
La UIT, en el marco de las Comisiones de Estudio del UIT-D, está trabajando en cuestiones
regulatorias específicas para apoyar a las autoridades regulatorias nacionales en la transición a este
nuevo entorno digital, por ejemplo, la Comisión de Estudio 1 del UIT-D - Pregunta 1/1 sobre política,
los aspectos normativos y técnicos de la migración de las redes existentes a las redes de banda
ancha en los países en desarrollo, incluidas las redes de próxima generación, los servicios m o
servicios accedidos vía celular, los servicios en línea y la implementación de IPv6, acaba de lanzar
un informe que incluye las mejores prácticas, estudios de casos y recomendaciones encaminadas
a estimular la inversión en banda ancha que permita la prestación de servicios para el desarrollo de
manera asequible, y la identificación de herramientas de políticas para facilitar la disponibilidad a
los consumidores a nivel local y nacional de servicios y aplicaciones competitivos basados en IP.
También ilustra una gama de arreglos comerciales alternativos que se han utilizado para satisfacer
la creciente demanda y otros cambios en el mercado. Además, la Comisión de Estudio 3 del UIT-T
está trabajando en el impacto económico y reglamentario de Internet, la convergencia (servicios o
infraestructura) y los nuevos servicios, como los servicios OTT y los servicios y redes de
telecomunicaciones internacionales.
Con la reciente incorporación de aplicaciones de música y video bajo demanda, se sugiere que
someter a las empresas de transmisión de radio y TV tradicionales a un tratamiento reglamentario
sobre la base de las tecnologías de radiodifusión que emplean es inconsistente y difícil de justificar,
y que de manera similar, los servicios tradicionales de voz y telefonía móvil están sujetos a diferentes
requisitos de licencia y calidad de servicio para servicios similares prestados por proveedores como
Skype y WhatsApp.
En la actualidad se evalúan una serie de cuestiones regulatorias clave relacionadas con los servicios
de contenido digital y en línea que deben abordarse para pasar a un nuevo régimen regulatorio
prospectivo:
Cuestiones de competencia
Licencias de proveedores de servicios en línea
Marcos de interconexión
Servicio universal
57
Curso Avanzado sobre Regulación de las TIC
Neutralidad de red y tasa cero de contenido
Privacidad del consumidor
Derechos del consumidor
Calidad de servicio
Problemas de numeración
Regulación de contenido
Ciberseguridad
Enfoques para la disponibilidad del espectro de Telecomunicaciones Móviles Internacionales
(IMT) y Acuerdos fiscales
De la lista anterior solo nos vamos a referir a las siguientes cuestiones: privacidad del consumidor
y derechos del consumidor que tienen que ver con los temas tratados en la gobernanza de datos.
Si bien los reguladores monitorean estrictamente los requisitos de privacidad y protección de datos
para los usuarios por parte de los operadores, la regulación de los proveedores de servicios en línea
a menudo se practica de manera bastante limitada y generalmente voluntaria, con restricciones
regulatorias mínimas. A la luz de esto, la difusión de datos en el ecosistema digital podría describirse
como un "costo oculto" para los consumidores, con la preocupación de que la información en
posesión de los proveedores de servicios en línea no esté adecuadamente protegida y utilizada de
manera inapropiada.
58
Curso Avanzado sobre Regulación de las TIC
juego desigual en el mercado. Los consumidores deben poderse formar expectativas consistentes
sobre cómo se recopila y utiliza su información. Por lo tanto, es discutible que los proveedores de
servicios en línea que ofrecen servicios sustituibles estén sujetos a las mismas obligaciones de
protección de datos y privacidad que los operadores de redes móviles, a fin de proporcionar un
entorno regulatorio estable y nivelado donde se promueva la competencia y la elección y protección
del consumidor. Este es un problema que podría resolverse mejorando la colaboración entre los
diferentes reguladores involucrados (protección del consumidor, protección de datos, competencia
y TIC).
Los reguladores, a nivel mundial, han recomendado que los OTT adopten una mayor transparencia
en el procesamiento de datos, obteniendo el consentimiento de sus clientes a través de la
suscripción antes de compartir sus datos y permitiendo a los usuarios seleccionar el estado de sus
comunicaciones (privadas o públicas). Los usuarios deben poder tomar decisiones informadas sobre
la cantidad de datos que pueden acceder otros y el uso que terceros hacen de ellos.
