CONTRATO CREG 2020 - 060 ENTRE
CONTRATO CREG 2020 - 060 ENTRE
LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS Y XXXXXX XXXXXXX XXXXX XXXXXX
CONSULTORÍA PARA LA DEFINICIÓN DE LA ACTIVIDAD DE GESTIÓN INDEPENDIENTE DE DATOS E INFORMACIÓN Y EL DISEÑO GENERAL DEL AGENTE QUE REALIZARÍA LA ACTIVIDAD
PRODUCTO 2
DISEÑO GENERAL DEL AGENTE QUE REALICE LA ACTIVIDAD DE GESTIÓN INDEPENDIENTE DE DATOS E INFORMACIÓN
DESCRIPCIÓN Y ALCANCE DEL CONTRATO
El 29 de septiembre de 2020, la Comisión de Regulación de Energía y Gas (en adelante “CREG”) adjudicó a Xxxxxx Xxxxxxx Xxxxx Xxxxxx, como persona natural, el contrato 2020-060 el cual tiene como objeto apoyar la definición de la actividad de la Gestión Independiente de Datos e Información (en adelante también “GIDI”), y el diseño general del agente que realizará la actividad, denominado GIDI, como elemento integral y fundamental para la implementación de la Infraestructura de Medición Avanzada.
El alcance del contrato se desarrolla en 3 entregables, distribuidos a lo largo de su ejecución, cuyas actividades se enuncian a continuación:
• Primer entregable (Producto 1)
Se realizará una revisión de la propuesta contenida en la Resolución 131 de 2020 para la actividad de Gestión Independiente de Datos e Información. Para tal efecto, a partir de la mencionada resolución, de los comentarios recibidos a la propuesta, los documentos elaborados por los diferentes grupos de interés, los referentes internacionales, los modelos relevantes y la estructura del sector, la consultoría deberá proponer ajustes necesarios a la definición de la actividad de Gestión Independiente de Datos e Información. Asimismo, deberá considerarse la propuesta de Gestor Independiente de Datos e Información.
• Segundo entregable (Producto 2)
A partir de la Resolución CREG 131 de 2020, de los comentarios recibidos a la propuesta, los documentos elaborados por los diferentes grupos de interés, los referentes internacionales, los modelos relevantes y la estructura del sector y, con fundamento en las facultades legales asignadas a la CREG, el consultor deberá proponer el diseño general del agente que realice la Gestión Independiente de Datos e Información. Dicho diseño debe incorporar al menos los siguientes elementos: (i) Funciones; (ii) Responsabilidades; (iii) Esquema de gobernanza; (iv) Conflictos de Interés y reglas de relacionamiento; (v) identificación de riesgos; (vi) Requisitos de protección de datos acorde con la normativa y; (vii) Condiciones sobre la titularidad de la información.
• Tercer entregable (Producto 3)
Se realizará un taller virtual con las partes interesadas (convocado por la CREG), con el fin de presentar las propuestas de la consultoría. Además, se elaborará un documento final en el que se atenderán los comentarios recibidos.
Si bien el contrato fue adjudicado a una persona natural, para su ejecución se solicitó la conformación de un equipo de trabajo multidisciplinario con experiencia y preparación en las distintas áreas fundamentales para la tarea encargada.
El presente documento corresponde al segundo entregable del contrato.
Tabla de contenido
DESCRIPCIÓN Y ALCANCE DEL CONTRATO 2
2. PRINCIPIOS ORIENTADORES XXX XXXX 7
2.1. Principio de eficiencia 7
2.2. Principio de no discriminación e igualdad de trato 8
2.3. Principio de promoción de la libre competencia 8
2.4. Principio de libre elección de los consumidores y usuarios 9
2.5. Principios de protección de los derechos de los usuarios 9
2.6. Principio de neutralidad tecnológica 10
2.7. Principio de gestión adecuada de información 12
3.1. Dinamizar la competencia en el mercado 14
3.2. Optimización operativa 16
3.3. Gestión y gobierno de datos 16
3.4. Dinamización xxx xxxxxxx y desarrollo de nuevos servicios de información 18
4. NATURALEZA JURÍDICA XXX XXXX 19
5.1. Selección y elección xxx XXXX por parte de los comercializadores 28
5.2. Comité técnico consultivo xxx XXXX 35
6. CONFLICTOS DE INTERESES Y RELACIONAMIENTO 42
6.1. Concepto de conflicto de interés 42
6.2. Mapeo de relacionamiento 44
7. GESTIÓN DE LA INFORMACIÓN DESDE LA LEY DE TRANSPARENCIA Y EL RÉGIMEN DE PROTECCIÓN DE DATOS PERSONALES 48
7.1. Aproximación de la Ley de transparencia y acceso a la información 48
7.1.2. Información pública clasificada 50
7.1.3. Información pública reservada 52
7.2. Aproximación del régimen de protección de datos personales 53
7.3. Aproximación de acuerdo con su función dentro del AMI 56
7.4. Respecto de la clasificación de los datos administrados por el GIDI y su titularidad 58
7.5. Frente al esquema de protección de los datos personales 62
7.5.1. Responsable y Encargado del tratamiento de datos personales 62
7.5.2. Principios del tratamiento de datos personales 68
7.5.3. Programa integral de gestión de datos personales – Principio de responsabilidad demostrada 71
8. CONDICIONES ESENCIALES PARA LA PRESTACIÓN DE SERVICIOS TECNOLÓGICOS CRÍTICOS 73
8.1. Programa de Gestión de Datos 73
8.1.1. Organización de la Gestión de Datos 75
8.1.3. Gobierno de los Datos 76
8.1.5. Plataforma y Arquitectura de Datos 78
8.2. Programa de Seguridad de la Información 80
8.2.1. Políticas, estándares, guías y procedimientos de seguridad de la información 81
8.2.2. Organización de la Seguridad de la Información 81
8.2.3. Seguridad en los recursos humanos 82
8.2.4. Gestión de activos de información 82
8.2.5. Gestión de Identidades y Accesos 83
8.2.7. Seguridad física y ambiental 84
8.2.8. Gestión de la Continuidad del Negocio y Recuperación de Desastres 85
8.2.9. Seguridad de las operaciones 85
8.2.10. Uso de servicios en la nube 86
8.3. Programa de Gobierno de TI Empresarial 86
8.3.1. Evaluar, Orientar y Supervisar 88
8.3.2. Alinear, Planificar y Organizar 89
8.3.3. Construir, Adquirir e Implementar 89
8.3.4. Entregar, dar servicio y soporte 90
8.3.5. Supervisar, Evaluar y Valorar 90
9. FUNCIONES Y RESPONSABILIDADES XXX XXXX 92
9.1. Funciones Estratégicas 93
9.1.1. Desarrollo de Nuevas Soluciones 94
9.1.2. Seguridad y Cumplimiento 94
9.1.3. Interacción con Agentes del Sector 95
9.2.1. Operación Tecnológica 96
9.2.2. Gestión de Datos de Medición 97
9.2.5. Interfaces y Acceso a Usuarios 100
9.3. Clasificación de Madurez de las Funciones 101
9.4. Priorización y Plazos 103
10. IDENTIFICACIÓN DE RIESGOS 105
10.1. Datos 105
11. Desarrollo de Nuevos Servicios de Información 110
11.1. Analítica 110
11.2. Generación de Valor y Desarrollo de Nuevos Servicios 112
BIBLIOGRAFÍA 115
Luego del ejercicio realizado para la elaboración del primer entregable de la presente consultoría, en el cual se hizo referencia a diferentes experiencias similares a la de la propuesta xxx XXXX, tanto desde una perspectiva internacional como desde un punto de vista local, en el caso del Administrador de Bases de Datos (ABD) en el mercado de las comunicaciones móviles; y de abordar el análisis de las opiniones del sector frente a la propuesta regulatoria con foco en el manejo de la información, la ciberseguridad y la libre competencia, en el presente entregable se presentará una propuesta de diseño general del gestor independiente de datos e información.
El diseño planteado, tiene como objeto proponer las mejores prácticas para la adecuada gestión de los datos, entendida como la función principal del nuevo agente, así como identificar los retos más importantes en su implementación y puesta en marcha, bajo el marco institucional actual. Para alcanzar este objetivo, el estudio se divide en dos bloques conceptuales principales: (i) aspectos relacionados con la xxxxxx xxx XXXX en sí misma, considerada como un nuevo agente xxx xxxxxxx; y (ii) elementos propios de las actividades que va a realizar.
De esta manera, en la primera parte del escrito se incluirán: los principios orientadores, objetivos, naturaleza jurídica, gobernanza y conflictos de interés, junto a relacionamiento del nuevo agente. En la segunda parte, los temas se referirán a la gestión de la información desde el punto de vista de la Ley de Transparencia y el Régimen de Protección de Datos; condiciones esenciales para la prestación de servicios tecnológicos críticos; funciones y responsabilidades; identificación de riesgos y desarrollo de nuevos servicios.
La estructura y temas incluidos tienen como fuente la propuesta realizada por la CREG en cuanto al gestor independiente de datos, así como los comentarios específicos que frente a este realizaron los agentes del sector, y, por supuesto, la información y análisis que componen el primer entregable.
2. PRINCIPIOS ORIENTADORES XXX XXXX
En Colombia, la Constitución Política de 1991 dio gran importancia al desarrollo de un Estado Social de Derecho y al papel que este debía cumplir en la prestación de servicios públicos, con el fin de promover la competencia y proteger a los consumidores y usuarios.
Es así, como la Carta Política, a través de su artículo 365, establece que los servicios públicos son inherentes a la finalidad social del Estado, que están sometidos al régimen que establezca la Ley y que pueden ser prestados por el Estado en forma directa o indirecta, pero también por las comunidades organizadas y los particulares, lo cual propició la consolidación de la competencia en la prestación de los servicios de energía eléctrica.
Siendo los servicios públicos generadores de bienestar social, así como un elemento esencial para el impulso de los mercados, la regulación de los mismos se ha convertido en un propósito fundamental del Estado, que se desarrolla a través de la intervención de los mercados con el objeto de corregir las fallas que se originen en éste y, adicionalmente, generar un marco que sea propicio para salvaguardar los derechos de los consumidores y usuarios.
En tal sentido, la función regulatoria se caracteriza por perseguir aquellos fines estatales que el mercado en sí mismo no suple y por satisfacer aquellos tendientes a que este opere correctamente en beneficio de la colectividad y no sólo de aquellos con predominio financiero o técnico. En ese marco, la regulación tiene el reto de encontrar y mantener el equilibrio entre distintos intereses que pueden resultar contrapuestos, de tal forma que se proteja el interés general de conformidad con los principios del Estado Colombiano.
En tal propósito, es preciso plantear ocho principios orientadores que den forma al diseño xxx XXXX. Estos, se deberán entender integrados al marco de principios dispuestos en la Ley 142 de 1994 y no contrarían su finalidad como principios de interpretación dispuesta en el artículo 30 de dicha ley. En el mismo sentido, aquellos contenidos en la Ley 1581 de 2012 sobre protección de datos personales y los que rigen el régimen de protección de la competencia. Todos deberán integrarse en la interpretación, diseño y puesta en marcha de del gestor independiente de datos e información.
A continuación, identificamos y describimos dichos principios orientadores propuestos, sin perjuicio de su coordinación con el marco regulatorio que desarrolla y ejerce la CREG en el desarrollo de sus funciones y bajo los fundamentos que rigen sus actividades regulatorias:
La eficiencia como principio orientador xxx XXXX se refiere a que su implementación y operación por parte de los prestadores de servicios y el GIDI debe obedecer a los criterios de eficiencia técnica y económica.
Dicho principio, asimismo, genera que la información que integraría la base de datos sea administrada velando por el óptimo aprovechamiento de esta en aras de generar competencia y calidad, en beneficio de los usuarios.
Adicionalmente, permitiría que un esquema de implementación xxx XXXX se oriente a garantizar que los costos asociados permitan el aprovechamiento de economías de escala, tanto para el agente responsable como para el sistema de manera agregada y, de cualquier forma, los costos sean asignados proporcionalmente a quienes reciben los beneficios.
2.2. Principio de no discriminación e igualdad de trato
Todos los agentes que participen en el proceso xxx XXXX deberán estar obligados a dar un tratamiento no discriminatorio a los demás agentes involucrados, en relación con cada uno de los trámites que se realicen con ocasión de este.
En particular, los prestadores de servicios y el GIDI están obligados a enrutar, en condiciones no discriminatorias, la información que se realice desde los medidores hasta la base de datos administrada por el GIDI.
Bajo este principio, un esquema de implementación debe propender por el libre acceso a la información, permitiendo que todos los participantes xxx xxxxxxx (existentes y potenciales) accedan a la misma información en condiciones similares, sin que se presenten condiciones de discriminación injustificada o arbitraria. Esto incluye a los prestadores de servicio, a los usuarios del servicio, al gobierno y a terceros interesados.
Es así como, en búsqueda de garantizar la no discriminación entre los agentes que participen en el proceso xxx XXXX, los prestadores de servicios y el GIDI deberán brindar un trato igualitario a la información que recolectan y transmiten, sin ningún tipo de discriminación arbitraria, en especial en razón al origen o propiedad de estos.
Finalmente, el principio de igualdad se relaciona con la necesidad de que el GIDI garantice que atenderá las solicitudes e información proporcionada por los prestadores de servicios, en las mismas condiciones o con igualdad de trato, entre todos los proveedores de servicios que participan dentro de la cadena de valor en condiciones análogas.
2.3. Principio de promoción de la libre competencia
El esquema de implementación xxx XXXX se implementará en un escenario de libre y xxxx competencia, que incentive la inversión actual y futura en el sector, permitiendo la concurrencia de los diferentes proveedores al mercado, bajo la observancia del régimen de competencia en condiciones de igualdad.
Bajo el referido principio es que el esquema de implementación xxx XXXX, en general, propendería por la competencia en el desarrollo de sus actividades al:
• Permitir la eliminación xx xxxxxxxx de entrada a nuevos agentes en los mercados;
• Permitir que los flujos de información (entre agentes, agente-usuarios y con las autoridades) se desarrolle con la menor cantidad de restricciones posible;
• Generar incentivos para la innovación por parte de los prestadores de servicios;
• Permitir la repartición de ganancias bajo el principio de eficiencia entre el usuario y el prestador de servicios.
2.4. Principio de libre elección de los consumidores y usuarios
El principio de promoción de la competencia en el eslabón de comercialización la da la posibilidad al usuario de elegir libremente su prestador con mayor facilidad y dinamismo. Es así como el esquema de implementación xxx XXXX debe garantizar que en todo momento corresponde exclusivamente al usuario elegir el prestador, los servicios y los equipos utilizados para acceder al servicio. En ningún caso se puede presumir su voluntad o consentimiento.
La elección del proveedor de servicios corresponde de manera exclusiva al usuario, tanto al momento de la oferta, como de la celebración del contrato y durante la ejecución de este. Ni los proveedores de servicios, ni persona alguna con poder de decisión o disposición respecto del servicio o los equipos que se utilicen, podrán celebrar acuerdos de exclusividad para el uso de esta, ni podrán limitar, condicionar o suspender el derecho a la libre elección del usuario de su proveedor de servicios.
Adicionalmente, el usuario podrá libremente utilizar cualquier clase de instrumentos, dispositivos o aparatos, siempre que sean legales y que los mismos no dañen o perjudiquen la seguridad de la red eléctrica o la calidad del servicio.
2.5. Principios de protección de los derechos de los usuarios
Sin perjuicio de los derechos generales previstos en la Resolución CREG 108 de 1997 y sus modificaciones vigentes, los derechos de los usuarios de los servicios que se asocien al esquema de implementación xxx XXXX deberán ser regidos por los siguientes cuatro principios:
• Favorabilidad de los usuarios: toda duda en la interpretación de las cláusulas contractuales dentro de la relación entre el prestador de los servicios y el usuario, cuando medie un contrato de adhesión, será decidida a favor de estos últimos, de manera que prevalezcan sus derechos.
• Suministro del servicio: los prestadores de servicios y el GIDI deben prestar los servicios en forma eficiente, óptima y oportuna, cumpliendo con las normas de calidad establecidas para los mismos, atendiendo los principios de igualdad en el trato y no discriminación y de promoción de la libre competencia.
• Reciprocidad: los usuarios, los prestadores de servicios y el GIDI deben respetar los derechos y obligaciones que se derivan para cada una de las partes como consecuencia del contrato de prestación del servicio, con sujeción a las condiciones contractuales y de acuerdo con lo establecido en la ley y la regulación.
• Publicidad y transparencia: el usuario deberá contar con información transparente respecto de aspectos técnicos, operativos y de costos asociados al esquema de implementación xxx XXXX. Para garantizar este principio, la información referente a los actos derivados de la implementación y gestión xxx XXXX deberían tener carácter público, salvo que se trate de información que por disposición legal tenga el carácter de confidencial o reservada, y respetando el marco legal aplicable en materia de protección de los datos personales.
Para tales propósitos, estos principios deberán integrarse dentro de los contratos de condiciones uniformes, de forma que se elimine la exigencia a suscriptores o usuarios de adquirir, instalar, mantener y reparar los medidores avanzados.
Dicha limitación se adecúa a las facultades regulatorias con las que cuenta la Comisión acerca de establecer parámetros de conducta a los agentes regulados, para lo cual, el artículo 14.18 de la Ley 142 de 1994 establece la “facultad de dictar normas de carácter general o particular en los términos de la Constitución y de esta ley, para someter la conducta de las personas que prestan los servicios públicos domiciliarios a las reglas, normas, principios y deberes establecidos por la ley y los reglamentos”.
2.6. Principio de neutralidad tecnológica
Conforme con el numeral 6 del artículo 2 la Ley 1341 de 2009, el “Estado garantizará la libre adopción de tecnologías, teniendo en cuenta recomendaciones, conceptos y normativas de los organismos internacionales competentes e idóneos en la materia, que permitan fomentar la eficiente prestación de servicios, contenidos y aplicaciones que usen Tecnologías de la Información y las Comunicaciones y garantizar la libre y xxxx competencia, y que su adopción sea armónica con el desarrollo ambiental sostenible”.
El término de Tecnologías de la Información y las Comunicaciones (TIC) se define por el Ministerio de Tecnologías de la Información y las Comunicaciones como “el conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios; que permiten la compilación, procesamiento,
almacenamiento, transmisión de información como: voz, datos, texto, video e imágenes”1; por lo que se entiende como parte de este sector:
“Las industrias manufactureras, comerciales y de servicios cuyos productos recogen, procesan, crean, transmiten o muestran datos e información electrónicamente.
Para las industrias manufactureras, los productos deben estar diseñados para cumplir la función de tratamiento de la información y la comunicación, incluidas la transmisión y la presentación, y deben utilizar el procesamiento electrónico para detectar, medir y/o registrar fenómenos físicos o para controlar un proceso físico.
Para las industrias de servicios, los productos de esta industria deben estar diseñados para permitir la función de tratamiento de la información y la comunicación por medios electrónicos, sin afectar negativamente el medio ambiente”2.
De tal lectura, se puede observar que la Ley 1341 no se limita solamente a regular la provisión de redes y servicios de telecomunicaciones (el cual constituye un servicio público de titularidad del Estado y que se habilita de manera general), sino que también se ocupa de promover todo el entorno TIC, dentro del cual se cuentan, por supuesto, los medidores inteligentes y el esquema de implementación xxx XXXX, al ser productos y servicios que recogerían, procesarían, crearían, transmitirían o mostrarían datos e información electrónicamente relacionada con el consumo de energía eléctrica de los usuarios.
Debe aclararse que lo anterior no significa que se esté haciendo uso de un servicio de telecomunicaciones que se encuentre regulado por la Ley 1341 de 2009 o por la Comisión de Regulación de Comunicaciones, pues las funciones de los medidores y xxx XXXX al recoger, emitir, transmitir y/o recibir información de cualquier naturaleza a través de redes de telecomunicaciones no se enfoca en satisfacer una necesidad especifica de telecomunicaciones del usuario de energía eléctrica.
Aclarado lo anterior, entendemos que los medidores inteligentes se ajustan a la definición del entorno TIC y asimismo observamos que el mismo esquema de implementación xxx XXXX se enmarca en el sector TIC que debe promover el Estado. En concordancia, consideramos que el principio de neutralidad tecnológica resulta aplicable a este último en su función orientadora del fomento, la promoción y el desarrollo de las TIC como una política de Estado que involucra a todos los sectores y niveles de la administración pública y de la sociedad, para contribuir al desarrollo educativo, cultural, económico, social y político e incrementar la productividad, la competitividad, el respeto a los derechos humanos inherentes y la inclusión social.
En consecuencia, el esquema de implementación xxx XXXX en Colombia también debería ajustarse al principio de neutralidad tecnológica, el cual se entendería como la libertad que tienen los proveedores de servicios y el GIDI de usar o adoptar las tecnologías para la prestación de todos los servicios sin restricción
1 Artículo 6 de la Ley 1341 de 2019
2 Artículo 9 de la Ley 1341 de 2019. Ver también, Corte Constitucional, sentencia C-570/10. M.P. Xxxxxxx Xxxxxxx Xxxxxxx Xxxxxxx.
distinta a las posibles interferencias perjudiciales y el uso eficiente de los recursos que se involucren (x.xx. soluciones tecnológicas de hardware y software utilizadas) en tales actividades.
Particularmente, el referido principio también se extiende a la propia gestión xxx XXXX, el cual deberá administrar la base de datos teniendo en cuenta la libertad en el uso de cualquier tecnología que elija para el desarrollo de sus responsabilidades, siempre preservando la interoperabilidad de plataformas, servicios o aplicaciones y la capacidad de integración con los sistemas de los proveedores de servicios.
2.7. Principio de gestión adecuada de información
Este principio propende por una gestión adecuada de la información resultante del esquema de implementación xxx XXXX. Para tal propósito, apunta a permitir que la información sea tratada de manera que:
• Garantice el cumplimiento de la normatividad vigente en materia de tratamiento de información; y,
• para aquella información susceptible de ser compartida, el tratamiento se haga de forma que garantice la transparencia y la seguridad de la información.
Lo anterior deberá atender, entre otros, a los principios que rigen el tratamiento de datos personales conforme con lo dispuesto en el artículo 4 de la Ley 1581 de 2021 o normas que lo modifiquen.
Se dirige a garantizar que los recursos que hacen parte del esquema de implementación xxx XXXX deban ser administrados, asignados e implementados de manera eficiente dada su naturaleza finita o escasa, velando porque sea óptimo su aprovechamiento en aras de generar competencia y calidad, en beneficio de los usuarios. Este principio se hace extensivo también a las proyecciones de utilización de los datos e información que administre el GIDI en el marco de sus funciones y responsabilidad.
Figura No. 1 Principios orientadores xxx XXXX
Fuente: Construcción propia
El GIDI debe tener como característica principal la de ser un agregador de valor xxx xxxxxxx y debe constituirse como un agente independiente y confiable. Para llegar a este punto, es fundamental que mantenga como eje de su actividad la innovación para el desarrollo de nuevas tecnologías en el manejo de sistemas de información, así como en las herramientas que garanticen la integridad, seguridad y disponibilidad de la información.
Para el equipo de la consultoría, los siguientes deben ser los 4 objetivos estratégicos que corresponderían al gestor independiente de datos:
3.1. Dinamizar la competencia en el mercado
Al recorrer los principios orientadores de la actividad encargada al GIDI, es claro que varios de ellos tienen como núcleo común el propender por la libre y xxxx competencia económica. La eliminación xx xxxxxxxx de entrada para nuevos agentes en el mercado de comercialización busca uno los propósitos fundamentales del régimen de la competencia colombiano plasmado en la Ley 1340 de 2009: “la libre participación de las empresas en el mercado”3. Del mismo modo, la información recolectada y procesada en el sistema se convertirá en un activo fundamental para competir, razón por la cual, la no discriminación en su entrega y puesta a disposición debe ser uno de los propósitos del gestor independiente.