En ciertos países y regiones, los reguladores han establecido reglas de privacidad y protección de
datos que cubren a los proveedores de servicios en línea, siendo la más notable el Reglamento de
Privacidad y Comunicaciones Electrónicas de la Comisión Europea (CE).
La UIT ha observado que existe al menos el comienzo de cierta convergencia global en términos de
contenido y enfoques en las leyes de protección de datos, con una tendencia hacia la adopción de
leyes en línea como la "europea". En consecuencia, este nuevo reglamento de la CE, se ha venido
convirtiendo en una "referencia global" para la protección de datos en la era digital.
59
Curso Avanzado sobre Regulación de las TIC
Revelación de información
Mecanismos de reparación de fácil acceso y resolución rápida de problemas
El fundamento de estas leyes es una perspectiva económica de que los proveedores típicos tienen
un poder significativamente mayor que los consumidores típicos y que (al menos algunos)
proveedores están preparados para adoptar modelos comerciales que exploten a los consumidores
bajo los cuales puede haber opciones limitadas de reparación directa. Estas disposiciones también
tienen como objetivo evitar que los minoristas obtengan una ventaja competitiva injusta sobre otros
minoristas y, por lo tanto, pretenden evitar un proceso competitivo más amplio a expensas de los
consumidores. Los objetivos que sustentan estas leyes hacen que sea crítico que tales mecanismos
de protección al consumidor se apliquen de manera uniforme a los proveedores de servicios en línea
y a sus competidores.
6. Gobernanza regulatoria
En los últimos años ha habido una evolución constante en el rol que desempeñan los responsables
de la elaboración de las políticas y el de los organismos reguladores. Estos enfrentan múltiples
desafíos, desde abordar los temas tradicionales de las TIC, revisar su propio funcionamiento, hasta
prepararse para poder enfrentar los nuevos retos regulatorios y políticos que vienen con las nuevas
tecnologías y los servicios digitales.
El nuevo entorno digital incorpora adicional al sector de las TIC, a sectores como la educación, la
salud, el transporte, la energía y las finanzas. Esto sin dejar de lado los temas tradicionales como
el desarrollo de infraestructura y la conectividad. Lo que implica incluir temas como la protección
60
Curso Avanzado sobre Regulación de las TIC
del consumidor, privacidad y protección de datos, regulación de contenidos, inteligencia artificial,
competencia, entre otros.
Para llegar a los marcos G5 es importante adoptar una regulación ágil. Esto quiere decir contar con
una legislación y reglamentación sectorial flexible y colaborativa a fin de poder responder a los
continuos cambios que se generan en los mercados, las tecnologías y los servicios. Así mismo,
para aprovechar la experiencia y los conocimientos que existen en la industria, se hace necesario
61
Curso Avanzado sobre Regulación de las TIC
que los formuladores de políticas adopten un enfoque regulatorio ágil. Por lo que el papel de los
reguladores pasaría a ser de facilitador.
En la actualidad todavía existen países que no han incorporado en sus marcos regulatorios los
elementos fundamentales que se requieren para el desarrollo de su sector de las TIC. Es importante
que incorporen estrategias digitales integrales, actualicen sus estructuras y reformen los sistemas.
Los países están implementando estos planes integrales para cubrir a todos los sectores. Los
mismos son clave para dar a conocer la importancia del espacio digital en áreas sociales y
económicas y para establecer metas de conectividad. Estos planes o agendas respaldan la
regulación colaborativa y la incorporación de múltiples partes interesadas, e impulsan el desarrollo
y la planificación digital.
Cuando se inicia la implementación de los planes digitales y se renuevan los marcos regulatorios
para incorporar a la economía digital, es importante no seguir utilizando las leyes y regulaciones
existentes que puedan estar obsoletas, y que no aplican a los nuevos temas y actores. Los
responsables de la formulación de políticas deberán adoptar nuevos enfoques que pueden incluir
la autorregulación, la desregulación, o un enfoque de corregulación, que impulsen el despliegue de
las tecnologías emergentes, la innovación, la inversión, tomen en cuenta el cierre de brechas e
incentiven la colaboración.
No solo se debe revisar el impacto regulatorio en la toma de decisiones, sino que se debe tener en
cuenta el alcance completo de los riesgos pasados, actuales y futuros, para determinar si se van a
cumplir los objetivos del país. De esa forma los reguladores pueden comenzar a introducir
regulaciones flexibles que impulsen la innovación y la inversión para fomentar así una economía
digital robusta.
62
Curso Avanzado sobre Regulación de las TIC
Es importante resaltar, que los gobiernos deberían modificar su enfoque basado en reglas a uno
basado en principios. En la era digital, para conseguir soluciones sólidas y equilibradas en particular
en áreas complejas, se recomienda la orientación basada en principios de alto nivel. Como por
ejemplo la privacidad, la responsabilidad y el diseño ético.
Adicionalmente, existen una cantidad de obligaciones, que se les exigen a los proveedores que
entreguen al regulador para su aprobación como los nuevos precios y tarifas, a fin de proteger a los
consumidores y las obligaciones de interconexión a fin de garantizar el acceso a las redes de otros
operadores. La gestión del espectro y la radiodifusión son áreas que pueden o no estar incluidas
en las responsabilidades del regulador de las TIC. La regulación de la radiodifusión se refiere en
particular a los contenidos, y la del espectro se enfoca en la protección contra las interferencias
perjudiciales y en hacer un uso eficiente de los recursos escasos del espectro.
63
Curso Avanzado sobre Regulación de las TIC
6.2.2. Modificación del mandato y los roles de los reguladores y legisladores en la era
digital
Los reguladores se espera que en líneas generales continúen, en el entorno digital, con el diseño
institucional actual y regulando las áreas tradicionales de regulación, pero haciéndolo de una forma
más flexible y con menos rigidez.
Las autoridades de regulación han entendido, con el surgimiento de una gran cantidad de servicios
digitales, que deben afrontar nuevas áreas de responsabilidad y nuevos temas. Muchos de ellos
referidos a la privacidad de datos, competencia, ciberseguridad y servicios en línea, como la Voz
sobre el Protocolo de Internet (VoIP) en línea o el video en línea, entre otros retos tecnológicos.
En los marcos regulatorios actuales no es sencillo incorporar estas áreas tan claramente. Muchos
países se encuentran revisando si sus reguladores de TIC o de radiodifusión se encuentran
autorizados jurisdiccionalmente para regular las plataformas y servicios digitales y las nuevas
tecnologías emergentes. También vienen evaluando si adaptar sus regulaciones de TIC y
radiodifusión a los servicios digitales, pero sin una orientación legislativa clara, resulta un reto
determinar el alcance de la autoridad del regulador.
Debido a lo anterior, los legisladores están tomando diferentes enfoques para asegurar que las
autoridades de regulación tengan la suficiente autoridad jurisdiccional. Algunos están tomando el
modelo de la Unión Europea con el Código Europeo de Comunicaciones Electrónicas (EECC) y
están modificando sus marcos legislativos para incluir a los nuevos servicios digitales.
Si los países deciden fusionar sus autoridades de regulación o les conceden la autoridad
jurisdiccional para regular los nuevos servicios digitales, deben asegurarse que estos posean los
recursos suficientes para desempeñar sus funciones. Esto debe incluir personal de todo nivel,
cualificado y competente. El uso de personal con conocimientos en diferentes ámbitos es vital, para
garantizar que estos entiendan las cuestiones legales y de mercado subyacente que se puedan
presentar, así como las posiciones de las partes interesadas. A fin de construir equipos de
regulación sólidos y eficientes es importante el uso de consultas públicas, escuchar las opiniones
de las partes interesadas y utilizar mecanismos de colaboración y de toma de decisiones basadas
en la evidencia. En el caso de no poder ampliar las funciones de los reguladores se hace necesario
64
Curso Avanzado sobre Regulación de las TIC
implementar mecanismos de colaboración para conseguir la colaboración de las otras agencias e
incrementar los conocimientos y recursos.
A fin de incentivar una toma de decisiones razonadas, predecibles y con la debida objetividad, es
fundamental contar con una autoridad de regulación independiente. Esto ha venido siendo una regla
en los entornos tradicionales, convergentes y digitales. Pero por la importancia que representa tener
una colaboración eficaz con otras agencias intersectoriales, y poder tener la posibilidad de efectuar
consultas abiertas, resulta imprescindible contar un regulador independiente, en la era digital.