Por otra parte, la entrega de información completa y amigable a los usuarios es uno de los elementos estructurales de la economía del comportamiento, entendida como el área de la economía que se origina en la psicología, que busca dar respuestas que la teoría tradicional no ha podido resolver. A partir de factores cognitivos, sociales y emocionales que impactan las decisiones económicas de los agentes se usan experimentos repetidos y múltiples observaciones para describir principios de comportamiento económico. En este tipo de análisis la simplificación de la información es fundamental. Se entiende que, con un agente debidamente informado, es posible un cambio en las estructuras de los mercados gracias a la comparación entre los factores de competencia entre los oferentes, generando el siguiente círculo virtuoso:
3 Artículo 3 de la Ley 1340 de 2009.
Figura No. 2
Círculo virtuoso de la economía del comportamiento
Fuente: Elaboración propia
Teniendo en cuenta lo anterior, el GIDI debería convertirse en el promotor de las decisiones inteligentes de los usuarios respecto a la posibilidad de cambiar a su prestador del servicio, para lo cual debe buscar los siguientes aspectos:
• Simplificar la información que se le suministrará a los usuarios, conforme con los atributos de veracidad, completitud y claridad.
• Definir y dar confiabilidad en el medio a través del cual suministrará la información.
• Entregar oportunamente la información para favorecer decisiones óptimas.
Un tercer aspecto en donde el GIDI ostenta una responsabilidad en la dinamización de la competencia, es el relacionado con la interacción entre los agentes que reciben la información y que compiten entre ellos. Si bien se trata de una estructura en donde el gestor será independiente, deben existir las debidas medidas de prevención de contactos o interacciones indebidas entre competidores en el marco de las actividades que se ejercerán.
De acuerdo con los elementos enunciados, se propone el siguiente texto para descubrir el objetivo estratégico de dinamización xxx xxxxxxx:
Dinamizar la competencia en la comercialización de energía, poniendo a disposición de todos los usuarios y demás agentes, la información del sistema, de manera neutral y comprensible, junto con los mecanismos para el cambio y elección de las mejores alternativas disponibles.
El GIDI integrará, a través de sus funciones, el procesamiento masivo de los datos de consumo de todos los usuarios del país. Si bien esta es una gran responsabilidad que implicará una infraestructura tecnológica y aplicativa robusta, junto con los mecanismos de contingencia y continuidad operativa, también constituye una ventaja, pues al estar centralizada, será mediante un esfuerzo único que se podrá entregar esta información a comercializadores y usuarios. En este caso, la escalabilidad de la solución tecnológica se deberá considerar desde el diseño o selección de la aplicación tecnológica, junto con los planes de disponibilidad y capacidad, pero después el volumen de datos tendrá un impacto marginal en la operación y prestación del servicio.
Es así entonces como el GIDI ofrecerá, de manera eficiente y estándar, los servicios esenciales de procesamiento y entrega de los datos, que implican también el control y gestión de la calidad de estos, la interacción con los operadores y el cumplimiento de los niveles de servicio; y también podrá diseñar y ofrecer servicios adicionales que generen valor, no sólo a los comercializadores sino también a usuarios, operadores y otros agentes del sector. Además, al concentrar en un solo punto la información de consumo, se podrá contar con información agregada que de otra manera sería muy difícil (si no imposible) poder consolidar.
Por lo tanto, el texto del objetivo puede ser:
Optimizar la gestión de los agentes al ofrecer de forma eficiente los servicios de procesamiento, análisis y entrega de datos.
3.3. Gestión y gobierno de datos
Al concentrar en el GIDI la operación de los datos de consumo, deberán definirse unas reglas claras para su manejo, en particular de los datos personales de usuario, lo que implicará que la existencia de este agente determinará un conjunto de reglas claras y homogéneas para el manejo de esa información en el sector. De esta forma, será más fácil controlar, evaluar y desarrollar acciones que permitan, por un lado, garantizar el manejo transparente de los datos y por el otro, maximizar el valor que se puede generar a partir de ellos.
Como se verá en el capítulo 7, el tratamiento, protección y puesta en disposición de los datos recolectados a través de los medidores inteligentes y proporcionados por los OR, es la tarea esencial xxx XXXX y sobre la que se sustenta su misma creación. Son distintas las actividades alrededor de esta responsabilidad, las cuales parten de la recepción de la información, su almacenamiento, clasificación y en general, su procesamiento y van hasta la forma en que debe ser presentada a los usuarios y demás agentes xxx xxxxxxx. Todas estas actividades, además, tienen como premisa transversal la seguridad de la información, la protección de los derechos ciudadanos a su acceso y la defensa del derecho constitucional individual de la protección de datos personales. La forma en la cual se aborde la interacción entre estos 3 pilares constituye quizás el reto más importante xxx XXXX en lo que respecta a su función principal.
En este sentido, el gestor deberá contar con las políticas, protocolos y demás mecanismos necesarios para la correcta administración de la información y tendrá que diseñar las herramientas idóneas para que esta sea utilizada de manera adecuada. Un elemento fundamental para el desarrollo de este objetivo lo constituye el correcto entendimiento y discriminación de la información que será administrada ya que a partir de este, es posible definir los procedimientos a aplicar así como su alcance y utilidad.
Al respecto, vale la pena mencionar que si bien la protección de datos personales debe ser una premisa en las actividades a desarrollar, no puede desconocerse el hecho de que la información que será recolectada y tratada en el sistema, no se limita a este tipo de datos. Existe información pública, xx xxxxxxx e incluso confidencial de los agentes xxx xxxxxxx sobre la que deberá realizarse una aproximación distinta.
Finalmente, a pesar de que pueda existir información cuyo acceso sea restringido, ya sea por tratarse de datos personales o confidenciales, lo cierto es que los criterios de clasificación y protocolos en su tratamiento deben ser transparentes y de acceso público. El rasero con el cual se definen dichos criterios debe ser aplicado bajo una premisa de regla general y no puede haber un trato distinto a situaciones análogas.
Teniendo en cuenta los criterios generales arriba anotados, la propuesta de texto para este objetivo es:
Garantizar la seguridad de los datos implementando las herramientas necesarias para asegurar su integridad, confidencialidad y disponibilidad, bajo los preceptos de seguridad, transparencia y protección de datos personales.
3.4. Dinamización xxx xxxxxxx y desarrollo de nuevos servicios de información
Además del impacto que el GIDI tendrá en la competencia, al entregar información a usuarios y comercializadores, este tendrá la capacidad de descubrir información que le permitirá a los agentes identificar nuevos servicios e incluso nuevos modelos de negocio en los que puedan aportar valor a usuarios y otras partes, dentro o fuera del sector.
Por lo tanto, el GIDI tendrá como objetivo innovar en el análisis y creación de información que permita a los agentes existentes, o eventualmente a nuevos, desarrollar productos y servicios. Esto lo podrá hacer como parte del procesamiento esencial que llevará a cabo, proveyendo recursos a comercializadores, operadores y usuarios, o como un nuevo conjunto de servicios que podrá ofrecer. Estos se podrían entregar accediendo la página web xxx XXXX, a través de archivos que el GIDI envíe por solicitud o proactivamente o incluso con servicios web que se puedan integrar directamente con otras aplicaciones.
Finalmente, la información que el GIDI cree, y que no se podría generar sin un gestor único integrado, deberá dinamizar el sector, optimizar el uso de recursos, mejorar la prestación del servicio a los usuarios, proveer mejor información para la definición de política pública y crear un entorno para la innovación en modelos de negocio.
El texto propuesto para este objetivo es:
Generar un entorno en el que, a partir de la información creada mediante el procesamiento centralizado de los datos, se identifiquen y desarrollen nuevas oportunidades de servicio y modelos de negocio.
4. NATURALEZA JURÍDICA XXX XXXX
La forma societaria que debe asumir el GIDI, impone un análisis de las ventajas y alternativas que existen respecto de constituirse como una sociedad comercial regida principalmente por el régimen común, o como una Empresa de Servicios Públicos Domiciliarios, regida principalmente por la Ley 142 de 1994. La elección de dicha forma societaria deberá permitir que el Gestor, sea realmente un ente autónomo que garantice el manejo imparcial de la información que recauda.
Así, se encuentra que la principal diferencia entre una sociedad anónima regida por las normas comerciales y una sociedad anónima, constituida como empresa de servicios públicos domiciliarios, no radica en la forma societaria propiamente dicha, sino en el objeto social que debe desarrollar y para el cual se constituye, lo que determina o no, el nivel de aplicación y observancia de las normas especiales contenidas en la Ley 142 de 1994 y la incidencia de la intervención del Estado regulador en sus relaciones contractuales y de operación.
En efecto, el artículo 18 de la Ley 142 dispone que la empresa de servicios públicos tiene como objeto: (i) la prestación de uno o más de los servicios públicos, (ii) o realizar una o varias de las actividades complementarias, (iii) o una y otra cosa. De esta manera, para constituirse como empresa de servicios públicos domiciliarios basta con realizar una o varias actividades complementarias a la prestación del servicio público domiciliario de que se trate o, prestar el servicio público domiciliario a que haya lugar.
Por su parte, la misma Ley 142 ha definido que a las actividades complementarias también le son aplicables sus reglas; para el caso del servicio público de energía eléctrica, el artículo 14.25 de la misma ley dispone cuáles son actividades complementarias y las identifica como la de generación, de comercialización, de transformación, interconexión y transmisión.
Así, desde la perspectiva del objeto social, se deberá constituir una Empresa de Servicios Públicos Domiciliarios, cuando se esté ante la prestación del servicio respectivo o ante alguna de las actividades complementarias, que en este caso, han sido calificadas expresamente de esta forma por el legislador.
En este contexto, también resulta importante tener en cuenta que de conformidad con lo dispuesto en el artículo 15 de la Ley 142 de 1994, las empresas de servicios públicos no son las únicas habilitadas para la prestación de servicios públicos domiciliarios; dicho artículo prevé que “las personas naturales o jurídicas que produzcan para ellas mismas, o como consecuencia o complemento de su actividad principal, los bienes y servicios propios del objeto de las empresas de servicios públicos” también pueden prestar servicios públicos.
Al respecto se encuentra que la aplicación de la regla antes prevista, parte del supuesto de que el servicio se produce para el mismo agente prestatario o como consecuencia de una actividad principal, es decir, el servicio público es accesorio y no principal, situación que implica “auto prestación”. Esta aproximación interpretativa al alcance del artículo 15.2 de la Ley 142 de 1994, la sigue el propio legislador cuando en el
artículo 125 de la Ley 1450 de 20114 al imponer, en el marco del Plan Nacional de Desarrollo, reglas especiales para la aplicación de los subsidios y contribuciones para los servicios de acueducto, alcantarillado y aseo plantea que la regla prevista en el artículo 15.2, se refiere a usuarios de servicios provistos por productores de servicios marginales independientes o para uso particular o para autoabastecimiento.
En este mismo sentido se pronunció la Corte Constitucional en Sentencia X-000 xx 0000, xx xx xxxx, xxxxxxx cómo la Ley 142 de 1994 al establecer el régimen general de los servicios públicos domiciliarios determinó, entre otras cosas, quiénes los prestarían y en qué condiciones. En este punto y particularmente respecto del artículo 15.2, explicó que, de conformidad con esta Ley, pueden prestar servicios públicos domiciliarios:
“Las personas naturales o jurídicas que produzcan para ellas mismas, o como consecuencia o complemento de su actividad principal, los bienes y servicios propios del objeto de las empresas de servicios públicos. (Artículo 15.2, Ley 142 de 1994) Este tipo de prestadores de servicios públicos domiciliarios, conocido como “productor marginal, independiente o para uso particular,” es una “persona natural o jurídica que utilizando recursos propios y técnicamente aceptados por la normatividad vigente para cada servicio, produce bienes o servicios propios del objeto de las empresas de servicios públicos para sí misma o para una clientela compuesta exclusivamente por quienes tienen vinculación económica directa con ella o con sus socios o miembros o como subproducto de otra actividad principal.” (Artículo 1 de la Ley 689 de 2001).”
Así las cosas, es claro que la figura contemplada en el artículo 15.2 de la Ley 142 de 1994, no correspondería con la razón de ser xxx XXXX, pues la misma rebasa las fronteras de la prestación marginal y desconoce el objetivo de darle independencia y autonomía de los demás agentes que componen la cadena de prestación del servicio de energía eléctrica.
Ahora bien, en lo que al objeto societario se refiere, tratándose de una sociedad comercial, el objeto estará sometido a la libre voluntad de quienes concurran a la constitución de esa nueva persona jurídica.
En este sentido, en el caso concreto se encuentra que el objeto social xxx XXXX sería amplio y tendiente principalmente a recibir la información y datos resultantes de la AMI; centralizarla, gestionarla y mantenerla de tal forma que se asegure la integridad de los datos de manera continua; desarrollar e implementar plataformas que permitan consultas por parte de todos agentes xxx xxxxxxx (usuarios, comercializadores y demás agentes xxx xxxxxxx mayorista, así como el regulador y las autoridades de vigilancia, inspección y control). Es indispensable tener presente que la información que procese y
4 El inciso 3 del artículo 125 de la Ley 1450 de 2011 dispuso lo siguiente: “De conformidad con lo previsto en los artículos 15.2, 16 y 87.3 de la Ley 142 de 1994, los usuarios de servicios suministrados por productores de servicios marginales independientes o para uso particular, y ellos mismos en los casos de autoabastecimiento, en usos comerciales en cualquier clase de suelo y de vivienda campestre en suelo rural y rural suburbano, deberán hacer los aportes de contribución al respectivo fondo de solidaridad y redistribución del ingreso, en los porcentajes definidos por la entidad territorial. La Comisión de Regulación de Agua Potable y Saneamiento Básico regulará la materia.”
custodie el GIDI es la información de base y fundamental para realizar el proceso de facturación de los servicios de energía eléctrica y la que permitirá gestionar el proceso de cambio de comercializador por parte del usuario. Tan relevante es esta información que, la Comisión de Regulación de Energía y Gas al hacer la presentación de la propuesta regulatoria denominada “CONDICIONES PARA LA IMPLEMENTACIÓN DE LA INFRAESTRUCTURA DE MEDICIÓN AVANZADA EN EL SIN”, identificó claramente
que para el servicio de energía eléctrica la información con fundamento en la cual se factura el servicio, determina su efectiva prestación, por lo que claramente se trata de información, no solo relevante sino altamente estratégica e indispensable para la prestación del servicio domiciliario en comento.
Así mismo, en el referido documento de consulta, la CREG también identificó que las actividades que desarrollaría el GIDI y que ha de incluir en su objeto social, no son susceptibles de ser replicadas ni sustituidas de manera rentable dadas las restricciones técnicas y las economías de escala asociadas; noción que coincide con el concepto de facilidad o instalación esencial, el cual también ha sido desarrollado por la CREG en la Resolución 080 de 2019 bajo la figura de “Bienes esenciales empleados para la organización y prestación de los servicios”, definidos en el artículo 3.1 del mencionado acto administrativo, como aquellos “bienes tangibles e intangibles que: (i) se usan en la organización y prestación de los servicios públicos domiciliarios de energía eléctrica o gas combustible; (ii) no son susceptibles de ser replicados ni sustituidos de manera rentable debido a restricciones técnicas, geográficas, físicas o legales; y (iii) son necesarios para atender a los usuarios o para permitir que los agentes desarrollen una o más actividades de las cadenas de valor de las que trata esta resolución.”
Lo anterior permite constatar, sin lugar a duda, que la información que centralizará el GIDI es inherente a la prestación del servicio público de energía eléctrica y sin la misma, este no sería susceptible de ser cobrado y gestionado debidamente. Tal afirmación permite concluir que no sería alejado a la normatividad vigente que, así no se esté propiamente frente a la prestación del servicio público domiciliario de energía eléctrica, al versar su objeto sobre la gestión, control, seguimiento y análisis de un activo clave y determinante para su efectiva prestación -como es la información requerida para la facturación del servicio y la materialización del cambio del comercializador del mismo para promover la competencia y salvaguardar el derecho del usuario a la libre elección- la figura de la Empresa de Servicios Públicos Domiciliarios, le sería aplicable. Lo anterior tendría aún más sentido y justificación si la regulación en materia de bienes esenciales empleados para la organización y prestación de los servicios de energía eléctrica incluyera explícita y expresamente, la información que gestiona el GIDI como un bien de tal naturaleza.
En todo caso, si bien como antes se anotó, la información que centralizará el GIDI es inherente a la prestación del servicio público, también podría afirmarse que la gestión de dicha información no corresponde textualmente con la definición del servicio público de energía eléctrica, entendido como el transporte de energía eléctrica desde las redes regionales de transmisión hasta el domicilio del usuario final, incluida su conexión y medición; ni tampoco con lo que el legislador ha contemplado como actividades complementarias al mismo, por lo que no resultaría indispensable que la forma societaria aplicable fuera la de Empresa de Servicios Públicos Domiciliarios, máxime si se tiene en cuenta que, incluso
la autoridad de inspección, control y vigilancia5 de los servicios públicos domiciliarios ha determinado que el alcance de su intervención no se delimita por el criterio orgánico, es decir, que se trate de una Empresa de Servicios Públicos Domiciliarios, sino principalmente, por el criterio material, esto es que se trate de empresas que realicen actividades inherentes, complementarias e implicadas en la prestación del servicio público.
Así, existe un margen deliberativo para que el regulador, en aplicación de los criterios de discrecionalidad administrativa defina la figura que mejor cumpla con los fines y propósitos que pretende materializar con la constitución de un agente independiente, imparcial, que mediante su gestión dinamice la competencia y permita al usuario, a los comercializadores y demás agentes xxx xxxxxxx, consultar, conocer y por, sobre todo, confiar en la fidelidad de la información que reporta y entrega.
Ahora bien, se encuentra que la Comisión de Regulación de Energía y Gas cuenta con diferentes facultades que le permiten adoptar la decisión a la que se ha hecho referencia bien sea con fundamento en lo dispuesto en la Ley 1955 de 2019, artículo 2906 o, con fundamento en lo dispuesto en las competencias ya previstas en las Leyes 142 y 143 de 1994; decisiones que claramente tendrían implicaciones y alcances distintos.
En primer lugar, en el presente análisis debe mencionarse que en aplicación de lo dispuesto en las Leyes 142 y 143 de 1994, corresponde a la Comisión de Regulación de Energía y Gas:
• Regular los monopolios en la prestación de los servicios públicos, promover la competencia entre quienes presten servicios públicos, para que las operaciones de los monopolistas o de los competidores sean económicamente eficientes, no impliquen abusos de la posición dominante, y produzcan servicios de calidad.
• Impedir que quienes captan o producen un bien que se distribuye por medio de empresas de servicios públicos adopten pactos contrarios a la libre competencia en perjuicio de los distribuidores; y exigir que en los contratos se especifiquen los diversos componentes que definen los precios y tarifas.
• Regular el ejercicio de las actividades de los sectores de energía para asegurar la disponibilidad de una oferta energética eficiente, propiciar la competencia en el sector y proponer la adopción
5 La Oficina Asesora Jurídica de la Superintendencia de Servicios Públicos Domiciliarios, en concepto de fecha 24 xx xxxxx de 2018, explicó el alcance de sus competencias respecto de agentes que no están constituidos como Empresas de Servicios Públicos Domiciliarios. Vale decir que en dicha oportunidad también afirmó que bajo el criterio material, la ejecución de actividades inherentes, complementarias e implicadas en la prestación del servicio público implica en sí misma, la prestación del servicio público respectivo.
6 Artículo 290 de la Ley 1955 de 2019, dispone: “NUEVOS AGENTES. La Comisión de Regulación de Energía y Gas -CREG, en el marco de la función de garantizar la prestación eficiente del servicio público, de promover la competencia, evitar los abusos de posición dominante y garantizar los derechos de los usuarios, dentro de la regulación sobre servicios de gas combustible, energía eléctrica y alumbrado público, incluirá: 1. Definición de nuevas actividades o eslabones en la cadena de prestación del servicio, las cuales estarán sujetas a la regulación vigente. 2. Definición de la regulación aplicable a los agentes que desarrollen tales nuevas actividades, los cuales estarán sujetos a la regulación vigente.”
de las medidas necesarias para impedir abusos de posición dominante y buscar la liberación gradual de los mercados hacia la libre competencia.
Adicionalmente, según lo dispuesto en el artículo 7 de la Ley 143 de 1994, “en las actividades del sector podrán participar diferentes agentes económicos, públicos, privados o mixtos, los cuales gozarán de libertad para desarrollar sus funciones en un contexto de libre competencia, de conformidad con los artículos 333, 334 y el inciso penúltimo del artículo 336 de la Constitución Nacional, y el artículo 3° de esta Ley.” El mismo artículo 7 contempla en su parágrafo que, si bien la actividad de comercialización sólo puede ser desarrollada por aquellos agentes económicos que realicen algunas de las actividades de generación o distribución, también es posible que en dicho segmento participen agentes independientes, que cumplan las disposiciones que expida sobre este particular la XXXX.
Bajo el contexto normativo previamente identificado, la CREG puede definir las condiciones de operación y reglas de gobernanza xxx XXXX, como agente xxx xxxxxxx, bajo los segmentos ya existentes y definidos por la Ley, bien sea como una sociedad comercial, o como una empresa de servicios públicos domiciliarios. En este punto debe llamarse la atención sobre el hecho de que, en la medida en que la decisión no implica la alteración o modificación de la cadena de valor o la integración de una categoría nueva de un agente en la misma, sino en el reconocimiento de que, bajo la estructura xx xxxxxxx actual, no se requiere acudir a las reglas contenidas en el artículo 290 de la Ley 1955 de 2019. Así, el GIDI se constituye en un agente que entraría a dinamizar el mercado como un todo, estaría afecto directamente el segmento de comercialización, donde recaba la información que provee el OR para que los diferentes comercializadores puedan cobrar los servicios y los usuarios puedan a su vez, ejercer el derecho de libre elección.
Ahora bien, si lo que se pretende es la generación de una nueva actividad autónoma o un eslabón independiente de la cadena de valor o de prestación de los servicios de energía eléctrica corresponderá entonces, ejercer la competencia especial adicionada por el artículo 290 previamente citado.
Lo anterior pone de presente entonces, que hay diferentes maneras de afrontar la naturaleza jurídica xxx XXXX y su interacción en el mercado de energía eléctrica.
Tabla No. 1 Naturaleza jurídica xx XXXX
Sin modificación de la estructura xxx xxxxxxx | Incluyendo una actividad o eslabón nuevo en la cadena de prestación de servicios | |||
Sociedad por acciones | Empresa de Servicios Públicos Domiciliarios | Sociedad por acciones | Empresa de Servicios Públicos Domiciliarios | |
Objeto | Definido por los socios, cumpliendo lineamientos de la regulación | Prestación de servicios públicos domiciliarios y actividades complementarias | Definido por los socios, cumpliendo lineamientos de la regulación | Prestación de servicios públicos domiciliarios y actividades complementarias |
Reglas aplicables | Derecho privado. Reglas regulatorias específicas. Sujeto a revisión y control de la Superintendencia de Servicios Públicos SSP | Aplicación integral del régimen jurídico de los servicios públicos domiciliarios, incluida la regulación de manera global | Derecho privado. Reglas regulatorias específicas. Sujeto a revisión y control de la SSP | Aplicación integral del régimen jurídico de los servicios públicos domiciliarios, incluida la regulación de manera global |
Posibilidad de Intervención del Estado en la operación | Moderada. Sujeta a las reglas de libertad de empresa | Alta. Sujeta a las reglas de prestación de servicios públicos domiciliarios esenciales | Moderada. Sujeta a las reglas de libertad de empresa | Alta. Sujeta a las reglas de prestación de servicios públicos domiciliarios esenciales |
Interés que pretende satisfacer | Interés económico de los socios | Materialización de los fines sociales del Estado a través de la prestación de servicios públicos. Retribución económica | Interés económico de los socios | Materialización de los fines sociales del Estado a través de la prestación de servicios públicos. Retribución económica |
Vigilancia y control en materia de protección de la competencia y de los datos personales | Elemento neutral. La SIC será la encargada, a través de sus delegaturas, de Protección de la Competencia y Protección de Datos Personales. | Elemento neutral. La SIC será la encargada, a través de sus delegaturas, de Protección de la Competencia y Protección de Datos Personales. | Elemento neutral. La SIC será la encargada, a través de sus delegaturas, de Protección de la Competencia y Protección de Datos Personales. | Elemento neutral. La SIC será la encargada, a través de sus delegaturas, de Protección de la Competencia y Protección de Datos Personales. |
Fuente: Elaboración propia
Teniendo en cuenta lo anteriormente expuesto, para esta consultoría la opción más adecuada en cuanto a la naturaleza jurídica xxx XXXX es que se estructure como una Empresa de Servicios Públicos, para lo cual no sería necesaria la aplicación del artículo 290 de la Ley 1955 de 2019.