Así mismo, los reguladores deben mantenerse investigando los cambios que ocurren en el sector
de las telecomunicaciones, a nivel nacional e internacional, para entender el entorno legal,
financiero, social y técnico en el que se desenvuelven.
65
Curso Avanzado sobre Regulación de las TIC
ideal es un regulador de las TIC, llevando las funciones de la privacidad, protección del consumidor
y la ciberseguridad en otros organismos gubernamentales.
Se hace necesario, involucrar a través de consultas públicas a toda la gama de partes interesadas
al momento de adoptar la regulación digital, debido a que las partes impactadas van más allá de
los tradicionales proveedores de telecomunicaciones. En este entorno, entre las partes interesadas
tenemos a las plataformas digitales, los consumidores, a actores comerciales en otros sectores
como salud, finanzas y transporte, así como también otros entes gubernamentales con intereses y
jurisdicciones superpuestas.
66
Curso Avanzado sobre Regulación de las TIC
en un desafío. Por lo tanto, la creación de capacidades es un componente clave para un regulador
eficaz.
Aun cuando obtener información relevante, es uno de los roles más importantes de los reguladores
para entender el desarrollo del mercado, estos deben tener conciencia de los costos que les cargan
a los proveedores cuando les solicitan informes innecesarios. Los informes deben racionalizarse y
estar basados en una necesidad motivada de información.
En el entorno regulatorio digital, las nuevas partes interesadas deben gestionar el cumplimiento en
una base potencialmente global. Los nuevos jugadores digitales a menudo ponen sus servicios a
disposición a través de Internet para que cualquiera con conexión se conecte, a diferencia de los
proveedores de telecomunicaciones tradicionales que construyen redes en países donde tienen
presencia local. Los nuevos proveedores digitales enfrentan el desafío de quedar sujetos a la
legislación nacional de un país, si este determina que tener un servicio en línea a disposición de los
usuarios es suficiente para que la legislación le aplique. La cooperación y colaboración entre las
entidades gubernamentales es importante para garantizar la coherencia y previsibilidad para el
sector privado.
En cuanto al cumplimiento y las sanciones a aplicar, las autoridades de regulación deben estar
conscientes que deben manejar el cumplimiento, en la misma forma en que manejan el proceso de
elaboración de las reglas, deben identificar de forma clara los motivos de sus decisiones que deben
67
Curso Avanzado sobre Regulación de las TIC
ocurrir luego de una exhaustiva investigación. Las sanciones deben ser proporcionales a la violación
y los procesos de revisión deben estar accesibles a las partes sancionadas.
Según lo define la UIT, la colaboración regulatoria se enfoca en que el regulador de las TIC trabaja
en cercana colaboración con los reguladores homólogos de otros sectores. Está definida en función
de:
68
Curso Avanzado sobre Regulación de las TIC
planificado con anterioridad. En el caso de la semi-formal, se puede decir que es la transición entre
la colaboración informal a la formal.
En el caso de la competencia, existen a menudo acuerdos de coordinación de larga data entre los
reguladores de las TIC y las autoridades de competencia, en particular para coordinar áreas
jurisdiccionales superpuestas, sobre todo cuando se trata de fusiones o posiciones de dominio del
mercado en el sector de las telecomunicaciones y las TIC.
Entre los reguladores de TIC y los reguladores de otros sectores, es importante que exista la
colaboración. Todos los sectores y mercados está siendo alterados y modificados por los cambios
acelerados ocasionados por las TIC. Es importante que los gobiernos evalúen detalladamente en
69
Curso Avanzado sobre Regulación de las TIC
cada sector las funciones que desempeñan las TIC, y conozcan el nivel de colaboración que debe
existir entre los reguladores. Un ejemplo de colaboración lo podemos visualizar con el regulador del
área educativa cuya área de posible colaboración con el regulador de las TIC sería la protección
infantil en línea.
El modelo de colaboración entre la industria y las autoridades de regulación significa que estos
últimos ejercen algún tipo de control, pero al mismo tiempo la industria mantiene su autonomía. Este
modelo representa un puente entre la regulación completa tradicional y la autorregulación. Un buen
ejemplo de colaboración entre la industria y los reguladores lo pudimos visualizar con la pandemia
de COVID-19. Para hacer frente al aumento de la demanda de redes de banda ancha cuando un
número sin precedentes de personas comenzaron a conectarse, los gobiernos tuvieron que confiar
en los planes de contingencia de la industria y comenzaron a flexibilizar sus marcos regulatorios
para permitir la estabilidad y evitar el colapso de las redes.
70
Curso Avanzado sobre Regulación de las TIC
6.4.1. Marcos de concesión de licencias para redes, servicios y aplicaciones
Los factores clave que establecen cuan fácil o difícil va a ser la entrada al mercado en un país, son
el marco de concesión de las licencias y el enfoque que se aplique a la concesión de las licencias.
Las alternativas sobre los regímenes de licencias y los esquemas de concesión de las licencias en
líneas generales se determinan por la vía de decisiones políticas de alto nivel y se incorporan en la
legislación de telecomunicaciones, los cuales después se implementan en la forma de reglamentos
y normas.
Los países deben estar conscientes que el tipo de esquema de concesión de licencias que
seleccionen tendrá un impacto directo en el sector y de ello va a depender su crecimiento. Los
reguladores deben entender que exigir licencias para servicios específicos limita la entrada al
mercado, cuando los licenciatarios tienen que solicitar una nueva licencia cada vez que quieren
agregar una red o servicio a sus ofertas. Aun cuando ese tipo de licencias todavía se sigue utilizando,
son los marcos de licencias multiservicios o unificadas, los que se han convertido en las mejores
prácticas internacionales. Estos nuevos esquemas están siendo utilizados en el mundo entero,
debido a que pueden facilitar la concesión de licencias, impulsar la competencia y promover la
convergencia tecnológica.
Existen diferentes formas de autorizar el uso del espectro, por mecanismos de competencia, por
subastas, mediante la concesión de licencias individuales por orden de llegada, por una
adjudicación administrativa, mediante la identificación de ciertas bandas de frecuencia exentas o
que no necesitan licencia y también por una licencia general que autoriza una cantidad de
dispositivos. En líneas generales, los encargados de la formulación de políticas utilizan para el
espectro, esquemas de adjudicación competitivos donde la demanda supera la oferta.
71
Curso Avanzado sobre Regulación de las TIC
la entrada al mercado. Para fomentar un importante crecimiento sectorial, se recomienda un
licenciamiento ligero, por lo que cualquier intervención regulatoria debe realizarse de forma
específica y razonada. Un ejemplo de licenciamiento estricto donde se requiera cumplir objetivos
específicos de política pública lo tenemos en las obligaciones de cobertura mínima que se incluyen
en las licencias para servicios móviles. Se recomienda adoptar medidas lo menos rígidas posibles
a fin de cumplir los objetivos de la política.
72
Curso Avanzado sobre Regulación de las TIC
determinado. Los licenciatarios de sandboxes están exentos de cumplir a cabalidad con la
normativa regulatoria vigente por un tiempo determinado. La necesidad de los sandboxes se puso
de manifiesto a partir de la pandemia, donde hubo necesidad de probar nuevos modelos de
negocios que pudieran garantizar la conectividad. Esto se realizó mediante la flexibilización de
algunas normas a los licenciatarios, y como medida temporal para poder responder a los
requerimientos de los usuarios.
73
Curso Avanzado sobre Regulación de las TIC
Por otra parte, la legislación de protección de datos abarca a todos los datos personales, ya sean
estos públicos o privados, y aplican tanto a los que las personas por voluntad propia publican en
sus redes sociales, como los que están protegidos en un archivo por contraseñas. En líneas
generales, los datos personales solo pueden procesarse si existe algún motivo legítimo como el
consentimiento, que haga recaer la responsabilidad de justificar que ejerce el control sobre ellos, en
la persona que posee los datos personales.
Con el convenio 108 del Consejo Europeo del año 1981 se comenzó formalmente con el concepto
regulatorio de la protección de datos. Este era exclusivo para el procesamiento automático de datos
de carácter personal. Luego ese enfoque se trasladó en 1995 a la Unión Europea y se convirtió en
la Directiva de Protección de Datos. Luego en mayo de 2018, esta fue modificada convirtiéndose en
el Reglamento General de Protección de Datos (GDPR), siendo este el modelo líder a nivel global.