La primera respuesta de los gobiernos frente a un asunto de política pública suele ser la intervención regulatoria, por lo que resulta preciso preguntarse primero si la regulación tradicional es el mejor curso de acción para adoptar. Tal aproximación se refiere a la regulación de comando y control, la cual depende de la intervención regulatoria (x.xx. permisos, prohibiciones, establecimiento y cumplimiento de normas y su observancia), en oposición a instrumentos económicos de internalización de costos que se dirijan a moldear conductas en el mercado (Alternatives to traditional regulation, 2009).
Esta pregunta fue abordada por la CREG en el Documento 103, en donde consideró que “un esquema de (SIC) corregulación resulta conveniente en el contexto colombiano, dejando que se desarrollen soluciones locales que, a su vez, respondan a los objetivos de la política pública y de la regulación”7.
En tal marco, y previo a abordar el esquema de gobernanza xxx XXXX, debe primero aclararse lo que significa corregulación, para así poder desarrollar el esquema de gobernanza xxx XXXX en el marco de un modelo de gestión centralizada de información y despliegue por parte del operador de red8.
Para explicar el concepto de corregulación, debemos primero referirnos a la autorregulación. Este mecanismo involucra a un grupo de agentes económicos que voluntariamente desarrollan reglas o códigos de conducta que regulan o guían el comportamiento, acciones y estándares de sus miembros.
Por lo que debe tenerse en cuenta que los tipos de instrumentos o mecanismos que pueden ser creados bajo un régimen de autorregulación son similares bajo un marco de corregulación. Sin embargo, esta última alternativa explícitamente integra un componente de intervención regulatoria. Por lo que es el grado de intervención regulatoria y el respaldo legislativo lo que determina la diferencia entre uno y otro modelo.
Los enfoques de autorregulación y corregulación se utilizan con frecuencia en sectores donde se revela un importante conocimiento técnico. Al punto, la Organización para la Cooperación y el Desarrollo Económicos OCDE (a la cual el país formalmente se vinculó como miembro el 28 xx xxxxx del 2020) (Organisation for Economic Co-operation and Development OECD, 2020), ha explicado lo siguiente:
7 Documento CREG-103 “Condiciones para la implementación de la infraestructura de medición avanzada en el SIN
- consulta”, 26 xx xxxxx de 2020. Pg. 100
8 Documento CREG-103 “Condiciones para la implementación de la infraestructura de medición avanzada en el SIN
- consulta”, 26 xx xxxxx de 2020. Pg. 103
“Cuando se utilizan en las circunstancias adecuadas, estos instrumentos pueden ofrecer ventajas significativas sobre la regulación tradicional de comando y control, que incluyen: mayor flexibilidad y adaptabilidad; costos administrativos y de cumplimiento potencialmente más bajos; capacidad para abordar directamente problemas específicos de la industria y de los consumidores; y mecanismos de resolución de disputas y manejo de quejas rápidos y de bajo costo. Tanto los enfoques de autorregulación como los de corregulación tienen el potencial de ser instrumentos de política muy eficientes debido a su flexibilidad. Pueden adaptarse al problema específico para el que están diseñados y pueden cambiar rápidamente en respuesta a circunstancias cambiantes. Sin embargo, también puede haber consecuencias negativas: debe existir una protección adecuada para garantizar que el régimen no sea capturado por la industria o la asociación profesional y así promover intereses estrechos en lugar de los intereses de la comunidad en general.” (Organisation for Economic Co-operation and Development OECD, 2009)
Así las cosas, y entendiendo que la CREG ha propuesto la incorporación de un gestor de información que realice esta tarea de manera independiente buscando mitigar el riesgo asociado al ejercicio de poder xx xxxxxxx por parte del operador de red o del comercializador, se propone que el esquema de gobernanza se adapte a tal modelo de corregulación. Lo anterior, bajo el entendido de que el GIDI funcionaría como un arquitecto de elección para los usuarios9 y subscriptores al encontrar mecanismos de simplificación frente a un disperso conocimiento de información respecto de la provisión y consumo de energía eléctrica en el país, y en donde su esquema de gobernanza se encuentra encaminado en reducir complejidades, aumentar beneficios y minimizar costos (Sunstein, 2013).
Para tal propósito, aprovechando las lecciones aprendidas y reseñadas tanto por el ABD en la implementación de la portabilidad numérica móvil en el país10 como de las experiencias internacionales y en desarrollo de lo dispuesto en el artículo 290 de la Ley 1955 de 2019, planteamos la posibilidad de que el gestor (GIDI) sea conjuntamente seleccionado y elegido objetivamente por los comercializadores quienes deberían suscribir un contrato para tales efectos; teniendo en cuenta criterios de eficiencia y maximización del beneficio para los usuarios, y en donde el GIDI en el marco de la regulación desarrollada por la CREG lo obligue a tratar con imparcialidad, racionalidad, neutralidad y trato no discriminatorio - junto con los demás principios orientadores- a los agentes involucrados en la gestión e implementación de sus responsabilidad y funciones.
9 El concepto de arquitecto social se entiende como aquél que diseña y controla un respectivo ecosistema para influenciar las decisiones de los consumidores.
10 [Ver producto 1 entregado]
No consideramos que el gestor deba ser directamente seleccionado y elegido por la CREG al estilo del Reino Unido para cumplir sus funciones pues, desde un punto de vista de gobernanza, tal grado de intervención regulatoria se aleja de una alternativa puramente de corregulación que plantea el Documento CREG 103, la cual compartimos.
Figura No. 3
Grado de intervención regulatoria en el proceso de selección y elección xxx XXXX
Construcción Propia
Adicionalmente, y para efectos de lograr los beneficios de la corregulación que plantea la misma CREG en el Documento 103, proponemos la creación de un comité técnico como una instancia de carácter consultivo durante el proceso de implementación y gestión xxx XXXX, el cual tiene como propósito garantizar el efecto de corregulación pretendida al promover la cooperación entre los agentes del sector que se encuentren involucrados en la implementación y posterior operación xxx XXXX. Su composición se explica más adelante.
5.1. Selección y elección xxx XXXX por parte de los comercializadores
En este escenario, la CREG por medio de intervención regulatoria, requeriría que el gestor sea seleccionado y elegido conjuntamente por los comercializadores, teniendo en cuenta entre otros, los principios orientadores de eficiencia, no discriminación, promoción de la libre competencia y protección de los derechos de los usuarios. Lo anterior, para garantizar la neutralidad y las condiciones de sana competencia.
Por lo que la responsabilidad en el proceso de selección y elección xxx XXXX recaería sobre los comercializadores, siendo la misma asumida de acuerdo con la ley y la regulación que expida la CREG para tal efecto.
Respecto a los aspectos generales del proceso de selección del gestor, se sugiere que la CREG intervenga regulatoriamente para exigir que los comercializadores tengan en cuenta la siguiente información mínima de las condiciones de selección del gestor:
• Objeto del contrato:
En donde el gestor se obligue con cada uno de los comercializadores a llevar a cabo el diseño, implementación, migración, prueba, montaje, operación, seguridad, administración, calidad, mantenimiento, actualización, respaldo e integridad de la solución técnica y de la información a procesar, así como de las ofertas de mejora al proceso xxx XXXX en Colombia, incluyendo la administración de la base de datos; a gestionar los procedimientos de switching que incluye la comunicación de los cambios de comercializadores por parte de los usuarios y la coordinación de la sincronía para la actualización de la base de datos; y a cumplir con la regulación dispuesta por la CREG al respecto.
• Modalidad de contratación:
Los comercializadores miembros de un Comité Técnico xxx XXXX (CTG) – ver sección 6.2. abajo-, deberán determinar conjuntamente la modalidad y el mecanismo de contratación de conformidad con el Código de Comercio y en el marco de la regulación expedida por la CREG en desarrollo de sus funciones, en especial del artículo 290 de la Ley 1955 de 2019.
• Elaboración y mecanismo de contratación del gestor:
Lo cual incluye la determinación de las condiciones en las que los proponentes o el eventual contratante deberán elaborar y presentar su propuesta para que la misma se considere válida.
• Responsabilidad de la elaboración de la propuesta y efectos vinculantes de las mismas:
En los términos previstos en el artículo 861 del Código de Comercio, “[l]a promesa de celebrar un negocio producirá́ obligación de hacer, la celebración del contrato prometido se someterá́ a las reglas y formalidades del caso”. En consecuencia, en este aparte se deberá́ establecer claramente que la
responsabilidad de elaborar la propuesta es enteramente de los proponentes y que la presentación de la propuesta vincula al proponente.
• Régimen jurídico aplicable:
El cual no solo contemplará el régimen comercial, sino la regulación que en la materia imponga la CREG en desarrollo de sus funciones, en especial del artículo 290 de la Ley 1955 de 2019.
• Modificación de las condiciones de selección del gestor:
Considerando que las relaciones comerciales se rigen por el principio de buena fe, en los términos del artículo 83 constitucional, y el artículo 863 del Código de Comercio, que establece que “[l]as partes deberán proceder de buena fue exenta de culpa en el periodo precontractual, so pena de indemnizar los perjuicios que se causen”, es necesario definir expresamente reglas de modificación de los condiciones de selección del gestor, en el proceso de elaboración de los mismos.
• Procedimiento de selección:
Se refiere a las diferentes etapas del proceso de selección, incluyendo por lo menos:
- Período de información previa y elaboración de los términos de referencia
- Preparación y presentación de las propuestas
- Evaluación de las propuestas
- Selección y adjudicación
• Contenido de las propuestas y presentación de la propuesta:
De acuerdo con las condiciones de selección determinadas por los comercializadores las propuestas podrían incluir por lo menos lo siguiente:
- Documentos relativos a los requerimientos jurídicos
- Documentos relativos a los requerimientos financieros
- Documentos relativos a los requerimientos técnicos
- Propuesta técnica
- Propuesta económica
Igualmente, se deberá indicar la forma en la cual esta información debe ser presentada por los proponentes.
• Evaluación de las propuestas:
Se sugiere establecer los factores de evaluación y la forma de calificación de los siguientes aspectos:
- Requerimientos legales
- Requerimientos financieros
- Requerimientos técnicos
- Propuesta técnica y económica
Del mismo modo, se insta a los proveedores a que incluyan las razones y causas que podrían generar el rechazo de las propuestas.
• Garantías:
Las garantías son los instrumentos mediante los cuales se ampara el cumplimiento de las obligaciones que surgen a favor de los comercializadores, ya sea de los ofrecimientos efectuados por los proponentes o contratistas, como del contrato que se suscriba con el gestor, como por efecto de hechos constitutivos de responsabilidad civil extracontractual derivada de la acción o la omisión del gestor xxx XXXX. En esa medida,
corresponderá́ en el contrato que celebrará el gestor con los comercializadores fijar las garantías a cargo
del gestor.
Dentro de las garantías se pueden diferenciar las siguientes: (i) las garantías de la oferta o de los ofrecimientos de los interesados que se propongan como gestor, y (ii) las garantías respecto del cumplimiento de las obligaciones previstas en el contrato.
A continuación, y únicamente a manera de ilustración, se relacionan algunas de las garantías más comunes contempladas en el ordenamiento jurídico colombiano:
- Póliza de seguros
- Garantía bancaria
- Fiducia mercantil en garantía
- Endoso en garantía de títulos valores
- Depósito de dinero en garantía
Las características generales de las garantías que se suelen considerar son las siguientes:
- Monto
- Vigencia
- Amparos o coberturas de las garantías que deberán considerar: el objeto del contrato, la naturaleza y las características de las obligaciones derivadas del contrato, la asignación de riesgos a cada una de las partes del mismo.
De manera enunciativa, y de acuerdo con la naturaleza del contrato a suscribirse, se podrá́ considerar el amparo de los perjuicios que se deriven del incumplimiento imputable al gestor. Dicho amparo deberá́ cubrir perjuicios en los siguientes eventos:
- El incumplimiento ya sea parcial o total, o el cumplimiento tardío, de las obligaciones previstas en el contrato, incluyendo el pago del valor de las multas que se hayan pactado en el contrato, o el pago de la cláusula penal pecuniaria, si es el caso.
- La calidad y correcto funcionamiento de los bienes y equipos suministrados. Este amparo debe incluir, los perjuicios derivados de la mala calidad o deficiencias técnicas de los equipos suministrados por el gestor, de acuerdo con las especificaciones técnicas establecidas en el contrato, o por el incumplimiento de los parámetros o normas técnicas establecidas para los respectivos equipos, si es el caso.
- La mala calidad o insuficiencia del servicio prestado, teniendo en cuenta las condiciones estipuladas en el contrato.
• Elección de propuesta ganadora:
La propuesta ganadora, además de los criterios señalados anteriormente, podría responder al ofrecimiento más favorable determinado así:́
- Menor precio.
- Mejor calidad, sin considerar el precio.
- Ponderando los elementos de calidad y de precio mediante la asignación de puntajes o la aplicación de fórmulas previamente determinadas.
- Para las ponderaciones de los elementos de calidad se pueden tener en cuenta ventajas de calidad o de funcionamiento, considerando aspectos tales como: uso de tecnología o materiales que generen mayor eficiencia, mayor rendimiento o mejor servicio.
• Adjudicación y suscripción del contrato:
Agotada la etapa de evaluación por parte de los comercializadores, se deberá́ proceder a la adjudicación del respectivo contrato a la propuesta ganadora, que se sugiere formalizar en sesión del CTG, y en donde se suscribirían los respectivos contratos por los comercializadores con el gestor xxx XXXX seleccionado. Se recomienda que el plazo de duración del contrato a celebrar por los comercializadores y el gestor puede ser indefinido o, estar limitado en el tiempo y sujeto a prorrogas sucesivas.
Figura No. 4
Proceso de elección y selección xxx XXXX
Fuente: Construcción propia
Para efectos de garantizar la neutralidad e independencia del gestor xxx XXXX que se seleccione, se sugiere que el mismo sea una empresa:
• Persona jurídica constituida como empresa de servicios públicos en el país (tal como se explicó en la sección 4 de este documento).
• Sin inhabilidades, incompatibilidades o prohibiciones de orden constitucional o legal (lo cual se acreditaría bajo gravedad del juramento).
• Con duración ilimitada y objeto comercial relacionado únicamente con sus funciones y responsabilidades.
• Sin participación accionaria o de capital de los operadores de red o comercializadores responsables de implementar el AMI en el país, o de sus vinculadas, controladas, matrices y subordinadas. Estas mismas condiciones aplicarían para cualquier empresa que pueda llegar a contratar con el GIDI para el desarrollo de sus funciones y responsabilidades.
• En donde los empleados xxx XXXX no deban proveer servicios o tener vínculo laboral con ninguno de los operadores de red y tampoco con los comercializadores responsables que lo eligieron y seleccionaron (i.e. para efectos de garantizar neutralidad decisoria).
Los anteriores condicionamientos que calificarían la posibilidad de empresas para participar en la presentación de las propuestas se enmarcan en los principios orientadores xxx XXXX.
Finalmente, se propone que la regulación describa los elementos necesarios y obligatorios que deberán ser incluidos dentro del contrato privado suscrito entre las partes. En tal propósito, la regulación debería disponer que dicho contrato, el cual se rige por el código de comercio y en el marco de la regulación de la CREG, contemple al menos:
• Las especificaciones técnicas y operativas xxx XXXX
• Nivel de calidad y disponibilidad
• Mecanismos de seguridad
• Garantías
• Duración del contrato
• Esquemas de remuneración, incluyendo la discriminación de los componentes relativos a inversiones iniciales de implementación y los correspondientes a gastos recurrentes derivados de la operación
• Procedimientos de intercambio de información
• Servicio de atención y soporte
• Mecanismos de solución de controversias entre los comercializadores y el GIDI
• Multas y sanciones.
Se propone que la CREG, en desarrollo del artículo 290 de la Ley 1955 de 2019, plantee que en el referido contrato no fueran permitidas acciones perjudiciales para el funcionamiento xxx XXXX tales como:
• Omisión de informaciones técnicas u operativas necesarias para el correcto funcionamiento xxx XXXX.
• Exigencia de condiciones abusivas en los contratos.
• Obstrucción de las negociaciones de los acuerdos entre el GIDI y terceros.
5.2. Comité técnico consultivo xxx XXXX
Con el fin de crear una instancia de carácter consultivo cuyo propósito sería el de promover la cooperación entre los agentes del sector involucrados durante la implementación y posterior operación xxx XXXX en Colombia, se propone que la CREG, en el marco de sus funciones y en desarrollo del artículo 290 de la Ley 1955 de 2019 y de la Ley 142 de 1994, disponga de la creación de un Comité Técnico xxx XXXX (CTG).
El CTG tendrá como principal función la de asesorar técnicamente a la CREG buscando que el proceso y regulación en la implementación y operación xxx XXXX sea cada vez menos complejo, aumente sus beneficios esperados y minimice los costos involucrados en beneficio de los usuarios del servicio.
El referido comité estaría integrado por:
• Un representante del Consejo Nacional de Operación (CNO) de su comité de operación.
• El secretario técnico del Comité Asesor de Comercialización (CAC).
• Dos representantes de las empresas que desarrollan exclusivamente la actividad de comercialización.
• El representante del gestor xxx XXXX (cuando este fuera seleccionado).
Debe xxxcisarse que el secretario técnico del Comité Asesor de Comercialización (CAC) fue facilitado por la CREG mediante la Resolución 123 de 2003, en donde modificó la estructura del CAC y facultó al Comité para la contratación de un secretario técnico de carácter profesional e independiente. Por lo que para aprovechar las sinergias que se desarrollan en el CAC, el secretario del mismo participaría como miembro del CTG. Dicho secretario, en el marco de sus funciones y preparando el plan de actividades del CAC, coordinará la participación de los comercializadores en el CTG.
Adicionalmente, y para efectos de darle voz y voto a las empresas que desarrollan exclusivamente la actividad de comercialización y que no están verticalmente integradas con las actividades de distribución,
entre ellas deberán elegir el equipo vocero que lo representará como miembro del CTG por un periodo de doce (12) meses. Como opción para este proceso, la CREG podría modificar la Resolución CREG 123 de 2003 para crear un subcomité de comercializadores independientes para que en el marco del mismo, elijxx xx vocero representante en el CTG.
Para efectos de la composición de los miembros del CTG, deberá tenerse en cuenta lo siguiente:
• Una empresa integrada verticalmente en dos actividades o más, no podrá tener más de un (1) representante en el CTG.
• Las empresas integradas verticalmente en más de dos actividades deben manifestar a qué grupo de los miembros desean pertenecer. Esta opción de elección de grupo se podrá ejercer por una sola vez durante la vigencia anual de la operación del CTG que se esté conformando y no será susceptible de modificación alguna durante el periodo.
• Las empresas vinculadas económicamente en los términos de la Ley 142 de 1994, no podrán tener más de un representante en el CTG.
Para efectos del derecho a voto, a cada uno de los miembros se le asignará un voto para la definición de las proposiciones que sean discutidas en el CTG y presentadas a la CREG, teniendo esos votos la misma ponderación en las decisiones del CTG. Por lo que:
• Un voto se asignará al representante del CNO;
• Un voto se asignará al secretario técnico del Comité Asesor de Comercialización (CAC);
• Un voto se asignará a los representantes de las empresas que desarrollan exclusivamente la actividad de comercialización; y
• Un voto se asignará al representante del gestor xxx XXXX.
Así, las proposiciones que fueran discutidas en el ámbito del CTG y que obtuvieran la mayoría de los votos (i.e. 50% más uno), serían consideradas formalmente como las proposiciones oficiales del CTG; las cuales serían sometidas al análisis y aprobación por parte de la CREG en el marco de sus funciones y competencias.
Las posturas cuya votación se encuentren empatadas, de igual forma, deberán ser presentadas conjuntamente a la CREG, solo que estas deberán expresamente indicar que no son proposiciones oficiales adoptadas en el marco del CTG e indicar las razones por las cuales las mismas no pudieron llegar a un consenso. Esta labor le corresponderá al presidente elegido por el CTG para el periodo en cuestión.
En cualquier caso, la falta de pronunciamiento por parte del CTG en ningún caso inhibiría o afectaría las medidas que deba adoptar la CREG en ejercicio de sus funciones regulatorias.
Respecto de su naturaleza, debe aclararse que el CTG sería un órgano consultivo, cuyas decisiones no serían vinculantes para la CREG, pero que podrá dar sus recomendaciones para la implementación y puesta en marcha de la implementación y operación xxx XXXX; pues sería contrario a la ley imprimirle un carácter decisorio a los acuerdos alcanzados al interior de este, en lo que a las funciones de la CREG se refiere.
En tal propósito la CREG, en desarrollo del artículo 290 de la Ley 1955 de 2019 y la Ley 142 de 1994, podrá adoptar el reglamento interno del CTG a través de sus funciones regulatorias, en donde:
• Determine que la conformación del CTG se compone de los miembros arriba indicados. Mientras que la Superintendencia de Servicios Públicos, sería invitada permanentemente en su función de organismo de control y vigilancia.
• Determine que el derecho a asistir a las sesiones y a votar en ellas se le confiere a los miembros del CTG; mientras que otros agentes sin tal condición podrán asistir si son invitados por sugerencia de los miembros del CTG o por decisión del presidente de este.
• Reglamente la forma como los miembros del CTG pueden invitar a terceros a participar dentro de las discusiones del CTG, aclarando que los invitados no tendrán derecho al voto y cuyo derecho a voz se regirá por el orden del día propuesto y aprobado por el presidente del CTG.
El CTG elegirá entre sus miembros un presidente, por un periodo de un doce (12) meses, prorrogable hasta por otros doce (12) meses; quien será el encargado de ser el vocero del CTG frente a la CREG. El CTG conformado por sus miembros tendrá una duración de doce (12) meses, no prorrogable.
En caso de que uno o varios de los miembros del CTG no asistan a las sesiones programadas, o su representante no tenga poderes suficientes para representarlo, se considerará como ausente y no tendrá derecho a voz ni a voto y, en consecuencia, no sería considerado dentro del quórum decisorio para emitir conceptos respecto de la implementación xxx XXXX.
Lo anterior, sin perjuicio de las sanciones que sean procedentes a causa del incumplimiento, por parte de tales miembros, de sus obligaciones asociadas a la implementación xxx XXXX. Dicho incumplimiento sería informado por la CREG a las entidades de vigilancia y control, para los fines pertinentes.