En general, existe a nivel mundial una legislación amplia de protección de datos, y aunque su
alcance y detalles son muy variados, muchas contienen unos principios comunes de protección de
datos que los regulados deben cumplir al procesar datos personales. Estos se subdividen en dos
categorías:
Garantizar datos precisos y sistemas seguros, lo que significa principios centrados en la
calidad de la información personal y los sistemas de información.
74
Curso Avanzado sobre Regulación de las TIC
El régimen regulatorio de protección de datos comprende un conjunto de normas que van desde
legislaciones duras de obligatorio cumplimiento a blandas o no vinculantes. Para los regulados, el
controlador de los datos es el que se lleva la mayor atención, pues es el que determina la finalidad
y los medios del tratamiento. También existe la categoría del procesador que es el responsable de
procesar los datos personales en nombre del controlador. Decidir cuál va a ser el papel de una
persona y sus obligaciones regulatorias, en caso de ser responsable del control o encargado del
tratamiento es un tema complicado y polémico, sobre todo con las complejidades que imponen las
nuevas tecnologías.
En los países donde no existe experiencia previa con autoridades regulatorias independientes, el
tener una autoridad regulatoria de protección de datos, puede crear fricciones internas. Sin embargo,
el no contar con un regulador eficaz puede ser la razón por la que los reguladores de otros países
prohíban o restrinjan la transferencia de datos personales, hacia y desde esos países a fin de
proteger los datos personales de los interesados.
75
Curso Avanzado sobre Regulación de las TIC
Los controladores en la necesidad de tener que cumplir con los principios de protección de datos,
pueden en algunos casos afectar el desarrollo de tecnologías y servicios. También indirectamente
a los que se encuentran produciendo componentes y aplicaciones en la cadena de suministros y
que son parte de las tecnologías y servicios ya desplegadas. En el diseño de aplicaciones y sistemas
es recomendable reflejar la minimización de datos.
Aun cuando la regulación de protección de datos aplica a todas las tecnologías y servicios, las
jurisdicciones pueden incorporar reglas adicionales a las expresadas en los principios de protección
de datos, a los desarrollos tecnológicos o de mercados particulares, a fin de dar respuesta a las
preocupaciones de los individuos y a los objetivos de interés público.
Las empresas de redes sociales son ejemplos del fenómeno de mercantilización de datos
personales, llamado ahora “capitalismo de vigilancia”. Las personas que las usan obtienen servicios
de forma gratuita permitiendo a los proveedores el uso y explotación de sus datos personales, y que
los vendan a los anunciantes como mercancía.
Como siempre sucede, la legislación no lleva el mismo paso de actualización para evitar la
obsolescencia, que los cambios que suceden en las tecnologías. Pero las autoridades de protección
de datos pueden reducir la brecha, mediante el uso de recomendaciones y orientaciones legislativas
menos intervencionistas, que contengan pautas basadas en los principios de protección de datos.
76
Curso Avanzado sobre Regulación de las TIC
7.3. Transferencias de datos e implicaciones comerciales
En la economía digital los datos son transmitidos a través de las fronteras, ya que esta es la
naturaleza intrínseca en que esta trabaja. Esta transferencia de datos se realiza de tal forma que en
muchas oportunidades el proceso es opaco para los usuarios. Las redes por su naturaleza global le
brindan a los que procesan datos en un determinado país, la posibilidad de obtener acceso a nuevos
mercados en muchos otros países. Pero estos flujos de datos transfronterizos, a la vista de la
legislación de protección de datos nacionales, representan una erosión de las protecciones que
estas otorgan. Debido a lo anterior, los regímenes de protección de datos contienen reglas que
regulan dicha transferencia de datos fuera de las jurisdicciones en que estas actúan.