Dentro de las funciones que tendría el CTG y su presidencia, proponemos incluir las siguientes:
Presidente CTG | CTG |
• Convocar a las sesiones del CTG. • Presidir las sesiones del CTG. • Proponer el orden del día a la sesión del CTG. • Dar por terminada la discusión de los temas tratados en las sesiones de CTG. • Proponer al CTG la integración de mesas de trabajo. • Invitar a participar en estas sesiones a cualquier otro agente, para efectos de tratar diferentes asuntos de interés del CTG. Igualmente, podrá acoger las propuestas que en ese sentido hagan los miembros del CTG. • Verificar la calidad de los representantes legales o apoderados de los miembros que asistan a las sesiones del CTG. • Consultar específicamente a los representantes de los miembros del CTG con derecho a voto en el sentido de su decisión respecto a cada materia sometida a votación. • Levantar las actas de cada sesión, distribuirlas por los medios pertinentes a los miembros de CTG, así como llevar el registro y control de las modificaciones y firma de las mismas por parte de los miembros del CTG. • Llevar registro y control de toda la documentación que se genere o recopile por efectos del normal funcionamiento del CTG. • Llevar registro de la información de contacto de los miembros del CTG. • Recibir peticiones para la convocatoria a sesiones por parte de miembros del CTG, o provenientes de iniciativas surgidas en las mesas de trabajo. • Elaborar reportes y documentos técnicos periódicos para el CTG. • Las demás que de acuerdo con su naturaleza le otorgue la CREG. | • Emitir proposiciones o conceptos no vinculantes, respecto de la implementación y operación xxx XXXX, entre otros aspectos, en relación con las especificaciones técnicas y operativas de la base de datos. • Desarrollar discusiones basados en datos y evidencia que soporte sus posiciones para arribar a decisiones simplificadas. • Promover la cooperación entre los agentes del sector. • Facilitar el cumplimiento de las obligaciones a cargo de los stakeholders respecto de la implementación y operación xxx XXXX. • Las demás que de acuerdo con su naturaleza le otorgue la CREG. |
La calidad de miembro del CTG se perdería por:
• Renuncia al CTG. En este caso, el presidente del CTG deberá notificar al miembro que eligió equipo vocero para que, conforme al reglamente del CTG, proceda a nombrar a otro equipo vocero;
• La inasistencia, sin justa causa, a dos (2) reuniones consecutivas. En este caso, perdería sus derechos de voz y voto durante el resto del período para el cual había sido designado o elegido como tal, hasta que se elija un nuevo representante o equipo vocero miembro del CTG;
• Otras que disponga la CREG en ejercicio de su función regulatoria.
El CTG se reunirá por lo menos una vez al mes; y extraordinariamente cuando así lo solicite, por lo menos la tercera parte de sus miembros o la CREG de manera oficiosa. Se aconseja que las reuniones no presenciales sean válidas conforme con las reglas que la CREG disponga al momento de crear el CTG.
Las sesiones del CTG se iniciarán con la verificación de los miembros del comité asistentes a la sesión correspondiente, para lo cual se verificarán las facultades de los representantes. Una vez validados los miembros asistentes, el presidente dará lectura al orden del día y la sesión se desarrollará de acuerdo con los temas incluidos en el mismo.
Respecto de los temas puestos a consideración a los miembros del CTG, los mismos serán de conocimiento de sus miembros al menos dos (2) días hábiles antes de la respectiva sesión, a efectos de ser incluidos en el orden del día.
Cuando la presidencia considere que la discusión de un tema ha sido agotada, se someterá a votación entre los miembros asistentes, de acuerdo con las mayorías previstas y en todo caso teniendo en cuenta el carácter consultivo del CTG, para lo cual previamente se verificarán los asistentes con derecho a voto presentes al momento de la votación, a efectos de considerar la aplicación de la mayoría decisoria.
El presidente preguntará a los miembros sobre la materia sometida a votación, el cual podrá ser a favor, en contra o abstención, y con base en lo anterior, contará los votos e incluirá en el acta el respectivo resultado.
En caso de que el producto de la votación no sea unánime, el presidente deberá incluir los argumentos y la respectiva votación de los miembros del CTG en el acta correspondiente. Los votos de abstención solo se contabilizarán para efectos de registro y no podrán sumarse a ninguna de las opciones.
Las posturas cuya votación se encuentre empatada deberán ser presentadas conjuntamente a la CREG junto con los argumentos y posibles efectos de cada postura.
El cierre del acta de la sesión se dará con la lectura de la misma y la firma de los miembros presentes durante dicha sesión; en caso de falta de firma de alguno, el presidente dejará constancia del hecho, y de ser el caso, se indicarán las razones de la negativa, sin que esto signifique la nulidad del acta o de cualquier votación alcanzada en la sesión, en todo caso teniendo en cuenta el carácter consultivo del CTG.
Un aspecto importante del CTG corresponde a la publicidad que se debe dar respecto de sus deliberaciones y decisiones. Para ello, se propone que todas las actas y documentos de las sesiones de dicho Comité sean publicadas en la página web de la CREG, en el marco del principio de transparencia y publicidad dispuesto en el numeral 9 artículo 3 de la Ley 1437 de 2011 (Código de Procedimiento Administrativo y de lo Contencioso Administrativo), el cual rige todas las actuaciones y procedimientos administrativos.
Finalmente, se recomienda que el CTG sea creado previo al proceso de selección y elección xxx XXXX dado que, como explicamos anteriormente, se sugiere que la adjudicación del respectivo contrato a la propuesta ganadora xxx XXXX sea formalizada en sesión del CTG; lugar en donde se suscribirían los respectivos contratos por parte de los comercializadores con el gestor xxx XXXX seleccionado.
Figura No. 5
Etapas de la creación y operación del CTG
Fuente: Construcción propia
6. CONFLICTOS DE INTERESES Y RELACIONAMIENTO
En este aparte se hará relación al concepto de conflicto de interés y cómo debería aplicarse a la actividad xxx XXXX, además de un mapeo de las diferentes relaciones que tendrá el agente con los diferentes actores del sector. El eje de las relaciones tanto internas como externas de esta nueva figura debe ser la independencia. Como se mencionó en el primer entregable de la consultoría, para que se logren los objetivos en materia de simetría en la entrega de información y de no discriminación en el trato, es fundamental que no existan vínculos societarios, de control directo o indirecto entre la empresa encargada xxx XXXX y los demás agentes xxx xxxxxxx, e incluso, no deben existir vínculos estructurales entre los administradores o socios xxx XXXX y las personas naturales socias o propietarias o de dichos agentes.
6.1. Concepto de conflicto de interés
El análisis que ocupa este numeral, debe partir de lo que sobre este particular dispone el ordenamiento jurídico vigente. Al respecto, es preciso tener en cuenta que el concepto de conflicto de interés desde el punto de vista normativo, se refiere principalmente a la actividad desarrollada por los servidores públicos, al punto de que su consagración normativa fundamental se encuentra plasmada en el artículo 40 del Código Disciplinario Único; allí se plantea la necesidad de que todo servidor público se declare impedido para actuar en un asunto cuando tenga interés particular y directo en su regulación, gestión, control o decisión, o lo tuviere su cónyuge, compañero o compañera permanente, o algunos de sus parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil, o su socio o socios de hecho o de derecho.
Lo anterior evidencia que, independientemente de la dimensión de derecho disciplinario que concibe la figura, pueda concluirse de manera general, que el conflicto de interés pretende que cuando pugna el interés personal, con el que debe perseguir la entidad, o empresa que se representa, quien incurra en esa situación debe separarse de su conocimiento y análisis, es decir, no se desconoce la posibilidad de que el conflicto se presente, sino que se definen medidas para prevenir el impacto negativo de su ocurrencia. También se evidencia que esta visión identifica que el conflicto de interés se predica de personas naturales, quienes son las que tienen bajo su control y dominio la toma de determinada decisión. En este sentido se ha pronunciado el Consejo de Estado11 cuando explicó que “El conflicto de intereses podría definirse como aquella conducta en que incurre un servidor público, contraria a la función pública, en la que, movido por un interés particular prevalente o ausente del interés general, sin declararse impedido, toma una decisión o realiza alguna gestión propia de sus funciones o cargo, en provecho suyo, de un familiar o un tercero y en perjuicio de la función pública. Por ello, la norma exige que, ante la pugna entre los intereses propios de la función y los particulares del funcionario, éste deba declararse impedido, pues
11 Consejo de Estado. Sentencia de fecha veintiocho (28) de noviembre de 2017. Radicación 11001-03-25-000-2005-00068-00
C.P. Xxxxx Xxxxxxxx Xxxxxx.
xs la manera honesta de reconocer la existencia de esa motivación y el deseo de cumplir con las funciones del cargo de manera transparente e imparcial".
En materia empresarial, el concepto de conflicto de interés se regula también desde la perspectiva de las personas naturales que deben tomar determinadas decisiones, en este caso, respecto de los administradores de la sociedad; cuestión introducida en nuestra legislación vigente con la expedición de la Ley 222 de 1995, por la cual se incluyeron modificaciones al Código de Comercio, norma que aunque no determinó qué se entiende por “administrador”, sí enumeró las personas que tienen tal calidad, les impuso determinados deberes de conducta, como por ejemplo obrar con buena fe, con lealtad, con la diligencia de un buen hombre de negocios y en procura del interés de la societario, sin que con ello se pierdan de vista los intereses y derechos de los socios o accionistas. También resulta relevante tener en cuenta lo dispuesto en el numeral 7 del artículo 23 de la Ley 222 de 1995 en el cual se incluyen prohibiciones específicas de competir o adelantar actividades que impliquen competencia directa con la sociedad de la que es administrador, a menos de que la misma lo autorice expresamente.
La Superintendencia de Sociedades, en la Circular Básica Jurídica, sobre los conflictos de interés a nivel empresarial o societario ha dicho que “existe conflicto de interés cuando no es posible la satisfacción simultánea de dos intereses, a saber: el radicado en cabeza del administrador y la sociedad, bien sea porque el interés sea del primero o de un tercero. En este mismo sentido, se considera que existe un conflicto de interés si el administrador cuenta con un interés que pueda nublar su juicio objetivo en el curso de una operación determinada, así como cuando se presenten circunstancias que configuren un verdadero riesgo de que el discernimiento del administrador se vea comprometido.”12
Por su parte, la ley de servicios públicos domiciliarios también contempla reglas específicas, para lo cual en su artículo 44, define las reglas aplicables a los conflictos de intereses, inhabilidades e incompatibilidades, enlistando para el efecto, las siguientes inhabilidades e incompatibilidades:
• Prohibición de participación de las empresas de servicios públicos, sus representantes o miembros de juntas directivas, quienes posean acciones o tengan más del 10% del capital social, en la administración de las comisiones de regulación y de la Superintendencia de Servicios Públicos (salvo excepción legal).
12 Superintendencia de Sociedades. Circular 00-000003 del 22 de julio de 2015 15, conocida como Circular Básica Jurídica, modificada y adicionada por la Circular Externa 100-000005 del 4 de septiembre de 2015. En dicha circular, también se enlistan algunos posibles casos de conflictos de interés así: a) Cuando un pariente del administrador contrata con la sociedad o tiene un interés económico en la operación. b) Cuando el administrador celebra operaciones con personas naturales o jurídicas con las cuales, tenga una relación de dependencia. c) Cuando el administrador demanda a la sociedad, así dicha demanda sea atendida por el representante legal suplente; d) Cuando el administrador celebra conciliaciones laborales a su favor; e) Cuando el administrador como representante legal gira títulos valores de la compañía a su favor; f) Cuando los miembros de la junta directiva aprueban la determinación del ajuste del canon de arrendamiento de bodegas de propiedad de dichos administradores; g) Cuando los miembros de la junta directiva aprueban sus honorarios si dicha facultad no les ha sido expresamente delegada en los estatutos.
• Prohibición de prestación de servicios a las comisiones de regulación y a la Superintendencia de Servicios Públicos, por parte de ninguna persona que haya sido administrador empleado de una empresa de servicios públicos antes de transcurrir un año de terminada su relación con la empresa ni los cónyuges o compañeros permanentes de tales personas, ni sus parientes dentro del tercer grado de consanguinidad, segundo de afinidad o primero civil.
• Prohibición de que los empleados de las comisiones o de la Superintendencia, sus cónyuges o parientes en los mismos grados, respecto de empleos en las empresas.
• Prohibición de adquisición de partes del capital de las entidades oficiales que prestan los servicios a los que se refiere esta Ley y que se ofrezcan al sector privado, poseer por sí o por interpuesta persona más del 1% de las acciones de una empresa de servicios públicos, ni participar en su administración o ser empleados de ella.
Considerando que el régimen de servicios públicos hace referencia a los conflictos de interés en una categoría similar al régimen de inhabilidades e incompatibilidades, resulta necesario tener en cuenta que, según lo explicado ampliamente por la jurisprudencia13 nacional, este tipo de regímenes en la medida en que limitan la libertad y los derechos de las personas, son de origen constitucional y legal, por lo que su análisis, interpretación y aplicación es restrictiva, excluyéndose así la aplicación analógica de dichas causales.
Por lo anteriormente expuesto, el análisis particular relativo a la operación y actividad xx XXXX, solo podrá analizarse bajo el enfoque de “conflicto de interés”, cuando el mismo verse respecto del quehacer de los administradores bajo las reglas del derecho comercial aplicables a todas las sociedades nacionales, incluidas las de servicios públicos domiciliarios, y bajo la noción de inhabilidades e incompatibilidades, cuando además se trate de una empresa de servicios públicos domiciliarios a la que le apliquen, de manera restrictiva, las reglas previstas en el artículo 44 de la Ley 142 de 1994, varias veces mencionada.
En la medida en que el objetivo del análisis impone también identificar los conflictos de interés que surgen en desarrollo de la actividad xxx XXXX considerando la centralización de la información y los diferentes agentes que interactuarán con el gestor, se debe partir de la caracterización de los agentes que tendrían relacionamiento con el GIDI.
En la siguiente figura se identifica entonces el foco de análisis:
13 Consejo de Estado. Sentencia proferida dentro del Expediente N°: 11001-03-15-000-2010-00990-00(PI) Demandante: Xxxxx Xxxxx Xxxxxxxx Xxxxx
Xxgura No. 6 Esquema de relacionamiento
Fuente: Construcción propia
La figura muestra la interacción al interior de la firma que gestione el GIDI, así como el relacionamiento con los diferentes agentes xxx xxxxxxx, según el tipo de servicio que pueden requerir del Gestor.
En lo que respecta a las interrelaciones al interior del gestor, es decir aquellas que se presentan entre los administradores y los socios, se considera procedente dar aplicación al régimen general descrito previamente, por lo que bajo los principios contenidos en las normas vigentes y sin trasgredir el principio de interpretación restrictiva, se podrían imponer reglas de selección de los administradores que impidan que los agentes del sector de energía eléctrica puedan tener incidencia directa en el quehacer diario del Gestor, máxime si se tiene en cuenta la posible integración vertical que se da entre diferentes agentes de la cadena de prestación del servicio de energía eléctrica (líneas verdes).
Esta es una razón más que constata la importancia de la selección del tipo societario y cómo el hecho de acudir al esquema de Empresa de Servicios Públicos Domiciliarios permitiría la aplicación de las reglas previstas en el artículo 44 de la Ley 142 de 1994, sin trasgredir las ya mencionadas condiciones de interpretación restrictiva. Esta aclaración resulta útil pues el regulador, mediante las reglas que imponga en los actos administrativos generales que definan las condiciones de operación xxx XXXX, solo podrá hacer referencia a las inhabilidades e incompatibilidades para ser administrador del gestor, si el mismo se constituye como Empresa de Servicios Públicos; de lo contrario, se estaría afecto a la voluntad plasmada en el contrato de sociedad y a lo dispuesto en la Ley 222 de 1995 que procura la atención y salvaguarda
de los intereses de la sociedad, de los socios, pero no necesariamente xxx xxxxxxx que atiende, ni de los usuarios de los servicios públicos domiciliarios, inherentes a la función social del Estado.
Por su parte, el relacionamiento xxx XXXX con los agentes que participan en el mercado de generación, transmisión e incluso con el CND (Centro Nacional de Despacho), SIC (Sistema de Intercambios Comerciales), LAC (Administrador de Cuentas de cargos por Uso de las Redes), afecta a la información que dichos agentes requieran xxx XXXX, en términos de calidad, disponibilidad, confiabilidad y celeridad. Así, para evitar situaciones de favorecimiento en el acceso a la información o en el tiempo de respuesta, será necesario definir condiciones homogéneas de atención de los requerimientos de información que realicen dichos agentes. Así mismo, para evitar el acceso a información privilegiada, también deberá identificarse claramente qué tipo de información puede suministrarse de manera agregada, qué tipo de información de manera desagregada y qué tipo de información puede resultar reservada, para lo cual podrían tenerse en consideración o como referencia los criterios fijados por la Ley 1712 de 2014 que se inspira en principios de publicidad y transparencia, pero reconoce la existencia de información estratégica a la que no deben tener acceso todos los agentes sin restricción.
Ahora bien, en lo que respecta a la información que se suministre a las autoridades de regulación, política pública, planeación, inspección, control y vigilancia, resulta necesario tener en cuenta que el regulador puede imponer reglas de reporte periódico de información, que se encuentre certificada y cuya fidelidad sea garantizada por el Gestor mismo, o por un tercero. Así mismo, las autoridades administrativas también están en capacidad de realizar requerimientos específicos de información, los cuales deben ser atendidos debidamente por parte xxx XXXX. Estas actividades de reporte podrían incluso prever el acceso en línea por parte de las diferentes autoridades, generando mecanismos que mitiguen la asimetría de la información y contribuyan a la mejora en el ejercicio de las funciones de inspección, vigilancia y control.
Respecto del operador de red, se identifica una clara dependencia xxx XXXX a la gestión de recolección de información bien sea mediante los medidores inteligentes o, de la información que se recaude a través de los mecanismos tradicionales de medición del consumo; esto en la medida en que es el OR quien tiene acceso a la fuente primaria de la información y quien tiene la obligación de entregarla al gestor para que él mismo la procese, analice y ponga a disposición de los demás agentes de la cadena de prestación de los servicios públicos domiciliarios de energía. Así las reglas que definan el relacionamiento entre estos dos agentes, será determinante para el correcto y efectivo funcionamiento del Gestor, pues sin la información de base, el objetivo no podrá lograrse. Por lo anterior se considera importante contemplar reglas o bien de regulación por incentivos, de manera que el cumplimiento de las reglas regulatorias se traduzca en una eventual disminución de costos, o por el contrario de reglas que penalicen aquellas conductas del OR que dificulten, impidan o demoren la entrega de la información.
De otra parte y en la medida en que una de las posibilidades que se está analizando es que el OR sea quien sufrague los costos de operación xxx XXXX, también deberán contemplarse mecanismos que garanticen que dicha financiación no se traduzca en la influencia en la toma de decisiones al interior xxx XXXX, más aún si se tiene en cuenta que es posible que los responsables de la red de distribución (OR), estén integrados verticalmente con los comercializadores, segmento cuya situación de competencia pretende
dinamizarse mediante la generación de mecanismos que le permitan al usuario ejercer su derecho de libre elección del comercializador del servicio de energía eléctrica, a través xxx XXXX. Dicha influencia puede controlarse mediante la determinación de las reglas de inhabilidades e incompatibilidades contenidas en el artículo 44 de la Ley 142 de 1994, antes enunciadas. En este punto es importante tener en cuenta que el regulador solo puede restringir el acceso a la prestación de un servicio, o de la prestación de una facilidad esencial bajo las reglas constitucionales y legales vigentes, que privilegian la libertad de empresa.
En lo que a los comercializadores se refiere, es claro que son estos quienes tienen una relación de dependencia respecto xxx XXXX, pues es con base en la información que el gestor le suministre que podrán efectivamente facturar los servicios prestados. Así, deberán también imponerse normas y protocolos de tiempos máximos de atención y remisión de la información, de manera que los comercializadores puedan cumplir las reglas regulatorias de protección de los derechos de los usuarios en materia de periodos de facturación, tiempos máximos de entrega de facturas, entre otras. Si el relacionamiento entre estos dos agentes xxx xxxxxxx no fluye y permite la efectiva facturación de los servicios, el modelo no podrá funcionar a plenitud y el agente por el cual realizan los esfuerzos regulatorios es decir, el usuario, no encontrará satisfechos sus intereses y necesidades. Así mismo, también se identifica que deben plantearse condiciones de atención de ajustes a la información de facturación ante la presentación de una queja, petición o la identificación de una inconsistencia. En todos estos casos, los tiempos de atención y la fiabilidad de la información que se entrega será la base fundamental del éxito del relacionamiento entre estos dos agentes xxx xxxxxxx.
Por último y en lo que al usuario de los servicios de energía eléctrica se refiere, el GIDI deberá gestionar las solicitudes de información, así como los requerimientos para activar el trámite de cambio del comercializador que lo atiende. En este escenario, el relacionamiento debe contemplar la definición clara de los derechos de los usuarios ante el GIDI, así como las obligaciones y responsabilidades del mismo ante el usuario, para lo cual debe tenerse en cuenta que el GIDI, es responsable de uno de los insumos fundamentales para la correcta prestación de los servicios, pero no es el prestador de la totalidad del servicio de energía eléctrica, lo que puede generar confusión y reprocesos de parte del usuario que desea consultar cierta información o cambiar de comercializador.
Resulta de suma relevancia la simplicidad en el relacionamiento entre el usuario y los prestadores de los servicios públicos domiciliarios. Entre más pasos deban darse, más agentes deban consultarse y más empresas deban atender las solicitudes que se formulen en relación con la prestación de los servicios públicos de energía eléctrica, más compleja puede volverse esa relación. Por esto, la función de pedagogía y los ejercicios de psicología del consumidor pueden otorgar información relevante para el diseño de las condiciones en que deben relacionarse los usuarios y el GIDI y así poder lograr que la búsqueda de la promoción de la competencia maximice el bienestar de los usuarios de los servicios de energía.
7. GESTIÓN DE LA INFORMACIÓN DESDE LA LEY DE TRANSPARENCIA Y EL RÉGIMEN DE PROTECCIÓN DE DATOS PERSONALES
La función principal xxx XXXX será la gestión de la información recolectada a través de los medidores inteligentes por parte de los Operadores de Red. A lo largo de este escrito se han abordado los requerimientos necesarios para el manejo de dicha información desde el punto de vista tecnológico y de protocolos informáticos. No obstante, uno de los retos más importantes en la constitución y puesta en funcionamiento del gestor independiente, será el de abordar los lineamientos normativos relacionados con la información en sí misma.
Durante el proceso regulatorio y como ya se describió en el Entregable 1 de la presente consultoría, la preocupación más reiterativa frente a este aspecto tiene que ver con el debido cumplimiento de las disposiciones legales relacionadas con el libre acceso a la información, la protección de aquella que puede ser considerada confidencial o reservada y, por supuesto, la protección de la información que constituye datos personales en los términos de la Ley 1581 de 2012.
En el presente capítulo, se abordará el equilibrio que debe encontrarse entre los posibles derechos contrapuestos, así como las herramientas con las que debe contar el GIDI. Para tal efecto, se considera necesario iniciar con la aproximación al concepto y clasificación de datos desde 3 ópticas distintas pero que deben ser tenidas en cuenta en su conjunto por parte xxx XXXX. Por una parte, se hará referencia a los datos desde la Ley de Transparencia y Acceso a la Información Pública (Ley 1712 de 2014), para luego analizar lo pertinente desde el punto de vista del régimen de protección de datos personales (Ley 1581 de 2012). Por último, se describirán los datos que serían recolectados y gestionados en el sistema AMI, entre los que se incluyen aquellos considerados información reservada o confidencial de las empresas. Con este insumo se propondrá una clasificación de los datos y se presentarán unas recomendaciones para el ejercicio regulatorio de diseño del gestor independiente de datos.
7.1. Aproximación de la Ley de transparencia y acceso a la información
La Ley 1712 de 2014 x Xxx de Transparencia, es un desarrollo del derecho fundamental que tienen “todas las personas… a acceder a los documentos públicos salvo los casos que establezca la ley” (Art. 74 C.N.). Este derecho de acceso a la información pública se encuentra estrechamente vinculado con el derecho de petición contemplado en el art. 23 de la Constitución. Esta norma amplía su ámbito de aplicación a las personas naturales y jurídicas, públicas o privadas, que presten servicios públicos respecto de la información directamente relacionada con la prestación del servicio público (i.e. sujetos obligados14).
Al ser el GIDI un sujeto obligado en el marco de dicha norma, se observa que la información referente al mismo, y en especial los actos derivados de la implementación y gestión xxx XXXX, tienen carácter público,
14 Corte Constitucional, sentencia X-000 xxx 0 xx xxxx xx 0000. M.P. Xxxxx Xxxxxxxx Xxxxx Xxxxxx.
salvo que se trate de información que por disposición legal tenga el carácter de confidencial, reservada o corresponda a datos personales.