Las reglas para tratar de controlar los flujos de datos transfronterizos pueden aparecer en una
variedad de formas, pero regularmente tratan de establecer algún tipo de umbral de protección entre
las dos jurisdicciones y serán la puerta de enlace por la cual se regirán dichas transferencias de
datos. En líneas generales, el patrón que se debe cumplir para poder garantizar los flujos de datos
transfronterizos puede tomar muchos términos diferentes, como “adecuado”, “comparable”,
“apropiado”, “equivalente”, entre otros. Los mecanismos para lograr este patrón varían y pueden ser
mediante:
La celebración de acuerdos internacionales bilaterales o multilaterales: donde estos pueden
ser específicos, con el fin de regular los flujos de datos en general o para regular algunos
datos personales específicos.
Por un régimen nacional de autorización o concesión de licencias: la autoridad nacional de
protección de datos puede autorizar transferencias, tanto a nivel individual o por clase de
datos.
Por determinación de la jurisdicción: luego de la evaluación del marco legal del país
extranjero, se puede determinar que el mismo es lo suficientemente adecuado, ya sea de
forma sectorial o general y no se necesitan más restricciones.
77
Curso Avanzado sobre Regulación de las TIC
En la economía global los países tienen grandes desafíos para lograr la interoperabilidad entre las
diferentes legislaciones de protección de datos, debido a que las diferentes culturas asignan
diferentes prioridades a los intereses públicos en competencia y la protección de datos pasa a ser
solo uno de ellos. La posibilidad de enviar y recibir información mediante el flujo transfronterizo de
datos arriesga tanto los derechos de las personas como los de protección de datos y privacidad.
Los regímenes de protección de datos han tomado un lugar preponderante en las políticas y
negociaciones internacionales actuales, dadas las partes interesadas y los intereses sociales
involucrados. Para proteger los intereses de las partes interesadas y reducirle a las empresas los
costos de cumplimiento de las regulaciones, especialmente a las pymes, es importante que exista
compatibilidad e interoperabilidad entre los regímenes nacionales de protección de datos.
78
Curso Avanzado sobre Regulación de las TIC
y el usuario de ese servicio. La última relación afectada por temas de privacidad es la que existe
entre el usuario y el Estado.
No existe una normativa regulatoria general que gobierne las relaciones afectadas por la privacidad,
por lo que cada país las aborda de forma diferente. Algunos la incluyen de forma sectorial en la
legislación de telecomunicaciones, otros la abordan como parte del régimen general de protección
de datos, algunos mediante procedimientos penales y otros la incluyen en la legislación de
protección del consumidor.
8. Bibliografía
1. Introduction to Information Systems [2010], James A. O’Brien and George M. Marakas
2. https://es.wikipedia.org/wiki/Dato
3. The DAMA Guide to the Data Management Body of Knowledge (DAMA-DMBOK) Spanish
version, DAMA International, 2009
4. https://www.dama.org/content/body-knowledge
5. http://www.opengroup.org/subjectareas/enterprise/togaf
6. http://www.isaca.org/cobit/pages/default.aspx
7. http://www.datagovernance.com/the-dgi-framework/
8. http://www.nascio.org/EA/ArtMID/572/ArticleID/190
9. https://en.wikipedia.org/wiki/Master_data_management
79
Curso Avanzado sobre Regulación de las TIC
10.https://www.powerdata.es/data-governance
11.https://www.powerdata.es/seguridad-de-datos
12.https://blog.powerdata.es/el-valor-de-la-gestion-de-datos
13.https://evaluandocloud.com/cloud-computing-en-america-latina-obstaculos-y-
recomendaciones/
14.https://www.bbvaresearch.com/wp-
content/uploads/2016/10/Situacion_ED_oct16_Cap1.pdf 9
15.La contratación de servicios de cloud computing: movimientos internacionales de datos y
gestión de riesgos de privacidad y seguridad, Nataly Rey Arenas, Madrid, 2017
16.https://privacy.microsoft.com/en-gb/privacystatement
17.Powering the Digital Economy: Regulatory Approaches to Securing Consumer Privacy, Trust
and Security, International Telecommunication Union, 2018. Licence: CC BY-NC-SA 3.0
IGO.
18.Regulatory challenges and opportunities in the new ICT ecosystem, International
Telecommunication Union (ITU), 2018. ISBN: 978-92-61-26171-9
19.https://www.itu.int/dms_pub/itu-d/opb/pref/D-PREF-TRH.1-2020-PDF-E.pdf, Digital
Regulation Handbook
80