Respecto de la información pública, debe tenerse en cuenta que uno de los principios orientadores xxx XXXX corresponde al de transparencia, el cual dispondría que la información referente a los actos derivados de la implementación y gestión del agente deberían tener carácter público, salvo que se trate de información que por disposición legal tenga el carácter de confidencial o reservada, y respetando el marco legal aplicable en materia de protección de los datos personales. Al respecto, el artículo 6 de la Ley 1712 de 2014 define y distingue entre tres tipos de información pública:
• Información pública: como toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal.
• Información pública clasificada: como aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados.
• Información pública reservada: como aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014.
Bajo tal ámbito de aplicación, se observa que la ley de transparencia se sustenta bajo un principio de máxima publicidad, en donde toda información en posesión, bajo control o custodia de un sujeto obligado (i.e. personas naturales y jurídicas que presten servicios públicos) es de naturaleza pública.
Debe aclararse que el objeto sobre el cual recae la posibilidad de acceso a información en posesión o control de un sujeto obligado no sólo es la información misma, sino también su existencia, lo cual resulta particularmente relevante frente a restricciones a la publicidad o acceso de esta. Para garantizar dicho principio, la ley dispone de otros principios accesorios, dentro de los que se encuentran el principio de divulgación proactiva en el uso de la información. Este principio, según el artículo 3 de la referida norma, dispone lo siguiente:
“El derecho de acceso a la información no radica únicamente en la obligación de dar respuesta a las peticiones de la sociedad, sino también en el deber de los sujetos obligados de promover y generar una cultura de transparencia, lo que conlleva la obligación de publicar y divulgar documentos y archivos que plasman la actividad estatal y de interés público, de
forma rutinaria y proactiva, actualizada, accesible y comprensible, atendiendo a límites razonables xxx xxxxxxx humano y recursos físicos y financieros”.
Al respecto, la Corte Constitucional explicó que “esta disposición genera las obligaciones de divulgar proactivamente la información pública y responder de buena fe y eficientemente las peticiones de acceso a dicha información, con el deber correlativo de producir, recolectar y almacenar en archivos electrónicos la información pública. El anterior concepto constituye una expresión armónica de los derechos de petición y de los derechos políticos, consagrados en los artículos 23 y 45 de la Carta.”
En suma, y frente a la titularidad de dicha información, se tiene que como regla general la información referente a la implementación y operación xxx XXXX y que se relacione con la prestación del servicio público (en especial los actos derivados de la implementación y gestión de mismo) son de naturaleza pública; pudiendo ser los mismos accedidos por terceras personas o utilizados por el GIDI para el desarrollo de sus funciones y responsabilidades, o incluso para su monetización a través de actividades intelectuales que desarrolle con los mismos. Incluso, conforme con el artículo 11 de la Ley de transparencia, el GIDI tendrá el deber de publicar datos abiertos respecto de tal tipo de información, para lo cual deberán contemplar las excepciones establecidas en el título 3 de la Ley 1712 de 2014 (a la cual nos referiremos a continuación).
Ahora bien, respecto a las excepciones al acceso a información pública, recordemos que la ley dispone de dos categorías en las que enmarcan tales excepciones, a saber: información pública clasificada e información pública reservada.
7.1.2. Información pública clasificada
Respecto de la primera, la cual se encuentra dispuesta en el artículo 18 de la referida ley, se observa que la misma se exceptúa por daños de derecho a personas naturales o jurídicas. Dentro de esta categoría encontramos que la excepción al acceso a la misma se relaciona con los siguientes derechos:
• El derecho de toda persona a la intimidad;
• El derecho de toda persona a la vida, la salud o la seguridad; y
• Los secretos comerciales, industriales y profesionales.
Frente a tal excepción, la Superintendencia de Industria y Comercio solicitó en su momento a la Corte Constitucional que, mediante un fallo modulado, se incluyera como excepción al acceso a la información pública, por gozar de reserva legal, toda la información contenida en la Ley 1581 de 2011.
Frente a lo cual la Corte consideró que no era necesario tal condicionamiento, “como quiera que la Ley 1581 de 2011, al ser una ley estatutaria que regula el derecho de hábeas data y fijar reglas que hacen parte del bloque de constitucionalidad, para proteger ciertos datos considerados como “datos sensibles”, por afectar el derecho a la intimidad y otros derechos fundamentales que pueden ser reservados, cumple las exigencias constitucionales para el establecimiento de reservas al derecho de acceso a la información pública, y que resultan compatibles con las reglas específicas que fijará este proyecto xx xxx estatutaria una vez sea sancionado.”15
En tal orden de ideas, la Corte consideró que uno de los límites admisibles al derecho de acceso a la información pública proviene de la necesidad de protección de otros derechos fundamentales que puedan ser afectados por el acceso y difusión de tal información. Tal es el caso de los datos personales que sólo pertenecen a su titular y cuya divulgación o explotación por parte xxx XXXX podría afectar un derecho legítimo de su titular que abarque el derecho a la intimidad o de los secretos comerciales, industriales y profesionales; o cuyo acceso puedo afectar el ejercicio de las libertades económicas.
Es así como mediante la referida categoría se establece la posibilidad de rechazar o denegar el acceso a información pública clasificada, cuando su acceso y posible difusión pueda causar un daño a los derechos a la intimidad personal, la vida, los datos personales, la salud o la seguridad de las personas, o por tratarse de secretos comerciales, industriales o profesionales. Esta disposición establece también que la duración de estas restricciones es ilimitada y que no podrá aplicarse cuando la persona o titular haya consentido en la revelación de dicha información.
De tal forma, este tipo de información no podrá ser utilizada o explotada por el GIDI sin previa autorización de su titular. Incluso en los casos en que medie tal autorización por parte de su titular, él mismo tiene la facultad de restringir la habilidad xxx XXXX para utilizarla o explotarla. Por lo que, en últimas, el acceso a tal tipo de información puede ser restringido por sus titulares para que el GIDI solamente la use para el desarrollo de su gestión, la cual se entiende de naturaleza pública.
Ahora bien, en lo que se refiere a la información de las sociedades, el principio general aplicable a las empresas de servicios públicos domiciliaros es que su información es pública y de libre acceso, tal como se plasmó en el aparte dedicado a la Ley de Transparencia. No obstante, además de las excepciones plasmadas en el artículo 18 de dicha norma, existe información y documentos que hacen parte del ámbito de la gestión privada de las que es considerada reservada y cuyo acceso también debe ser restringido. El artículo 9.4 de la Ley 142 de 1994, frente a los derechos de los usuarios señala:
“9.4. Solicitar y obtener información completa, precisa y oportuna, sobre todas las actividades y operaciones directas o indirectas que se realicen para la prestación de los servicios públicos, siempre y cuando no se trate de información calificada como secreta o
15 Corte Constitucional, sentencia X-000 xxx 0 xx xxxx xx 0000. M.P. Xxxxx Xxxxxxxx Xxxxx Xxxxxx.
reservada por la ley y se cumplan los requisitos y condiciones que señale la Superintendencia de Servicios Públicos Domiciliarios.”
De acuerdo con la norma, existe información de las empresas de servicios públicos que no puede ser divulgada debido a su naturaleza e incluso la Superintendencia de Servicios Públicos Domiciliarios ha señalado que esta protección debe ser extendida a otro tipo de información estratégica o confidencial16. Debe tenerse cuenta que el artículo 32 de la Ley 142 de 1994, establece que salvo la Constitución o la ley, los actos de las empresas de servicios públicos requeridos para la administración del ejercicio de los derechos de todas las personas que sean socias de ellas se regirán por las reglas del derecho privado.
En otras palabras, aunque el citado numeral 9.4 del artículo 9 de la Ley 142 de 1994, restringe el acceso a la información secreta o reservada, existe otro tipo de información que es estratégica o confidencial la cual también debe ser protegida, como pueden ser, por ejemplo, algunos apartes de los contratos entre agentes, distintos de aquellos de condiciones uniformes. Será función xxx XXXX, en caso de que este tipo de datos sean entregados para el ejercicio de sus funciones, mantener las medidas de seguridad para que no puedan ser accedidos de manera no autorizada. Esto, además, cobra importancia en materia de protección de la libre competencia, ya que bajo ningún argumento este tipo de información debe ser compartida entre los agentes competidores del sector a través del gestor de datos.
7.1.3. Información pública reservada
Por su parte, y respecto a la categoría de información pública reservada, el artículo 19 de la referida ley exceptúa el acceso a la misma por daño a los intereses públicos. Dentro de esos intereses protegidos el artículo incluye:
• La defensa y seguridad nacional
• La seguridad pública
• Las relaciones internacionales
• La prevención, investigación y persecución de los delitos y las faltas disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso.
• El debido proceso y la igualdad de las partes en los procesos judiciales
• La administración efectiva de la justicia
• Los derechos de la infancia y la adolescencia
• La estabilidad macroeconómica y financiera del país
• La salud pública
• Los documentos que contengan las opiniones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos.
16 Concepto Unificado 05 de 2009. Emitido por la Oficina Asesora Jurídica de la Superintendencia de Servicios Públicos Domiciliarios.
El sujeto obligado que niegue el acceso a un documento con información pública, alegando su carácter reservado deberá: (i) hacerlo por escrito y demostrar que (ii) existe un riesgo presente, probable y específico de dañar el interés protegido, y (iii) que el daño que puede producirse es significativo.
Por lo que, frente a este tipo de información, el GIDI también tendrá restricciones para utilizarla y explotarla, pudiendo solamente manejarla para las actividades directamente relacionadas con la prestación de sus servicios.
7.2. Aproximación del régimen de protección de datos personales
El literal c) del artículo 3 de la Ley 1581 de 2012 define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”. Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011, la cual analizó la constitucionalidad de la posteriormente denominada Ley 1581 de 2012, señaló lo siguiente frente al concepto de dato personal:
“[E]n efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales17 - son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”18
(…)
Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles19
De acuerdo con lo anterior, el dato personal debe entenderse como cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables y, por lo tanto, cumple con las siguientes características:
• Estar referido a aspectos exclusivos y propios de una persona natural.
17 Ver sentencia T-729 de 2002, M.P. Xxxxxxx Xxxxxxxxxxx Xxxxxx.
18 Cfr. Xxxxxxxxx X-000 xx 0000, X.X. Xxxx Xxxxxxxx Xxxxx.
19 Ver sentencias T-729 de 2002, M.P. Xxxxxxx Xxxxxxxxxxx Xxxxxx; X-000 xx 0000, X.X. Xxxxx Xxxxxxx Xxxxxxx; y C-1011 de 2008, M.P. Xxxxx Xxxxxxx Xxxxxxx, y artículo 3 de la Ley 1266.
• Permite identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos.
• Su propiedad reside exclusivamente en el titular de este, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita.
• Su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.
Vale la pena resaltar que, si un dato de manera aislada no logra identificar a una persona, esto no implica que no se pueda llegar a su individualización a partir del análisis de dicha pieza de información en conjunto con otros datos. Por esta razón, el literal c) del artículo 3 de la Ley 1581 de 2012 señaló que el dato personal corresponde a una información que puede asociarse a “personas naturales determinadas o determinables”. Por esta razón, no es un requisito indispensable que una pieza de información determine o individualice inequívocamente a su titular para poder concluir que el dato es personal, pues, un ejercicio de comparación de un dato, inicialmente considerado impersonal, con otros que se encuentren contenidos en registros o en campos diferentes, puede identificarse plenamente al titular de la información. Es precisamente esta distinción lo que hace que un dato permita determinar (o individualizar, si se quiere) a una persona.
Ahora bien, de acuerdo con la Ley 1266 de 2008 (Régimen especial de protección de datos financieros) los datos personales se clasifican en los siguientes grupos, dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles.
“f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas;
g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley.
h) Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para
el titular.”
En la misma línea, la Ley 1581 de 2012 en su artículo 5, además de definir el concepto de dato personal como ya se anotó, también realizó una definición sobre los datos considerados sensibles, los cuales deben ser entendidos como “(…) aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías
de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”
Frente a la definición de datos públicos, el Decreto 1377 de 2013 (mediante el cual se reglamentó la Ley 1581 de 2012) complementó lo plasmado en la mencionada Ley 1266 de 2008 y estableció que deben ser considerados datos públicos, entre otros, el estado civil de las personas así como su profesión u oficio. Asimismo, señaló que por su naturaleza pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias debidamente ejecutoriadas que no estén sometidas a reserva20.
Finalmente, si bien la ley no definió de manera específica el concepto de datos de niños, niñas y adolescentes, sí estableció que su tratamiento está proscrito a menos de que se trate de datos públicos.
Por otra parte, a pesar de que la ley no contiene una definición específica respecto a los conceptos de “big data” y datos anonimizados, se considera necesario hacer una mención a los mismos, teniendo en cuenta que ambos deberán ser abordados por el gestor independiente de datos e información en el ejercicio normal de sus funciones.
Big data:
El Grupo de Trabajo del Artículo 29 (GT29)21 define “Big Data” como “(…) conjuntos de datos cuyo tamaño está más allá de las capacidades con las que los software tradicionales cuentan para su recolección, almacenamiento y manejo y análisis”22. Se trata de datos de diferente índole, que son capturados, recopilados, almacenados y organizados previamente o durante un procedimiento programado. La mayoría de los datos objeto de análisis en el procesamiento masivo de datos no versa sobre datos personales; sin embargo, sí existen datos o información que involucran el manejo de datos personales y están relacionados o podrían afectar derechos fundamentales (como el de la intimidad) los cuales ya han sido materia de regulación a través de las leyes estatutarias 1266 de 2008 y 1581 de 2012.
Datos anonimizados:
El Grupo de Trabajo del Artículo 29, también hizo una aproximación al concepto de dato anonimizado, en los siguientes términos:
“A los efectos de la Directiva, los «datos anónimos» pueden definirse como cualquier información relativa a una persona física que no permita su identificación por el responsable
20 Artículo 3 del Decreto 1377 de 2013.
21 El Grupo de Trabajo del Artículo 29 (GT 29), creado por la Directiva 95/46/CE, fue un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea, cuya vigencia culminó el 25 xx xxxx de 2018, fecha en la cual entró en vigencia el Reglamento General de Protección de Datos (RGPD).
22 Opinión 03 del 2013 del Grupo de Trabajo del artículo 29.
del tratamiento de los datos o por cualquier otra persona, teniendo en cuenta el conjunto de medios que puedan razonablemente ser utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona. «Datos anonimizados» serán, por lo tanto, los datos anónimos que con anterioridad se referían a una persona identificable, cuya identificación ya no es posible. (…)”23
Sobre este concepto es importante hace una precisión. Como ya se ha afirmado, el parámetro para determinar que un dato es personal se basa en que a partir del mismo se pueda establecer razonablemente la identidad de una persona. Por lo tanto, una información “anonimizada” es susceptible de considerarse un dato personal si a través de esta se pueda vincular o asociar a una o varias personas naturales determinadas o determinables. Al respecto, la Superintendencia de Industria y Comercio ha sido clara en establecer que: “Los datos personales que hayan sido objeto de procesos de anonimización, cifrado, presentados con un seudónimo o que por cualquier medio, tecnología o proceso se desvinculan o desasocian de una persona natural, pero que puedan utilizarse para volver a identificar a esa persona, siguen siendo datos personales.” 24
Teniendo en cuenta lo anterior, los datos personales anonimizados utilizando cualquier medio, tecnología o proceso respecto de una persona identificada o identificable, solo dejarán de ser datos personales cuando el proceso de anonimización, sea irreversible.
7.3. Aproximación de acuerdo con su función dentro del AMI
En este punto, vale la pena traer x xxxxxxxx el documento “SERVICIOS DE CONSULTORÍA PARA ELABORACIÓN DE PROPUESTA DE ENFOQUE Y CRITERIOS PARA DEFINIR LA RESPONSABILIDAD EN LA IMPLEMENTACIÓN DE LA MEDICIÓN AVANZADA EN ENERGÍA ELÉCTRICA” aportado por ASOCODIS en
donde se hace una referenciación, en opinión de esta consultoría acertada, de los datos que surgen de la medición avanzada clasificándolos en las siguientes 4 categorías: (i) datos de red; (ii) datos de facturación;
(iii) datos identificación MA; y (iv) datos de funcionamiento25. Además de estos, también se plantea la existencia de “otros datos” entendidos como datos complementarios que soportan el funcionamiento del sistema.
23 Dictamen 4 del 2007 del Grupo de Trabajo del artículo 29.
24 Concepto No. 18- 233185-2. Emitido por la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio.
25 De acuerdo con el mencionado documento, las siguientes son las características de cada uno de los tipos de datos enunciados: Datos de Red: subconjunto de datos MA que están asociados con la operación de la red y alimentan los sistemas TO. ▪ Datos de facturación: Subconjunto de datos MA que se recolectan con una periodicidad determinada y que soportan todos los procesos de facturación en modalidad de pospago y prepago. ▪ Datos propios MA: Subconjunto de datos MA asociados a un único MA del sistema. ▪ Datos de funcionamiento: Subconjunto de datos MA que alertan sobre condiciones xx xxxxx o de intervención indebida del medidor o las comunicaciones que impiden el funcionamiento normal de la infraestructura.
Esta aproximación es retomada en el documento “Consultoría para estudio y elaboración de propuesta de enfoque y criterios para definir la política de tratamiento de datos para la masificación de la medición avanzada”, aportado igualmente por ASOCODIS, en el cual se realiza una calificación a los tipos de datos planteados, desde el punto de vista del régimen de protección de datos personales. La conclusión a la que se llega es que los datos de red, los datos de identificación MA y los datos de funcionamiento no pueden ser considerados como un dato personal, afirmación con la cual concuerda el equipo de la presente consultoría.
En el mismo sentido, en lo que respecta a los datos de facturación y a la necesidad de solicitar una autorización para su recolección, es claro, como lo plantea igualmente el documento presentado por ASOCODIS, que aplica la doctrina de la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, según la cual, para la prestación del servicio público de energía, no es necesario recoger las autorizaciones por parte de los titulares por encontrarse esta situación exceptuada en la Ley 1581 de 2012. No obstante, tal y como lo plantea la autoridad administrativa, en virtud del principio de finalidad, dicha excepción solo se refiere a la prestación misma del servicio público y no a actividades, tratamiento o usos adicionales, para lo cual, es requerida la mencionada autorización.
Se adiciona en el citado escrito una categoría de datos denominada “Datos Diferenciados”, entendidos como aquellos que: “(…) ligados a la información del Titular, y después de un procesamiento deviene en Información Personal.”, como pueden ser los datos relacionados con los hábitos de consumo. En este caso, si bien se considera que se trata de una aproximación correcta, creemos que no es necesario adicionar una nueva categoría dentro de la clasificación. Los datos a partir de los cuales es posible hacer determinable a una persona, son datos personales en sí mismos, tal como lo plantea la Superintendencia de Industria y Comercio, al referirse al IMEI26 en el mercado de las comunicaciones:
“En efecto, el hecho de que un dato examinado aisladamente no logre identificar a priori una persona, no implica, necesariamente, que no se pueda llegar a la individualización de la misma a partir del análisis de dicha pieza de información en conjunto con otros datos; por ello, el literal c) del artículo 3 de la Ley 1581 de 2012 señaló que el dato personal corresponde a una información que puede asociarse a “personas naturales determinadas o determinables”.
Entonces, no es un requisito sine qua non que una pieza de información determine o individualice inequívocamente a su titular para poder concluir que el dato es personal, ya que a través de un ejercicio de comparación de un dato –en principio, impersonal- con otros que se encuentren contenidos en registros o en campos diferentes, puede identificarse plenamente al titular de la información. Es precisamente esta distinción lo que hace que un dato permita determinar (o individualizar, si se quiere) a una persona.”27
26 Número de identificación del equipo móvil terminal.
27 Xxxxxxxx Xx. 000000 de 2016. Emitido por la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio.
Además de lo anterior, no puede dejarse a un lado que la excepción a la que se ha hecho referencia sobre la prestación del servicio de energía es expresa y no cobija la reutilización de los datos para otro tipo de actividades, entre las que se encuentran las que puede gestionar el GIDI. Por esta razón, tanto este tipo de datos (dirección, medición de consumo y facturación, entre otros) así como aquellos que permitan de una u otra forma determinar al titular (hábitos de consumo, patrones de comportamiento por ejemplo) requieren la respectiva autorización expresa e inequívoca para su recolección y tratamiento.
7.4. Respecto de la clasificación de los datos administrados por el GIDI y su titularidad
Habiendo tomado como base lo descrito en este capítulo, en la siguiente gráfica se muestra la clasificación de datos e información acorde con la norma de transparencia, el régimen de protección de datos personales y aquellos que se considera serán gestionados por el GIDI:
Figura No. 7 Clasificación de datos e información
Fuente: Construcción propia
Es claro que el GIDI administrará y gestionará una base de datos en la cual se almacenará información que no guarda la misma naturaleza. Alguna será considerada como información de acceso pública, otra corresponderá a datos personales, mientras que también albergará información restringida por disposición constitucional o legal. Frente a la titularidad de dicha información, se tiene como regla general que aquella referente a la implementación y operación xxx XXXX y que se relacione con la prestación del servicio público (en especial los actos derivados de la implementación y gestión de mismo) es de naturaleza pública; pudiendo ser accedida por terceras personas y utilizada por el mismo gestor para el
desarrollo de sus funciones y responsabilidades, o incluso para su monetización a través de actividades intelectuales que desarrolle.
Al respecto, conforme al artículo 11 de la Ley de transparencia, el GIDI tendrá el deber de publicar datos abiertos28 acerca de tal tipo de información, para lo cual deberán contemplar las excepciones establecidas en el Título III de la Ley 1712 de 2014, sobre las cuales ya se ha hecho referencia en el presente documento.
Titularidad respecto a los datos de empresa
Debe tenerse en cuenta que la carga de la prueba para exceptuar el acceso a información pública bien sea porque esta es clasificada o reservada, le corresponde al sujeto obligado quien debe “aportar las razones y pruebas que fundamenten y evidencien que la información solicitada debe permanecer reservada o confidencial.” 29
En tal evento, el sujeto obligado deberá expresar las razones que fundamentan la negativa, señalando si se trata de una de las excepciones autorizadas en los artículos 18 y 19 de la ley, así como las pruebas que evidencian que la información solicitada debe permanecer en reserva dado que el daño que puede causar permitir su acceso es real, probable y específico; y que tal daño excede el interés público que representa el acceso a la información. Al punto, la Corte Constitucional explicó lo siguiente:
“Dado que la regla general consiste en permitir el acceso ciudadano a todos los documentos públicos, constituye un deber constitucional que quien deniega su acceso alegando la existencia de una reserva, demuestre que su decisión no es acto arbitrario, sino el resultado de una decisión administrativa legítima, responsable, juiciosa y respetuosa de los derechos ciudadanos y acorde con los deberes que tienen los servidores públicos.
Estas exigencias aseguran la protección máxima del derecho a acceder a documentos públicos y evitan la actuación discrecional y arbitraria del Estado, que resulta acorde con los parámetros constitucionales que protegen los derechos de petición, información, acceso a la información, la libertad de prensa, la libertad de expresión y el ejercicio de los derechos políticos, y en esa medida es compatible con la Carta.”30
La referida carga de la prueba se compagina con lo dispuesto en el artículo 20 de la Ley de transparencia, el cual exige que los sujetos obligados deban “mantener un índice actualizado de los actos, documentos e
28 La ley 1712 de 2014 en su literal (j) artículo 5 define datos abiertos de la siguiente manera: “Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos”.
29 Artículo 28 de la Ley 1712 de 2014.
30 Corte Constitucional, sentencia X-000 xxx 0 xx xxxx xx 0000. M.P. Xxxxx Xxxxxxxx Xxxxx Xxxxxx.
informaciones calificados como clasificados o reservados, de conformidad a esta ley. El índice incluirá sus denominaciones, la motivación y la individualización del acto en que conste tal calificación.”
En ese orden de ideas, y con fines de ejemplificar, planteamos el siguiente escenario para evidenciar la forma como la referida carga de la prueba funcionaria:
Para el desarrollo de sus funciones, el GIDI requiere acceso a información de un operador de red frente a la cual aquél sostiene que es información confidencial. El operador de red, como parte del AMI, otorgará el acceso al GIDI aportando razones y pruebas que fundamenten y evidencien que la información solicitada debe permanecer reservada o confidencial.
Para tal propósito, el operador de red deberá presentarle al GIDI las pruebas que evidencian que la información solicitada debe permanecer en reserva dado que el daño que puede causar permitir su acceso es real, probable y específico, y que tal daño excede el interés público que representa el acceso a la información.
Una vez demostrada tal calidad de información, el GIDI no podrá utilizar la misma para actividades diferentes a las directamente relacionadas con la prestación de su servicio, por lo que deberá estar limitada en su acceso frente a terceras personas que requieran tal información en el marco del artículo 25 de la Ley 1712 de 2014.
En el caso en que el acceso sea solicitado por una autoridad pública como la CREG, el GIDI lo permitiría extendiéndole las razones y evidencia proporcionada por su titular para que el acceso sea restringido a terceras personas. Por lo que el uso de tal información solamente podrá ser utilizada por la autoridad para el desarrollo de sus funciones, restringiendo su acceso público conforme las mismas razones expuestas inicialmente por el operador de red.
Titularidad respecto a los datos personales recolectados
En el esquema que plantea la presente consultoría y que se describirá de manera más detallada en el siguiente capítulo, los Responsables de los datos en los términos de la Ley 1581 de 2012 serán los comercializadores; mientras que los OR fungirán como Encargados para la recolección y transmisión, y el GIDI igualmente como Encargado para su gestión y procesamiento.
Así, una vez cumplida la prestación contractual entre los comercializadores y el gestor xxx XXXX, los datos de carácter personal deberán ser devueltos a los comercializadores, respecto de aquellos usuarios para los que cada uno obtuvo el consentimiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
El gestor xxx XXXX, no obstante, dependerá del alcance de la autorización que obtengan los comercializadores para poder utilizar y explotar tales datos personales, en donde cualquier acto de monopolización de estos deberá ser correspondido con el alcance de la autorización otorgada por sus
titulares para tales propósitos. Adicionalmente, y si terceros solicitan al gestor acceder a tal información personal, este se encontrará atado no solamente a la autorización que sus titulares otorguen para el uso, tratamiento y explotación, sino también a las restricciones que plantea el artículo 18 de la Ley 1712 de 2014 arriba explicados. En consecuencia, será decisión del titular de los datos personales -a través de su autorización- permitir, entre otras cosas:
• La frecuencia con la que su medidor inteligente envía datos a su proveedor de energía (mensualmente, diario o cada media hora).
• Si autoriza compartir datos personales con otras organizaciones, como sitios web de comparación de precios.
• Si el operador de red y el GIDI pueden usar las lecturas de su medidor para fines de ventas y mercadeo.
En suma, la titularidad de la información relacionada con el GIDI dependerá de la naturaleza de esta, lo cual asimismo, limitará la posibilidad xxx XXXX para utilizar y explotar la misma para el desarrollo de sus funciones.
El otorgamiento del consentimiento informado frente a la información personal no puede constituirse bajo ninguna razón como un condicionamiento para la prestación del servicio público de energía, ya que no solo se estarían infringiendo las normas específicas del sector, sino el principio de libertad del régimen de protección de datos personales al que se hará referencia más adelante.
Titularidad frente a la información pública que directamente se relaciona con la prestación del servicio público
Como regla general, el GIDI podrá utilizarla y explotarla sin la existencia de autorización sobre la misma y podrá otorgar acceso público sin generar restricciones de titularidad sobre tal tipo de información pública. Lo anterior, conforme al principio de pro-publicidad dispuesto en la citada ley. Inclusive, será su deber el de publicar datos abiertos relacionada con la misma, para lo cual deberán contemplar las excepciones establecidas en el título 3 de la Ley 1712 de 2014. Debe recordarse que los datos personales de facturación requieren de una autorización por parte de los usuarios para poder ser tratados y no podrán considerarse datos públicos, a menos de que hayan sido anonimizados sin posibilidad de reversión.
Titularidad frente a los datos anonimizados
Los datos anonimizados que no tengan posibilidad de reversión para identificar de manera directa o indirecta a una persona natural deberán ser tratados como datos públicos cuyo acceso es general para los agentes xxx xxxxxxx, incluyendo a los mismos usuarios. Así, por ejemplo, si el GIDI desarrolla una base de datos de perfilamiento de costumbres o usos para una zona o región, al no incluir datos particulares de dicho perfilamiento o geolocalización, dicha base deberá estar disponible sin restricción alguna.
Titularidad de los productos diseñados por el GIDI con base en la información pública
El GIDI dentro de sus actividades y planes de desarrollo podrá diseñar productos que tengan como fuente la información pública (datos personales o no) con el fin de obtener ingresos para su sostenimiento. En este caso, es importante tener en cuenta dos aspectos. Por una parte, la información sobre la cual se diseñen estos productos, debe estar disponible con las mismas características y en los mismos tiempos para cualquier tercero que quiera ofrecer productos similares; Y por la otra, es recomendable que los sistemas y desarrollos diseñados por el GIDI, así como los desarrollos intelectuales relacionados, sean protegidos de manera contractual con el fin de que si existe un cambio en la empresa encargada de la gestión, dicha información y derechos sean transferidos a la nueva sociedad encargada de la función.
Titularidad de los productos diseñados por el GIDI con base en datos personales
La titularidad sobre la información personal otorgada por un usuario siempre estará en cabeza del mismo, quien puede revocar en cualquier momento el consentimiento informado otorgado. Si el GIDI, como Encargado de los datos personales, diseña productos teniendo como base esta información, deberá hacerlo en el marco de las autorizaciones otorgadas por los Titulares como ya se explicó. Asimismo, la posibilidad de realizar este tipo de actividades se extingue en el momento en que se revoca el respectivo encargo por parte de los Responsables (comercializadores). Es decir, si existe un cambio en la empresa encargada de la gestión, dicha sociedad no podrá utilizar ni reutilizar los datos personales frente a los que era encargada.
Ahora bien, los datos personales administrados por el GIDI deben estar disponibles para los OR y comercializadores de manera simétrica con los parámetros, detalle, tiempos y alcance que defina la CREG.
7.5. Frente al esquema de protección de los datos personales
Como se ha venido planteando a lo largo de este capítulo, parte de la información que gestionará el GIDI será sobre datos personales en los términos de la Ley 1581 de 2012. Por esta razón, se considera relevante recorrer las principales figuras jurídicas contenidas en la norma a la luz de las actividades que deberá desarrollar el gestor.
7.5.1. Responsable y Encargado del tratamiento de datos personales
Probablemente el aspecto más importante es el de la definición de las responsabilidades de los agentes que harán parte del sistema, de acuerdo con los roles que plantea la ley frente a la forma como son recolectados, tratados y, en general, utilizados los datos personales, esto es, los conceptos de Responsable y Encargado.
El literal e) del artículo 3 de la Ley 1581 de 2012, define al Responsable del tratamiento de la siguiente manera:
“e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.”
Esta norma fue declarada exequible mediante Sentencia C-748 de 2011 en el siguiente entendido:
“(…) el concepto ‘decidir sobre el tratamiento’ empleado por el literal e) parece coincidir con
la posibilidad de definir –jurídica y materialmente- los fines y medios del tratamiento”31.
Esto significa que es Responsable del tratamiento la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, determine, de hecho o de derecho, los fines del tratamiento y los medios para alcanzarlos. Por otra parte, el literal d) del artículo 3 de la Ley 1581 de 2012 define al Encargado del tratamiento de la siguiente manera:
“d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.”
Igualmente, esta norma fue declarada exequible mediante Sentencia C-748 de 2011 bajo el siguiente razonamiento:
“(…) el criterio de delegación coincide con el término ‘por cuenta de’ utilizado por el literal e), lo que da entender una relación de subordinación del encargado al responsable, sin que ello implique que se exima de su responsabilidad frente al titular del dato”32.
Así mismo precisó dicha Corporación:
“(…) el encargado del tratamiento no puede ser el mismo responsable, pues se requiere que existan dos personas identificables e independientes, natural y jurídicamente, entre los cuales una – el responsable- le señala a la otra – el encargado- como quiere el procesamiento de unos determinados datos”33.
Esto significa que es Encargado del tratamiento la persona natural o jurídica, pública o privada, que por mandato conferido por el Responsable del tratamiento, efectúe una parte o todas las actividades del procesamiento de los datos; persona que debe ser independiente del Responsable del tratamiento.
31 Xxxxxx.
00 Xxxxxx.
00 Xxxxxx.
Respecto a la relación existente entre Responsable y Encargado, la Superintendencia de Industria y Comercio se ha pronunciado en los siguientes términos:
“Ahora bien, la relación Responsable - Encargado no surge, necesariamente, de un acuerdo privado de voluntades entre ambas partes. Es posible que sea consecuencia directa de un mandato contenido en una disposición legal o reglamentaria como puede ser el caso bajo análisis, donde es claro que se expidió una regulación dirigida a la prevención del hurto de equipos terminales móviles (…)”
(…)
Adicionalmente, no encuentra esta Superintendencia que sea necesario que el Responsable defina, a su arbitrio, qué tratamientos específicos deben efectuarse respecto de la información personal entregada al Encargado, pues, igualmente, es factible que los usos y alcances de dicho tratamiento estén contenidos en una norma.”
De acuerdo con lo anterior, el carácter de Responsable o Encargado en un esquema como el previsto para el GIDI, puede ser delimitado a través de mecanismos regulatorios, lo cual lleva a esta consultoría a proponer la siguiente distribución de roles:
Figura No. 8
Esquema de roles de protección de datos propuesto
Fuente: Construcción propia
Como se puede observar, en el esquema propuesto los Responsables serían los comercializadores, mientras que el GIDI ejercería como Encargado del tratamiento de acuerdo con las expectativas sobre las tareas y productos que ejecutaría y los OR serían igualmente encargados exclusivamente para la recolección y remisión de la información que sería consolidada por el gestor. La justificación de esta propuesta está basada en los siguientes aspectos:
• La relación directa con los usuarios está en cabeza de los comercializadores.
Los comercializadores mantienen un contacto constante y directo con los usuarios frente a los cuales se están recolectando datos personales. Tanto la recolección de las respectivas autorizaciones para el tratamiento, como el manejo de las peticiones relacionas con los derechos de los titulares, encuentran un lugar natural en la relación comercializador-usuario, lo que además genera eficiencias en el proceso.
• La función de los OR es limitada a la recolección y envío de la información de conformidad con los parámetros establecidos.
Al no encargarse los OR de la gestión de datos, su función se enfocaría en la recolección adecuada de estos desde el punto de vista técnico, así como a la forma en que se trasmitirían al gestor independiente de datos; razón por la que estarían a cargo de una parte puntual del tratamiento, lo cual encaja de manera adecuada con la definición de Encargado.
• Se facilita la continuidad de la operación frente a un cambio de gestor.
Al fungir como Encargado, el GIDI mantendrá una función vinculada directamente con las instrucciones que los Responsables y la regulación dicten. Por esta razón, en caso de presentarse un cambio en la empresa a cargo de la gestión y sea necesario realizar una entrega de los datos a una nueva sociedad, los mismos deberán ser entregados en las condiciones y bajo las instrucciones estipuladas. En otras palabras, el gestor no tendrá la capacidad de decidir ni jurídica ni materialmente los fines y medios del tratamiento.
Ahora bien, luego de la definición de roles en el esquema de protección de datos personales en desarrollo de las actividades xxx XXXX, vale la pena mencionar cuáles son los deberes tanto de los Responsables como de los Encargados según la Ley 1581 de 1012:
Deberes de los Responsables (art. 17) | Deberes de los Encargados (art. 18) |
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular. | a) Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas data. b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. |
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada. g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento. h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley. i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley. k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos. l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. | c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley. d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo. e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley. f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares. g) Registrar en la base de datos las leyendas "reclamo en trámite" en la forma en que se regula en la presente ley. h) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal. i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. |
m) Informar a solicitud del Titular sobre el uso dado a sus datos.
En el esquema planteado, entonces, los comercializadores actuarían en calidad de Responsables del tratamiento y, por ende, deberán dar cumplimiento a las obligaciones señaladas en el artículo 17 de la Ley 1581 de 2012. Asimismo, los OR y el GIDI serán Encargados del tratamiento, es decir, realizarán el tratamiento de datos personales por instrucción del Responsable (o bien, como consecuencia de una disposición legal o regulatoria) debiendo, por lo tanto, dar cumplimiento a los deberes consagrados en el artículo 18 de la Ley 1581 de 2012.
Un aspecto relevante en la relación Responsable-Encargado, es el vínculo contractual que debe surgir entre ellos para garantizar el correcto tratamiento y protección de los datos personales. Al respecto, debe señalarse que es necesario estructurar sendos contratos de Transmisión de datos entre: (i) los comercializadores y el GIDI; y (ii) los comercializadores y los OR. La transmisión de datos consiste en la entrega o el envío de datos personales por un Responsable al Encargado de su tratamiento. En la transmisión, el tratamiento sigue bajo la competencia del Responsable, el cual entrega los datos al encargado para que realice el tratamiento por su cuenta y bajo sus instrucciones ya sea por necesidad o practicidad, como ocurre en el caso del AMI. De acuerdo con el Decreto 1377 de 2013, el alcance de este contrato es el siguiente:
“Mediante dicho contrato el encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.”
Adicionalmente, la norma en su artículo 25, también requiere que en el contrato se incluyan como obligaciones del Encargado dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan; salvaguardar la seguridad de las bases de datos en los que se contengan datos personales y guardar confidencialidad respecto del tratamiento de los datos personales. Teniendo esto en cuenta, se recomienda lo siguiente para el esquema propuesto:
(i) Los Responsables (comercializadores) deben definir en el contrato el alcance del tratamiento, sus finalidades y las obligaciones de los encargados (GIDI y OR) respecto del titular del dato.
(ii) Las obligaciones establecidas en la Política de Tratamiento de Información de los Responsables (comercializadores) deben ser cumplidas por los Encargados (GIDI y OR).
(iii) La finalidad del tratamiento debe ser la autorizada por el Titular del dato o por la ley. Los Responsables (comercializadores) deben asegurarse de estar legitimados para tratar los datos y de encomendar a los Encargados (GIDI y OR) realizar actividades autorizadas por el Titular o permitidas por la ley.
(iv) En el contrato es imperativo incluir, por lo menos, las obligaciones del artículo 25.
7.5.2. Principios del tratamiento de datos personales
De manera independiente al rol que se cumpla, tanto el Responsable (comercializadores) como los encargados (GIDI y OR) deben cumplir con los principios para el tratamiento de datos personales previstos en el artículo 4 de la Ley 1581 de 2012, además de los deberes predicables a su rol dentro del proceso de administración de información personal34. A continuación, se enunciarán los principios previstos en la norma, con énfasis en el de libertad y finalidad, los cuales constituyen el sustento legal de la existencia de las autorizaciones para el tratamiento que deben otorgar los titulares de los datos.
Principio | Definición legal |
Legalidad | El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen. |
Finalidad | El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular. |
Libertad | El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. |
Veracidad o calidad | La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. |
Transparencia | En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. |
Acceso y circulación restringida | El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley; |
Seguridad | La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar |
34 Corte Constitucional, Sentencia C-1011 de 2008. M.P. Xxxxx Xxxxxxx Xxxxxxx.
seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. | |
Confidencialidad | Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma. |
• Del principio de libertad
Este principio es considera el eje fundamental en la protección de datos personales. De acuerdo con el mismo, se requiere que el consentimiento otorgado por el Titular de la información sea previo, expreso e informado, para que sea posible realizar el tratamiento de esta. De acuerdo con la Corte Constitucional en su Sentencia C-1011 de 2008, el ejercicio efectivo de la libertad de la que goza el Titular de la información en los procesos informáticos se concreta en la autorización previa, expresa y suficiente, por las siguientes razones:
“(…) Para la Constitución, la libertad del sujeto concernido significa que la administración de datos personales no pueda realizarse a sus espaldas, sino que debe tratarse de un proceso transparente, en que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación. La eliminación de la autorización previa, expresa y suficiente para la incorporación del dato en los archivos y bancos de datos administrados por los operadores permite, en últimas, la ejecución de actos ocultos de acopio, tratamiento y divulgación de información, operaciones del todo incompatibles con los derechos y garantías propios del hábeas data”.
Es posible extraer de lo anterior, que la materialización de este principio es la obtención del consentimiento por parte del Titular de los datos y debe contar con los siguientes 3 requisitos:
- Debe conferirse de manera previa a incorporarse el dato.
- Es inequívoca, es decir, no puede darse de manera tácita. El consentimiento debe ser explícito y directamente relacionado con la finalidad específica de la base de datos.
- Debe otorgarse de manera consciente.
• Del principio de finalidad
Este principio está estrechamente ligado con el de libertad y con los deberes de Responsables y Encargados. De una parte, supone que los datos personales sólo pueden utilizarse para finalidades determinadas, explícitas y legítimas y, por la otra, que estos no podrán utilizarse para finalidades distintas de aquellas para las que los datos se hubiesen recogido. Adicionalmente, solo pueden someterse a tratamiento los datos que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades para las que se hayan obtenido. En el caso de este principio, deben reunirse los siguientes requisitos:
- Debe ser determinada, pues los datos deberán ser recabados para unas finalidades concretas que justifiquen el tratamiento, sin que sea posible la existencia de finalidades genéricas.
- Debe ser explícita, es decir el tratamiento de los datos de carácter personal deberá estar fundamentado en una finalidad clara sin que sea lícita la existencia de tratamientos con finalidades confusas.
- Debe ser legítima, lo cual implica una determinación clara de los fines para la recolección no siendo válida una finalidad indeterminada.
Según el principio de finalidad los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades distintas o incompatibles con aquellas para las que los datos hubieran sido recogidos, pues de lo contrario se estaría incurriendo en un desvío de finalidad que podría ser sancionado como incumplimiento del principio libertad.
• Consentimiento previo, expreso e informado
Teniendo en cuenta el contexto planteado, así como la estructura propuesta en materia de roles dentro del sistema, es fundamental que para la recolección y tratamiento de los datos personales que serían gestionados por el GIDI, se diseñe una autorización que cumpla con los requisitos arriba enunciados y que prevea las finalidades específicas de uso de la información. Si bien, la especificidad de la autorización deberá ser establecida en su momento por la CREG a través del Comité Técnico Consultivo, a continuación se presentan algunas recomendaciones para ese ejercicio:
- Es conveniente que la CREG desarrolle una autorización estandarizada que impida cualquier tipo de limitación particular por parte de los comercializadores, con la cual se puede generar una barrera de entrada artificial para que otros comercializadores accedan a la información respectiva a través xxx XXXX.
- Incluir una mención a los Encargados ya sea para la recolección de los datos (OR), como para la gestión de estos (GIDI).
- Incluir una mención a la transferencia y transmisión de los datos a través de los proveedores autorizados.
- Definir de manera precisa si en dicha autorización se otorgará a los comercializadores la posibilidad de enviar publicidad particular a sus usuarios u ofrecer servicios adicionales.
- Incluir a los OR y demás comercializadores, como posibles destinatarios de la información personal recolectada, la cual deberá ser canalizada a través xxx XXXX en todo caso.
- Incluir la información clara sobre los medios de atención para ejercer los derechos emanados de la protección de los datos, como el de supresión o actualización.
- Incluir una autorización específica para la reutilización de los datos recolectados con los fines que se establezcan por parte del CREG a través del Comité Técnico Consultivo.
7.5.3. Programa integral de gestión de datos personales – Principio de responsabilidad demostrada
El principio de responsabilidad demostrada (Accountability) fue introducido por el ordenamiento en el Capítulo VI del Decreto 1377 de 2013. En términos generales, consiste en que los Responsables del tratamiento deben contar con un programa integral de protección de datos y estar preparados para demostrarle a la autoridad la implementación efectiva de esas medidas en la organización. El artículo 26 de la norma, dispuso como una obligación de los Responsables el que deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para el cumplimiento de las obligaciones establecidas en la Ley 1581 de 2012. Adicionalmente, se plantea que con la demostración adecuada a la que se hace mención, en caso de una posible infracción sancionable, la autoridad debe tener en cuenta la existencia de dichas medidas al momento de imponer la posible sanción.
La Superintendencia de Industria y Comercio, elaboró unas guías para la implementación de este principio, las cuales son muy útiles en la elaboración de un programa integral de gestión de datos personales (Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability)). Por esta razón, es recomendable que los comercializadores en su calidad de Responsables cuenten con este tipo de programas basados en los lineamientos de la autoridad nacional de protección de datos personales.
• Elementos del programa de gestión de datos personales
En una aproximación estructurada a la gestión de datos, la responsabilidad significa implementar y mantener de manera permanente las actividades de gestión de información que son relevantes. Dichas actividades son procedimientos, políticas, medidas, mecanismos y otras iniciativas que impactan el tratamiento de datos personales o que se relacionan con el cumplimiento de las leyes de protección de datos personales. Las actividades de gestión de información apropiadas se determinan con base en los requerimientos de cumplimiento, el perfil de riesgos, los objetivos de negocio y el contexto del tratamiento de datos (tipo de datos tratados, naturaleza del tratamiento, finalidades de la recolección, uso y puesta a disposición, etc.) de la organización. A continuación, se enuncian los elementos fundamentales que deben ser tenidos en cuenta en el desarrollo de esta actividad:
- Gobernanza
- Inventario de datos personales
- Políticas de Protección de datos y Avisos de privacidad
- Aspectos operacionales
- Capacitación, entrenamientos y concientización
- Seguridad de la información (elementos asociados a protección de datos)
- Gestión de riesgos con terceros
- Gestión de PQR
- Gestión de incidentes y vulneraciones de datos
- Monitoreo y evaluaciones.
8. CONDICIONES ESENCIALES PARA LA PRESTACIÓN DE SERVICIOS TECNOLÓGICOS CRÍTICOS
Para cumplir sus objetivos y llevar a cabo las funciones que tendrá a cargo, el GIDI deberá desarrollar un conjunto de servicios tecnológicos críticos de los que dependerá toda la operación de facturación de los comercializadores, la adecuada gestión de los datos personales y la confianza de usuarios y agentes del sector.
En el presente capítulo se describen los requerimientos fundamentales que deberá cumplir el GIDI para poder llevar a cabo esta responsabilidad de forma exitosa, agrupados en el Gobierno de los Datos y la forma en la cual la organización los administrará adecuadamente (para cumplir, entre otras, con la regulación de datos personales), Seguridad de la Información y Gobierno de Tecnología.
8.1. Programa de Gestión de Datos
Hoy en día los datos son reconocidos como un activo empresarial y deben ser gestionados como tal. La Gestión De Datos considera la creación e implementación de arquitecturas, políticas y procedimientos que gestionan todas las necesidades del ciclo de vida de los datos. Tener estas políticas y procedimientos es fundamental para potencializar la analítica de datos.
El agente designado para la Gestión Independiente de Datos e Información debe definir un Programa de Gestión de Datos que le permita aumentar el aprovechamiento de datos para generar valor social y económico.
Existen diferentes xxxxxx de trabajo de referencia para la definición del Programa de Gestión de Datos. Por ejemplo, el Data Management Maturity (DMM) Model, del CMMI Institute35 es un modelo de mejoramiento de procesos y un modelo de madurez de las capacidades de gestión de datos, en el que las áreas de proceso están consolidadas bajo 5 categorías: Estrategia, Gobierno, Calidad de Datos, Operaciones y Plataforma / Arquitectura:
35 xxxxx://xxxxxxxxxxxxx.xxx/xxxx-xxxxxxxxxx-xxxxxxxx
Figura No. 9 Categorías del DMM
Fuente: Data Management Maturity (DMM) Model – CMMI Institute
De otra parte, el Marco de Referencia DAMA-DMBOK (Data Management Body of Knowledge)36
profundiza en las áreas de conocimiento que conforman el alcance general de la gestión de datos:
Figura No. 10 Dominios del DAMA
Fuente: DAMA - DMBOK 2nd Edition
Como xxxxxx de trabajo, presentan los componentes para desarrollar la función de Gestión y Gobierno de Datos. La empresa designada para ejercer la Gestión Independiente de Datos e Información debería considerar la definición de al menos los siguientes elementos:
8.1.1. Organización de la Gestión de Datos
El procesamiento y análisis de información será el eje principal de operación xxx XXXX. Para atender esta necesidad, la empresa encargada de la gestión independiente de datos e información debe definir una función de liderazgo; un oficial corporativo responsable de administrar los activos de datos37, con presencia en la Alta Dirección. Este rol tiene la responsabilidad de manejar los datos, como un activo empresarial para el GIDI, y asegurar no sólo la calidad e integridad de los datos, sino también que los mismos produzcan valor a los distintos interesados clave: Entidades públicas, ciudadanos, operadores, comercializadores de energía, etc.
37 The DAMA Dictionary of Data Management. Definición del Chief Data Officer (CDO)
La empresa designada para la Gestión Independiente de Datos e Información debe definir una estrategia de gestión de datos que refleje la manera en la cual los datos soportarán sus funciones, procesos y servicios, para el cumplimiento de los objetivos. Esta estrategia debe reflejar adecuadamente los objetivos de quienes generan y de quienes consumen los datos, así como los elementos necesarios para su implementación. Debe así mismo, evolucionar al igual que las necesidades xxx XXXX lo hagan. La estrategia debe contener, entre otros38:
• Una declaración de Visión, que conjugue los objetivos y prioridades, el valor para el negocio, las dependencias y el nivel de esfuerzo requerido para su implementación.
• Una definición de Alcance, que considere las áreas involucradas, las prioridades en la gestión de datos y los activos de datos claves para la implementación.
• Indicadores de medición del éxito de la estrategia e instrumentos de medición del progreso.
• Los beneficios para el GIDI e interesados clave.
• El marco de trabajo que se tomará como referencia.
• Requerimientos de recursos para su ejecución.
• Plan de trabajo.
• Definición de roles y responsabilidades.
• Indicadores de ejecución y de éxito.
• Plan de comunicaciones
• Modelo de financiación para su implementación
El Gobierno de Datos se conoce como el ejercicio de autoridad, control y toma de decisiones (esto es, planeación, monitoreo y ejecución) sobre la gestión de los activos de datos39. Surge del reconocimiento formal de la necesidad de tener una estructura, organización y recursos para la gestión de los datos, y de la implementación de esa necesidad.
La responsabilidad sobre los datos (Data Stewardship) es el componente operativo del Gobierno de Datos (Xxxxxxx, 2014) y consiste en la formalización de la responsabilidad por el manejo de los recursos de datos e información en el día a día. La empresa designada para ejercer la Gestión Independiente de Datos e Información deberá definir responsables (Data Stewards) representantes de las diferentes funciones en el GIDI, y así mismo, expertos en los datos gestionados allí.
38 Data Management Maturity (DMM) Model. Version 1.1.
39 The DAMA Dictionary of Data Management. (2nd edition). Technics Publications, LLC
Además, se deberá definir la Política de Gestión y Gobierno Datos, para establecer los lineamientos en el manejo de los datos y de la información, así como las políticas, estándares y procedimientos de apoyo para su implementación.
La efectividad con la cual los datos soportan las funciones corporativas depende en gran medida de su nivel de calidad. La información que se puede extraer de los datos, como parte de las actividades de generación de valor, será de la misma calidad que presenten esos datos. La empresa encargada de la Gestión Independiente de Datos e Información deberá definir un Programa de Gestión de la Calidad de los Datos que considere las capacidades de perfilamiento, medición y reporte de la calidad de los datos, y de gestión de los problemas de calidad.
Xxxxxx Xxxxxxx propone 8 pasos para la creación de un Programa de Calidad de (Templar, 2017):
1. Identificar cuáles son los datos más importantes y dónde reposan
2. Definir reglas de calidad de datos, para establecer cómo medirlos
3. Analizar los datos, para identificar dónde se desea mejorar los datos
4. Realizar la medición de calidad de los datos y crear métricas de calidad
5. Remediar los datos
6. Controlar los datos
7. Reportar el estado de calidad de los datos
8. Repetir estos pasos, para establecer un proceso de mejora continua
En el marco de este programa, deberán definirse las características que se quieren medir sobre los datos que son importantes para las funciones y objetivos xxx XXXX. A estas características se les conocen como dimensiones y proporcionan la base para definir reglas de calidad medibles. El DAMA-DMBOK40 provee un conjunto de dimensiones de calidad de datos sobre las cuáles existe un acuerdo general:
• Exactitud
• Completitud
• Consistencia
• Integridad
• Razonabilidad
• Oportunidad
• Unicidad
• Validez
40 DAMA International. (2017). DAMA-DMBOK. Data Management Body of Knowledge. (2nd edition). Technics Publications
La empresa encargada de la Gestión Independiente de Datos e Información debería definir el conjunto de dimensiones con las cuales se establezca el monitoreo de la calidad de los datos procesados. Con base en estas dimensiones, podría desarrollar reglas de calidad de datos, esquemas de medición y monitoreo periódico para conocer el nivel de calidad de los datos y gestionar las deficiencias encontradas. Así mismo, debería establecer controles para validar que las partes que harán envío de datos al GIDI, garanticen que la información se ajusta a los parámetros de calidad definidos.
La gestión de la calidad de los datos se realiza a través del ciclo de vida de los datos, mediante el establecimiento de estándares, la implementación de mecanismos de validación y verificación en los procesos que crean, almacenan, usan y transforman los datos y, la medición y reporte periódico de la calidad de los datos frente a estándares de calidad. Involucra actores tanto de las áreas de negocio como de las áreas técnicas.
Como referencia, Xxxxx definió el estándar VEE que especifica los requisitos para el aseguramiento de la calidad de los valores medidos cada hora en los puntos de medición, antes de enviarlos a Elhub, mediante reglas para la validación, estimación y cambio de los valores medidos, denominados colectivamente VEE41.
De esta forma, Elhub se constituye en la Fuente Autorizada de Datos, en donde se actualiza la información que llega con la calidad adecuada desde los diferentes originadores, y de la cual los comercializadores facturen a sus usuarios y los usuarios, a la vez que puedan visualizar la información detallada de sus consumos y comparaciones respecto de otros usuarios, revisar las tarifas y ventajas ofrecidas por la competencia y puedan gestionar, desde una sola plataforma de transacción virtual, el cambio de comercializador42.
8.1.5. Plataforma y Arquitectura de Datos
Acorde con el DMM43, la categoría de plataforma y arquitectura de datos está conformada por procesos que faciliten el diseño de una capa de datos que soporte las necesidades actuales y futuras, la definición de estándares, la selección de plataformas y componentes tecnológicos que soporten los requerimientos de desempeño, la integración de diferentes Fuentes de Datos y la gestión de datos históricos.
La empresa designada para ejercer la Gestión Independiente de Datos e Información deberá definir la práctica de Arquitectura de Datos y el rol del Arquitecto de Datos para44:
• Definir la Arquitectura de Datos y su integración con la arquitectura de procesos, aplicaciones y tecnología.
41 xxxxx://xxx.xxxxx.xx/
42 Resolución No. 131 DE 2020 (artìculo4, numeral j)
43 Data Management Maturity (DMM) Model v1.1
44 DAMA-DMBOK. Data Management Body of Knowledge. 2nd Edition
• Alinear la Arquitectura de Datos con la estrategia, objetivos y arquitectura de funciones xxx XXXX.
• Realizar los diseños y modelos de datos que permitan dar cumplimiento a esos requerimientos.
• Definir el conjunto de artefactos de arquitectura de datos (v. gr. para definir los requerimientos de datos, las guías de integración de los datos, etc.).
• Definir los estándares de arquitectura de datos que faciliten la gestión de los datos durante su ciclo de vida (desde su creación/obtención hasta su eliminación). Algunos de estos estándares pueden ser:
- Estándares de representación de datos: nombramiento, términos de negocio, diseño lógico, diseño físico, modelamiento, intercambio de información.
- Estándares de acceso a los datos: de servicios de datos, de intercambio de información, de movimiento de datos, de integración de datos.
- Estándares de distribución de datos: aprovisionamiento de datos, modelos de distribución (v. gr. push, pull, publicación, suscripción), auditoría, etc.
- Estándares para la retención y almacenamiento de información histórica.
- Estándares para la integración e interoperabilidad de datos.
• Construir el Modelo de Datos, que contiene la definición de datos que comparten procesos y aplicaciones:
- El modelo de negocio debe considerar datos que soporten las funciones estratégicas, operativas y de apoyo, como por ejemplo, datos de cliente (v. gr. segmentación de usuarios, patrones de consumo, información de comportamiento de clientes/usuarios, datos de interacción con clientes/usuarios), facturación (x.xx. ciclos de pago); datos de: contabilidad, medición, de red, de los activos, entre otros.
- Se pueden considerar estándares de la industria tales como la familia de estándares IEC 61968 u otro vigente. Como referencia, actualmente el Elhub45 utiliza las definiciones de ENTSO-E46, que adoptó el CIM47 desde 2009.
• Definir mecanismos para la integración de datos a través de componentes para la extracción, cargue y transformación de datos, versionamiento y configuración y, controles de validación en línea de calidad de los datos.
• Definir mecanismos para la gestión de metadatos técnicos. Un buen referente es el Estándar de Registro de Metadatos ISO/IEC 11179.
• Definir componentes de almacenamiento de datos, que mantengan la integridad y disponibilidad de los datos durante todo el ciclo de vida (desde la creación u obtención hasta la eliminación) y que soporten el rendimiento adecuado para las operaciones y transacciones sobre los datos.
45 xxxxx://xxxxx.xx/
46 European Network of Transmission System Operators for Electricity
47 CIM – The Common Information Model (IEC 61968/61970 y 62325)
• Definir los componentes para apoyar las actividades de análisis de datos, inteligencia de negocios y toma de decisiones de forma efectiva.
La empresa encargada de la Gestión Independiente de Datos e Información debería definir estándares para la transmisión de los datos, considerando el principio de Neutralidad Tecnológica. Una vez se tenga definido el Modelo de Información de Negocio podría considerar, buscar componentes que faciliten la integración y la portabilidad, en concordancia con el principio de Neutralidad Tecnológica. El SOAP (Simple Object Access Protocol) es un protocolo ligero para el intercambio de información estructurada en entornos descentralizados y distribuidos (IBM, 2020). Al momento de escritura de este documento, la versión actual de SOAP es la 1.2.
De otra parte, XML (Extensible Markup Language) es un estándar abierto, flexible y ampliamente utilizado para almacenar, publicar e intercambiar información48. Es soportado por un amplio número de aplicaciones en distintos programas y existen múltiples bibliotecas para diversos lenguajes de programación, que facilitan el desarrollo de nuevas aplicaciones.
SOAP es un protocolo basado en XML, y ambos son una muy buena alternativa para implementar la estructura de envío de información, con base en la estandarización. SOAP además provee características para el desarrollo de Web Services (WS*), una alternativa para la exposición de los servicios que el GIDI defina soportar.
Como referencia, elhub utiliza para la recepción de información archivos XML y para su interfaz de mensajería y SOAP v 1.1 y web services con el uso de las extensiones WS-Security (para forzar confidencialidad e integridad en los mensajes) y WS-Policy (para especificar sus requisitos de política)49.
Para la transmisión de los datos, con base en las mejores prácticas de la industria, criterios de seguridad, y capacidad de soportar algoritmos criptográficos aceptados, debería seleccionarse un conjunto de protocolos para la transmisión de datos, por ejemplo, TLS 1.3+, SSH 2.0+.
8.2. Programa de Seguridad de la Información
Un Programa de Seguridad de la Información debe asegurar que se protege la confidencialidad, integridad y disponibilidad de la información de los activos críticos de una organización, a través de la implementación de controles de seguridad diseñados para mitigar o reducir los riesgos de pérdida, corrupción o fuga de la información. No lograr proteger de pérdida, destrucción o alteración los activos de información puede resultar en afectaciones financieras, reputacionales o de productividad.
49 xxxxx://xxxxx.xx/
En concordancia con el principio de gestión adecuada de información, la empresa designada para ejercer la Gestión Independiente de Datos e Información debe definir e implementar un Programa de Seguridad de la Información, que proporcione las políticas, directrices y estándares claros y concisos en materia de seguridad de la información, para la protección de los activos de información de la entidad y la administración de los riesgos que se identifiquen, con el fin de mantenerlos en el grado de tolerancia aceptable que la empresa y el negocio determinen.
Una referencia aceptada y conocida es la norma internacional ISO/IEC 27001:2018, que proporciona una descripción general de Sistemas de Gestión de Seguridad de la Información (SGSI). Es un documento aplicable a organizaciones de todo tipo y tamaño50.
Entre los componentes del Programa de Seguridad de la Información, la empresa encargada de la Gestión Independiente de Datos e Información debería considerar la definición de por lo menos los siguientes elementos:
8.2.1. Políticas, estándares, guías y procedimientos de seguridad de la información
La Política de Seguridad de la Información provee la base del Programa de Seguridad de la Información, estableciendo la posición de la Alta Dirección y los objetivos de la empresa en este aspecto. La empresa encargada de la Gestión Independiente de Datos e Información debe definir una Política de Seguridad de la Información que establezca el propósito, alcance, responsabilidades y cumplimiento requerido sobre los elementos del Programa. Así mismo, determinar la necesidad de establecer otras políticas complementarias para la implementación funcional del Programa, apoyados en estándares, guías y procedimientos que articulen su puesta en marcha a través de la empresa:
• Estándares: Mecanismos de seguridad de hardware y software para facilitar la interoperabilidad y controlar los riesgos de seguridad. Por ejemplo, estándar de cifrado.
• Procedimientos: instrucciones paso a paso indicando responsables y actividades a ejecutar, en soporte a las políticas, estándares y guías definidas.
• Guías: recomendaciones de seguridad.
8.2.2. Organización de la Seguridad de la Información
Para gestionar la seguridad de la información dentro de la entidad, es necesario definir roles y responsables. La empresa designada para ejercer la Gestión Independiente de Datos e Información debe definir esta capacidad, a través del rol del Oficial de Seguridad de la Información con presencia en la Alta Dirección.
50 xxxxx://xxx.xxx.xxx/xxxxxxxx/00000.xxxx
8.2.3. Seguridad en los recursos humanos
Otro de los aspectos a considerar en la implementación del Programa de Seguridad de la Información es la seguridad en lo relacionado con los recursos humanos, que se contempla desde la fase de selección y contratación, hasta la finalización del contrato. Con el fin de evitar riesgos sobre los activos de información, La empresa encargada de la Gestión Independiente de Datos e Información debe definir, entre otros:
• Controles preventivos para la fase de selección, consistentes en la verificación de antecedentes, hoja de vida y certificaciones académicas y profesionales.
• Controles preventivos en la fase de contratación, a través de los términos y condiciones que definan las responsabilidades frente a la seguridad de la información a la que tendrían acceso.
• Formación continua en aspectos de seguridad de la información y en gestión de incidentes de seguridad de la información.
• Controles correctivos frente al cumplimiento de las responsabilidades con la seguridad de la información (por ejemplo, proceso disciplinario frente a eventos de violación de la Política)
• Controles para el proceso de finalización del contrato, que contemplen el aseguramiento del retiro de privilegios y permisos de accesos a los recursos de información de la entidad.
8.2.4. Gestión de activos de información
Un activo en el contexto de la norma ISO/IEC 27001 es cualquier cosa que tiene valor para la organización51. Un ejemplo de activo de información, son los datos creados o utilizados por los procesos de la entidad.
En ese sentido, la empresa designada para ejercer la Gestión Independiente de Datos e Información debe definir e implementar procesos que le permitan identificar, valorar, clasificar y gestionar los activos de información. En particular, la definición de un esquema de clasificación y etiquetado de la información, desde que esta es creada u obtenida, que permita:
• Identificar y clasificar los activos de datos, con el fin de determinar cuáles son los datos sensibles.
• Localizar esos activos sensibles.
• Determinar los mecanismos de protección de los activos de información, acorde con su nivel de clasificación.
Como referencia, se tiene el artículo 6 de la Ley 1712 de 2014 que define y distingue tres tipos de información pública: pública, pública clasificada y pública reservada.
51 ICONTEC (2006). Compendio Sistema de Gestión de la Seguridad de la Información (SGSI). Icontec
8.2.5. Gestión de Identidades y Accesos
Uno de los objetivos de la seguridad de datos, es habilitar el acceso apropiado y prevenir el acceso inapropiado a los activos de datos empresariales (DAMA International, 2017). La Gestión de Identidades y Accesos considera las personas, procesos y tecnologías que gestionan el acceso a los recursos de información, asegurando que la entidad es verificada y que se otorga el nivel adecuado de acceso.
La empresa encargada de la Gestión Independiente de Datos e Información debe definir los controles para soportar las capacidades de gestión de identidades, gestión de acceso (esto es, autenticación y autorización) así como el repositorio de identidades y directorio de servicios para la administración de las cuentas. De esta manera, podrá controlar el acceso a los recursos de la información y mitigar el riesgo de mal uso.
Los controles criptográficos tienen como propósito proteger la confidencialidad, autenticidad o integridad de la información. La empresa designada para ejercer la Gestión Independiente de Datos e
Información debe definir los estándares de criptografía para ser utilizados en las plataformas y componentes que soportan la gestión de datos, en donde se determine que hay información sensible (acorde con su clasificación) que requiere de controles de criptografía.
Esos estándares deben considerar, entre otros, algoritmos aprobados para la autenticación, funciones hash, certificados digitales, cifrado de información e intercambio de llaves y protocolos para la transmisión de datos.
Como referencia para la selección de estos algoritmos, se puede consultar:
• U.S. Government - Federal Information Processing Standard (FIPS)
• American National Standards Industry (ANSI)
• RSA Security Inc. (PKCS numbered standards)
• National Institute of Standards and Technology (NIST)
Cifrar la información, sin embargo, no es el mecanismo más idóneo para todos los escenarios, considerando factores como desempeño y costos. Con el fin de preservar la confidencialidad, se deben seleccionar mecanismos de enmascaramiento, ofuscamiento, anonimización o tokenización.
8.2.7. Seguridad física y ambiental
Para proteger los activos de información, es necesario también establecer controles de tipo físico y ambiental. En este sentido, la empresa encargada de la Gestión Independiente de Datos e Información debe definir lineamientos para el diseño de controles de las instalaciones físicas y áreas seguras de procesamiento de la información.
Bien sea que se decida construir un centro de procesamiento de datos o rentar un espacio a través de un servicio especializado, se mantienen las consideraciones de seguridad relacionadas con la certificación del nivel de desempeño52, el nivel de seguridad física, y el perfil de uso (por ejemplo, si se trata de hosting dedicado o de hosting multiusuario).
El Uptime Institute53 ha definido un estándar de arquitectura para el diseño de centros de datos, en el cual cada nivel (tier) es progresivamente más confiable, seguro y redundante tanto en su diseño como en sus elementos operacionales54.
• Xxxxx 0: Infraestructura Básica del Centro de Datos
• Xxxxx 0: Componentes de capacidad redundantes de infraestructura de sitio
• Xxxxx 0: Infraestructura de sitio Concurrently Maintainable
• Xxxxx 0: Infraestructura de sitio Fault Tolerant
Algunos estándares de referencia para tener en cuenta en la construcción o selección de un centro de datos son:
• The International Data Center Authority (IDCA). Ha definido el estándar Infinity Paradigm que cubre desde la localización del centro de datos, la infraestructura de servicios públicos, infraestructura y aplicaciones (xxxxx://xxx.xxx-x.xxx/).
• Building Industry Consulting Services International (BICSI). El estándar ANSI/BICI 002-2014 considera diseño e instalación de cableado (xxxxx://xxx.xxxxx.xxx/).
• The National Fire Protection Association (NFPA). Los estándares NFPA 75 y 76 se enfocan en la protección contra incendios de equipos de tecnología de la información e instalaciones de telecomunicaciones (xxxxx://xxx.xxxx.xxx/).
52 xxxxx://xxxxxxxxxxxxxxx.xxx/xxxx-xxxxxxxxxxxxx
53 Uptime Institute es una organización imparcial de asesoramiento centrada en mejorar el rendimiento y aumentar la eficiencia y la fiabilidad de la infraestructura crítica de las empresas mediante la innovación, la colaboración y las certificaciones de desempeño independientes (Uptime Institute, 2020).
54 xxxxx://xx.xxxxxxxxxxxxxxx.xxx/xxxxx
8.2.8. Gestión de la Continuidad del Negocio y Recuperación de Desastres
Los Planes de Continuidad del Negocio (BCP, por sus siglas en inglés) y los Planes de Recuperación de Desastres (DRP, por sus siglas en inglés) direccionan la preparación, los procesos y prácticas necesarios para preservar la empresa, en el escenario de interrupciones a la operación normal. La empresa designada para ejercer la Gestión Independiente de Datos e Información debe definir Planes de Continuidad de Negocio (BCP) que le permitan a la empresa preparar lo necesario para que los productos y servicios que establezca se puedan continuar entregando, en caso de enfrentar un desastre. Además, Planes de Recuperación de Desastres (DRP) para saber qué hacer inmediatamente después del desastre para recuperarse del evento.
Cómo información relevante para el desarrollo de ambos planes se tiene:
• Identificación de los activos más importantes de la empresa: datos y procesamiento de datos.
• La localización de esos activos.
• Los esquemas de comunicación entre los activos y los centros de procesamiento.
• La localización actual y alterna de los empleados/colaboradores, terceros estratégicos en relación con el evento.
• Procesos y aplicaciones críticas.
• La cantidad de información que debe ser recuperada (Recovery Point Objective RPO).
• El tiempo máximo que se puede tolerar la falta de funcionamiento de las aplicaciones y la caída de nivel de servicio asociada (Recovery Time Objective RTO).
Los requerimientos de operación, legales, los tiempos de atención comprometidos, el apetito de riesgo, entre otros, deben ser tenidos en cuenta para el diseño de la arquitectura tecnológica, la selección de sus componentes y la definición de estrategias de continuidad y recuperación (por ejemplo, replicación de datos, replicación de funcionalidades, tolerancia a fallos, etc.).
8.2.9. Seguridad de las operaciones
La empresa designada para ejercer la Gestión Independiente de Datos e Información debe definir procesos para soportar la operación de las plataformas y sistemas de información que realizan el procesamiento de datos, sean estos infraestructura local o externa. Entre otros, deben considerarse procesos para:
• Gestión de riesgos de TI
• Gestión de cambio en las plataformas tecnológicas
• Gestión de la configuración técnica
• Gestión de incidentes
• Gestión de problemas
• Gestión de niveles de servicio
• Gestión de la disponibilidad
• Gestión de la capacidad
• Gestión de la vulnerabilidad técnica
8.2.10. Uso de servicios en la nube
La computación en la nube es un modelo de gestión de tecnología que permite habilitar acceso ubicuo y bajo demanda a través de la red, a un conjunto de recursos de compartidos configurables (redes, servidores, almacenamiento, aplicaciones y servicios), que se pueden aprovisionar de forma rápida y con mínimos requerimientos de gestión o de interacción con el proveedor (Mell & Xxxxxx, 2011).
Si bien ofrece ventajas, implica también riesgos y aspectos de cumplimento que se deben analizar y gestionar adecuadamente. En el escenario de optar por servicios de computación en la nube, la empresa encargada de la Gestión Independiente de Datos e Información debe considerar entre otros, los siguientes aspectos antes de seleccionar un servicio de computación en la nube:
• Tener una adecuada gestión de riesgos. Como referencia, se puede consultar la matriz de controles para la xxxx xxx Xxxxx Security Alliance, la cual mapea con estándares regulaciones y xxxxxx de control como ISO 27001/27002, COBIT (Control Objectives for Information and Related Technology, de ISCA) y PCI DSS. xxxxx://xxxxxxxxxxxxxxxxxxxxx.xxx/xxxxxxxx/xxxxxxx- groups/cloud-controls-matrix/
• Controles para la Organización de Servicios (SOC)
• Conformidad con estándares de buenas prácticas como:
- ISO/IEC 20000-1:2011 SGSTI Sistema de Gestión de Servicios de Tecnologías de la Información
- ISO 22301:2012 Sistema de Gestión de la Continuidad de Negocio
- ISO 27001 Sistema de Gestión de Seguridad de la información
- Estándares de administración de seguridad de la información
- ISO/IEC 27017:2015 Código de prácticas para los controles de la seguridad de la información
- ISO/IEC 27018 Código de prácticas para la Protección de Información de Identificación Personal (PII) en la nube
- ISO/IEC 27701 Sistema de Administración de Información de Privacidad (PIMS)
8.3. Programa de Gobierno de TI Empresarial
La empresa encargada de la Gestión Independiente de Datos e Información debe establecer un Programa de Gobierno de Tecnología, que permita gestionar los requerimientos de la operación xxx XXXX.
COBIT (Objetivos de Control para las Tecnologías de la Información y Relacionadas) es una guía de buenas prácticas, orientadas al control y supervisión de tecnología de la información (TI), a través de dominios y procesos enfocados al control, con el fin de optimizar las inversiones de TI y asegurar la entrega del servicio. La versión 5.0 de COBIT se fundamenta en 5 principios:
• Satisfacer las necesidades de los interesados
En el escenario xxx XXXX, los principales interesados son: usuarios, entidades públicas, ciudadanos, operadores, comercializadores de energía y los mismos empleados o colaboradores xxx XXXX.
Se deben analizar las necesidades de todas las partes interesadas, con el fin de identificar los mecanismos, procesos y recursos adecuados para atenderlas y lograr los objetivos considerando el riesgo relacionado.
Este principio se centra en el gobierno, la negociación y la toma de decisiones sobre las diversas necesidades de las partes interesadas.
• Cubrir la empresa de extremo a extremo
La información es clave para la toma de decisiones. El acceso oportuno a la información ayuda a entender tendencias, comportamientos y decisiones con mayor precisión, lo que brinda beneficios a los interesados clave: los mismos empleados/colaboradores xxx XXXX, entidades públicas, ciudadanos, operadores, comercializadores de energía, etc.
La gestión de tecnología debe cubrir el uso de información y TI, a través de la definición de un portafolio de servicios que apoye adecuadamente las estrategias de gestión de datos y de seguridad de la información.
• Aplicar un solo marco integrado
El uso de diferentes xxxxxx de trabajo y metodologías como lo son ITIL (Information Technology Infrastructure Library), ISO/IEC 27001, TOGAF (The Open Group Architecture Framework), deben llevar a la implementación de procesos coherentes y complementarios, para lograr practicas sólidas y que generen valor a la empresa. COBIT 5 puede actuar como un único marco integrado que proporciona cobertura empresarial y coherencia y puede personalizarse para satisfacer las necesidades de la empresa encargada de la Gestión Independiente de Datos e Información.
• Habilitar un enfoque holístico
La toma de decisiones de gran impacto requiere de una visión completa sobre las estructuras los y procesos de gestión y gobierno, esto es:
• Principios, políticas y xxxxxx de trabajo
• Procesos
• Estructuras organizativas
• Personas, habilidades y competencias
La empresa designada para ejercer la Gestión Independiente de Datos e Información debe establecer una función de TI que gestione estos factores que, individual y colectivamente, influyen en el éxito de cualquier iniciativa.
• Separar gobierno de administración
El gobierno y la gestión no son lo mismo. El gobierno dice lo que hay que hacer, mientras que la gestión se enfoca en cómo se hará.
El gobierno debe comprender las necesidades de la empresa, definir la dirección mediante la priorización y la toma de decisiones y, monitorear el cumplimiento de los objetivos. La gestión es el mecanismo a través del cual se crean y ejecutan los planes de acuerdo con los objetivos acordados.
La empresa encargada de la Gestión Independiente de Datos e Información debería establecer
equipos diferentes para el gobierno y la gestión de TI, que puedan trabajar en conjunto para cumplir con los objetivos xxx XXXX.
COBIT define las actividades de TI en un modelo genérico de cinco dominios: uno enfocado en gobernabilidad y los otros cuatro que equiparan las áreas tradicionales de TI de planificación, construcción, ejecución y monitoreo.
A continuación, se describen algunos de los componentes que se deben habilitar en el marco de la operación xxx XXXX.
8.3.1. Evaluar, Orientar y Supervisar
Dentro de la función de TI que la empresa encargada de la Gestión Independiente de Datos e Información establezca, se deberían crear procesos para asegurar el logro de los objetivos xxx XXXX. Entre ellos, procesos para:
• Establecer el modelo de gobierno corporativo para TI. Esto es, definir las responsabilidades, estructuras y autoridad para que la función de TI apoye a la empresa en el cumplimiento de los objetivos. Una buena referencia para hacerlo es la norma ISO/IEC 38500 - Estándar internacional para el Gobierno de TI.
• Evaluar las necesidades de las partes interesadas: empleados/colaboradores xxx XXXX, entidades públicas, ciudadanos, operadores, comercializadores de energía, etc., así como para validar las opciones para satisfacer esas necesidades.
• Establecer criterios y mecanismos de priorización de las iniciativas y de toma de decisiones.
• Establecer los mecanismos para optimizar el beneficio que desde los procesos de TI se entrega a las funciones xxx XXXX.
• Asegurar que los recursos de tecnología (personas, procesos y tecnologías) son suficientes para dar respuesta a las necesidades actuales y futuras definidas en el GIDI.
• Definir los esquemas de monitoreo y reporte del progreso, desempeño y cumplimiento de los servicios de TI, con el concurso de las partes interesadas.
8.3.2. Alinear, Planificar y Organizar
Dentro de la función de TI que la empresa encargada de la Gestión Independiente de Datos e Información establezca, se deberían definir las acciones estratégicas y tácticas a través de las cuales TI contribuirá al logro de los objetivos xxx XXXX. Para esto, se deberían especificar procesos para:
• Definir la estrategia de TI para apoyar a las funciones xxx XXXX en el cumplimiento de los objetivos establecidos y el marco de gestión de tecnología para el cumplimiento de las Políticas de TI.
• Definir la arquitectura empresarial, considerando la arquitectura de negocios (los procesos y funciones establecidas), la arquitectura de información, arquitectura de aplicaciones y arquitectura de tecnología. Una buena referencia para hacerlo es TOGAF. COBIT en su versión
5.0 ya tiene integración con este marco.
• Definir los procesos para gestionar los recursos humanos y presupuestales.
• Definir e implementar un Sistema para la Gestión de Seguridad de la Información. Una buena referencia para hacerlo es el estándar ISO 27001. COBIT, en su versión 5.0 ya tiene integración con este marco.
• Definir los procesos para gestionar el portafolio de proyectos de tecnología.
• Establecer los mecanismos para gestionar las relaciones con otras áreas y con proveedores, así como para dar cumplimiento a los acuerdos de nivel de servicio establecidos.
• Gestionar el riesgo de tecnología, con el objetivo de mantenerlo en un nivel aceptable, acorde con el grado de tolerancia que defina el GIDI.
8.3.3. Construir, Adquirir e Implementar
Para poder implementar la estrategia de TI, se requiere de la construcción o adquisición de habilitadores tecnológicos adecuados. La función de TI que establezca la empresa designada para ejercer la Gestión Independiente de Datos e Información debería determinar las capacidades para:
• Establecer los procesos para gestionar los requerimientos de las diferentes funciones/procesos de la empresa, y de priorizarlos acorde con los criterios definidos de alineación con los objetivos definidos por el GIDI.
• Identificar soluciones tecnológicas adecuadas que satisfagan los requerimientos funcionales y no funcionales establecidos, con una buena relación costo-beneficio para la empresa.
• Definir el ciclo de desarrollo seguro de aplicaciones y el proceso de selección y adquisición de soluciones.
• Definir esquemas de mantenimiento y cambio de los sistemas y aplicaciones.
• Procesos para adquirir, implementar y actualizar los componentes de la infraestructura tecnológica.
• Definir los procesos para la planificación y gestión del desempeño y la capacidad de los recursos de tecnología, para dar respuesta a las necesidades actuales y futuras xxx XXXX.
• Gestionar los activos de TI que soportan las capacidades de los servicios de TI, a través de su ciclo de vida.
• Establecer procesos de gestión de cambio sobre los componentes (hardware y software) de la infraestructura tecnológica xxx XXXX, con el fin de garantizar la integridad y disponibilidad de los servicios de TI.
8.3.4. Entregar, dar servicio y soporte
La función de TI que establezca la empresa encargada de la Gestión Independiente de Datos e Información debería definir procesos para soportar la prestación de los servicios de TI. En estos se debería considerar:
• Definir mecanismos de monitoreo sobre los componentes (hardware y software) de la infraestructura tecnológica xxx XXXX, considerando esquemas de notificación y acción cuando se alcancen los umbrales definidos para cada componente.
• Establecer procesos de gestión de solicitudes, incidentes y problemas, considerando niveles de atención y escalamiento, canales adecuados para la comunicación constantes con los interesados clave xxx XXXX y actividades de identificación de causa raíz y solución oportuna a los mismos.
• Soportar y mantener el Plan de Continuidad del Negocio (BCP) definido por el GIDI.
• Proteger los datos e información gestionados en el GIDI, en cumplimiento con la Política de Seguridad de la Información que se defina.
• Definir funciones de soporte del servicio a los usuarios.
8.3.5. Supervisar, Evaluar y Valorar
La función de TI que establezca la empresa designada para ejercer la Gestión Independiente de Datos e Información debería establecer procesos de TI para evaluar de forma regular la calidad y cumplimiento de los servicios de TI. Para esto se debería considerar:
• Definir indicadores de desempeño y cuadros de mando sobre el desempeño de los componentes (hardware y software) de la infraestructura tecnológica xxx XXXX.
• Mantener un ambiente de aseguramiento y control sobre las operaciones y servicios de TI.
• Asegurar el cumplimiento con los requerimientos de políticas internos y de requerimientos regulatorios aplicables al GIDI.
9. FUNCIONES Y RESPONSABILIDADES XXX XXXX
De acuerdo con los objetivos planteados, el GIDI deberá desarrollar una serie de funciones que le permitan cumplir con las responsabilidades y expectativas que hay sobre su operación. Estas funciones se enfocan en proveer los servicios de procesamiento y análisis, garantizar que se cumplen con las normas de seguridad y control, atender a los usuarios, interactuar con los agentes del sector e innovar en el uso de los datos. Ahora, al ser el objeto principal xxx XXXX el procesamiento de datos, se constituye claramente en una empresa de tecnologías de información, por lo que deberá tomar como base las prácticas y requerimientos para cumplir sus funciones de forma eficiente, estable y segura.
En la resolución 131 de la CREG se enumeran una serie de responsabilidades que deberá asumir el GIDI, las que claramente son esenciales para el cumplimiento de los objetivos y están incluidas, implícita o explícitamente, en las condiciones esenciales para la prestación del servicio y en la descripción de las funciones y responsabilidades, desarrollada en este capítulo.
Para poder modelar las funciones que el GIDI debe cumplir, estas se han organizado en un mapa de procesos (Figura No. 11) en el que están clasificadas como funciones estratégicas, funciones operativas y funciones de apoyo. Estas últimas corresponden a aquellas logísticas y administrativas que debe cubrir toda organización (como Compras, Recursos Humanos o Administración, entre otras) y dependerán del enfoque y estructura organizacional del agente que asuma las responsabilidades xxx XXXX.
Figura No. 11 Mapa de Procesos
Fuente: Construcción propia
Las funciones estratégicas son aquellas que dirigen el desarrollo xxx XXXX y que permiten alinear permanentemente la organización con sus objetivos y con la dinámica y requerimientos de usuarios y agentes del sector.
9.1.1. Desarrollo de Nuevas Soluciones
Objetivo
Desarrollar la capacidad de analizar las necesidades de los actores que atiende y aportar valor a través del diseño y construcción de nuevos servicios.
Descripción
El GIDI deberá contar con un área que, a partir de su interacción permanente con los usuarios y con los agentes xxx xxxxxxx que atiende, identifique qué nuevos servicios puede ofrecer, bien sea como información, como desarrollo y/o acceso a plataformas tecnológicas e incluso como servicios que agentes pueden ofrecer a sus clientes (como por ejemplo información de análisis que los comercializadores podrían entregar a los usuarios). Estos servicios podrán ser mejoras a los básicos que está obligado a entregar o nuevos recursos que podrá proveer para mejorar la experiencia de agentes y usuarios, o como productos con costo adicional.
Indicadores de Desempeño
El éxito de esta función dependerá de la dinámica que le dé a la oferta de servicios; por lo tanto, se podrá medir por el número de nuevos productos que identifique y ponga a disposición, así como por el éxito medido en el grado de adopción que estos tengan.
9.1.2. Seguridad y Cumplimiento
Objetivo
Desarrollar las funciones definidas por el GIDI de manera sostenible y en el marco del nivel de riesgo tolerable, a través del cumplimiento y conformidad con las políticas internas para el uso de los activos de información.
Descripción
La Gestión Independiente de Datos e Información que realiza el GIDI se realiza de forma segura, conservando los principios de confidencialidad, integridad y disponibilidad de la información. Para esto, el GIDI deberá definir áreas de Control Interno y de Gestión del Riesgo que supervisen de forma continua el entorno de control y cumplimiento, con el fin de asegurar que las políticas que la empresa define son implementadas adecuadamente y que los requerimientos regulatorios que le aplican son respondidos
oportunamente. Esta función de cumplimiento se realiza a través de autoevaluaciones y de revisiones externas independientes, con el fin de identificar deficiencias e iniciar planes de mejora.
El GIDI debe establecer un esquema de gestión de riesgos holístico, en el cual las responsabilidades por dicha gestión y el cumplimiento de políticas internas se distribuye por toda la empresa, a través de diferentes áreas con distintos roles. Basado en las tres líneas de defensa definidas por el Instituto de Auditores Internos (IIA - The Institute of Internal Auditors), el GIDI deberá contemplar que dentro de la organización se cumplan las siguientes acciones:
- Primera Línea de Defensa. Se compone de todas las áreas de la empresa que están en la operación. Son responsables por la gestión de sus riesgos (identificación, seguimiento y planes de acción) y por el cumplimiento de las políticas internas, como, por ejemplo, la Política de Gestión de Datos y la Política de Seguridad de la Información.
- Segunda Línea de Defensa: Se compone de áreas de control y supervisión del riesgo, que realizan un seguimiento al cumplimiento de las políticas internas por parte de las áreas de la primera línea.
- Tercera Línea de Defensa: Auditoría, en su función de revisión independiente de los procesos para validar que existe una función efectiva de gestión del riesgo y cumplimiento.
Indicadores de Desempeño
Para medir esta función deberán hacerse evaluaciones periódicas que permitan tener el grado de cumplimiento de los procesos con respecto a las políticas definidas en la empresa, particularmente con la Política de Seguridad de la Información y la Política de Gestión de Datos y la evolución de las acciones correctivas y de mejora que se identifiquen en estas evaluaciones.
9.1.3. Interacción con Agentes del Sector
Objetivo
Desarrollar una interacción fluida y proactiva con los diferentes agentes xxx xxxxxxx.
Descripción
Los servicios que el GIDI ofrece satisfacen necesidades de diferentes agentes del sector. Para garantizar que estas expectativas se cumplen en el tiempo, el GIDI deberá proveer canales y espacios de interacción que permitan mantener un diálogo constante, ofreciendo una perspectiva amplia de la dinámica del sector, y recibiendo a su vez insumos y requerimientos de cómo, a partir de sus objetivos, puede ofrecer
más valor. De esta forma, se garantiza que el GIDI sea un catalizador del aprovechamiento de la información para la transformación en la oferta de productos y servicios alrededor xxx xxxxxxx de electricidad. Esta interacción estará enmarcada en las reglas de relacionamiento y gobierno definidas previamente, de forma tal que se puedan articular las iniciativas sin incurrir en riesgos de competencia. Asimismo, se deberá promover el uso de reportes e intercambio de información, basado en los datos almacenados y procesados por la función de analítica de datos.
Indicadores de Desempeño
La forma de medir que esta función se lleva a cabo adecuadamente será evaluando la cadencia y continuidad de los diferentes canales de comunicación, la cantidad y calidad de las iniciativas que allí se exploren y también cuáles de estas se transforman en nuevos servicios ofrecidos por el GIDI.
Las funciones operativas son las que permiten prestar los servicios ofrecidos. Su principal objetivo es garantizar que estos se entregan en las condiciones de calidad, oportunidad y disponibilidad acordadas.
Objetivo
Garantizar el ciclo de vida de los servicios tecnológicos.
Descripción
Por definición, el GIDI es una empresa de tecnología de información, por lo que quién se encargue de sus funciones deberá implementar las mejores prácticas para la prestación de servicios de información. Los diferentes modelos de operación tecnológica, como ITIL, para mencionar un ejemplo, coinciden en que hay una serie de fases y procesos que se deben cumplir para que los servicios entregados cumplan con lo ofrecido. Estas son:
• Estrategia y Arquitectura: Incluye los procesos necesarios para identificar una estrategia de prestación de servicios y definir la arquitectura tecnológica y de información necesarias para construirlos y soportarlos consistentemente. Como se planteó en las condiciones esenciales para la prestación del servicio, se deberán identificar y resolver los puntos únicos xx xxxxx y considerar una arquitectura que, articulada a través de un plan de contingencia y continuidad operativa, sea resiliente y permita garantizar los niveles de servicio requeridos. Esto se puede dar con
redundancia de componentes o contratación de servicios en la nube que cuenten a su vez con este grado de disponibilidad.
• Desarrollo de Servicios: En esta fase se hace la definición y construcción (o adquisición) de los elementos necesarios para prestar los servicios. Así mismo, se revisan las definiciones de capacidad, desempeño, seguridad y demás necesarias que el entorno operativo deberá cumplir para poder soportarlo adecuadamente una vez sea liberado.
• Transición a Operación: Acá se consideran los procesos de prueba, validación y puesta en producción que permiten reducir el riesgo de problemas operativos y evaluar que estos servicios cumplan con los objetivos con que se definieron inicialmente.
• Operación: Incluye todos los procesos necesarios para la adecuada prestación de servicios, enfocados en disponibilidad, calidad y atención de situaciones que no permitan entregarlos de acuerdo con los compromisos. Como lo plantea la Resolución 131 de la CREG, la disponibilidad mínima deberá ser del 99.5%; sin embargo, en la evaluación del contrato y acuerdos operativos, se pueden determinar niveles de servicio diferenciados para los componentes de la solución, basados en la criticidad para los procesos de negocio e implicaciones de la no disponibilidad.
• Funciones Transversales: Además de la evaluación y mejora continua en la prestación de los servicios tecnológicos, cubre funciones adicionales de apoyo al área de tecnología.
Indicadores de Desempeño
El principal indicador de éxito de esta función está dado por la disponibilidad de la plataforma de acuerdo con los compromisos (Niveles de Servicio Acordado), pero adicionalmente se mide el correcto desarrollo de los procesos internos:
• Tiempo promedio de atención y solución de incidentes.
• Efectividad en la resolución de problemas (incidentes recurrentes).
• Efectividad de los cambios puestos en producción.
• Tiempo promedio de atención de solicitudes.
• Alineación de los servicios desarrollados con el portafolio de servicios.
9.2.2. Gestión de Datos de Medición
Objetivo
Recibir, verificar, procesar y entregar la información generada por los contadores inteligentes a través de los operadores de red.
Descripción
El objetivo xxx XXXX es la gestión eficiente de los datos que se generan en los contadores inteligentes. Para esto, deberá desarrollar los estándares y contar con herramientas tecnológicas flexibles y escalables, que le permitan:
• Interfaz Operadores: Recibir los datos que entregarán los operadores de red, de forma eficiente y segura. Para esto deberán utilizar estándares abiertos para la transmisión de la información, pero con las medidas de seguridad y cifrado necesarias para garantizar la confidencialidad e integridad de esta. En el recibo de datos se tendrán los elementos de registro y confirmación y en el caso de que se identifiquen errores o patrones anormales, deberá haber un proceso que permita interactuar con el operador para hacer una verificación de esta situación. Los datos que se reciban del operador no sólo serán procesados sino también administrados para su posterior análisis.
• Análisis y Calidad de Datos: Al recibir los datos, el GIDI deberá: identificar anomalías en los datos recibidos (por lo menos diariamente), resolverlas a través de la interfaz con los operadores u otros mecanismos de conciliación y, proceder con el análisis necesario para la organización de los datos de facturación a los comercializadores.
• Generación de Información de Facturación: Una vez verificada la calidad de los datos, se empaquetará la información en función de los comercializadores, con información complementaria de chequeo y se procederá a enviar de acuerdo con los protocolos y estándares definidos.
Indicadores de Desempeño
Esta función es crucial para la cadena de prestación del servicio de energía eléctrica, por lo que se deben considerar dos aspectos fundamentales:
• Oportunidad en el recibo, procesamiento y entrega de los datos.
• Calidad de los datos, medida como un proceso en el que también se considera la capacidad de evaluar, filtrar y corregir situaciones estructurales de los datos recibidos de los operadores.
Objetivo
Generar, a partir de herramientas de analítica de datos, nueva información que aporte valor a los diferentes actores del sector.
Descripción
El GIDI contará con un gran volumen de datos de los patrones de consumo de electricidad que, analizados adecuadamente, permiten generar información valiosa, no solo a los comercializadores y usuarios, sino también a operadores, a otros sectores e incluso a las entidades públicas. Estos pueden servir a los comercializadores para optimizar la relación con sus usuarios o a ellos para identificar nuevas oportunidades con el fin de mejorar los patrones de consumo y reducir costos. Pero incluso, se podría identificar información que le permita a los operadores perfeccionar la planeación de sus redes, y, al
contar con la información xxx xxxxxxx, puede orientar la toma de decisiones de política pública. Finalmente, la información allí generada podría ser útil para la comercialización de nuevos productos o servicios por parte de terceros por fuera de la cadena de prestación del servicio eléctrico.
La explotación de esta información deberá estar enmarcada en las condiciones y limitaciones del régimen de protección de datos personales, así como de las de protección a la competencia, que han sido evaluadas en este documento.
Indicadores de Desempeño
El valor que se genera a través de esta función se puede medir dependiendo del fin que se le dé a la información:
• Mayor conocimiento a los comercializadores de los usuarios como parte de los servicios básicos xxx XXXX, que podría ser medido por el nivel de cambio por parte de estos de la empresa que le vende electricidad.
• Mejor uso del servicio eléctrico por parte de los usuarios, medido como el costo por la energía consumida.
• Generación de ingresos al GIDI por el desarrollo y venta de nuevos servicios.
Objetivo
Contar con la capacidad organizacional para atender adecuadamente a los usuarios regulados, con mecanismos de evaluación y mejora continua.
Descripción
El AMI implicará un cambio cultural mayor; en la medida en que los usuarios reciban la información de forma clara y oportuna, el proceso fluirá mejor. Si bien la responsabilidad primaria en la interacción con los usuarios es de los comercializadores, el GIDI tendrá un rol fundamental en la construcción de valor que se le entregará a los usuarios. Para poder cumplir con estos objetivos, el GIDI deberá tener la capacidad de prestar servicios y atender adecuadamente a los usuarios de energía eléctrica. Este requerimiento va más allá de la presentación de información a través xx xxxxxxx digitales, pues también deberá proveer una plataforma transaccional que, en principio, permita el cambio de comercializador. Para esto, el GIDI deberá contar con una estructura de servicio al cliente que establezca, entre otras cosas:
• Estrategias para la definición de los servicios.
• Canales de acceso y comunicación.
• Divulgación y comunicación.
• Lineamientos para la atención de usuarios.