CONTRATO CREG 2020 - 060 ENTRE
CONTRATO CREG 2020 - 060 ENTRE
LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS Y XXXXXX XXXXXXX XXXXX XXXXXX
CONSULTORÍA PARA LA DEFINICIÓN DE LA ACTIVIDAD DE GESTIÓN INDEPENDIENTE DE DATOS E INFORMACIÓN Y EL DISEÑO GENERAL DEL AGENTE QUE REALIZARÍA LA ACTIVIDAD
RESUMEN EJECUTIVO PRODUCTO FINAL
(Compila los entregables 1 y 2)
EQUIPO DE TRABAJO
Xxxxxx Xxxxxxx Xxxxx Xxxxxx
Xxxxxx Xxxxx Xxxxxx Xxxxxx Xxxxxx Xxxxxxxxxxx Xxxxx Xxxxx Xxxxxxx Xxxxx Xxxxxxx
Xxxxx Xxxxxx Xxxxxxx
1. DESCRIPCIÓN Y ALCANCE DEL CONTRATO
El 29 de septiembre de 2020, la Comisión de Regulación de Energía y Gas (en adelante “CREG”) adjudicó a Xxxxxx Xxxxxxx Xxxxx Xxxxxx, como persona natural, el contrato 2020-060 el cual tiene como objeto apoyar la definición de la actividad de la Gestión Independiente de Datos e Información (en adelante también “GIDI”), y el diseño general del agente que realizará la actividad, denominado GIDI, como elemento integral y fundamental para la implementación de la Infraestructura de Medición Avanzada. El alcance del contrato se desarrolla en 3 entregables, distribuidos a lo largo de su ejecución, cuyas actividades se enuncian a continuación:
El primer producto realizó una revisión de la propuesta contenida en la Resolución 131 de 2020, para la actividad de Gestión Independiente de Datos e Información. Para tal efecto, a partir de la mencionada resolución, de los comentarios recibidos a la propuesta, los documentos elaborados por los diferentes grupos de interés, los referentes internacionales, los modelos relevantes y la estructura del sector, la consultoría deberá proponer ajustes necesarios a la definición de la actividad de Gestión Independiente de Datos e Información. Asimismo, deberá considerarse la propuesta de Gestor Independiente de Datos e Información.
Como segundo producto de la consultoría, a partir de la Resolución CREG 131 de 2020, de los comentarios recibidos a la propuesta, los documentos elaborados por los diferentes grupos de interés, los referentes internacionales, los modelos relevantes y la estructura del sector y, con fundamento en las facultades legales asignadas a la CREG, se presentó una propuesta de diseño general para el agente que realice la Gestión Independiente de Datos e Información.
La tercera parte de la consultoría involucró la realización de un taller virtual con las partes interesadas (convocado por la CREG), con el fin de presentar las propuestas. Además, se elaboró un documento final en el que se incluyeron los comentarios pertinentes tanto del equipo de la CREG como de los agentes del sector.
El presente documento es el resumen ejecutivo del informe final, el cual compila los productos 1 y 2, arriba mencionados.
2. INTRODUCCIÓN
Como inicio del estudio se realiza un recorrido por las distintas normas y estudios relacionados, con el fin de identificar aquellas aproximaciones concernientes exclusivamente a la Gestión Independiente de Datos e Información GIDI. Posteriormente, se plantea un referenciamiento internacional y nacional. Respecto del primero, se abordan los casos de Australia, Xxxxx Unido y Noruega, y frente al segundo, se analiza el Administrador de Bases de Datos (ABD) en el mercado de las comunicaciones móviles.
Posteriormente, se hace alusión a los comentarios del sector relacionados con la xxxxxx xxx XXXX y se identifican 3 aspectos coincidentes en ellos, los cuales no solo se relacionan con el funcionamiento mismo del nuevo agente propuesto, sino que constituyen los principales puntos focales en cuanto a políticas de prevención y cumplimiento: (i) manejo de los datos e información personal y empresarial; (ii) ciberseguridad y (iii) protección de la libre competencia en el esquema.
Como segundo bloque de la consultoría realizada, se presenta una propuesta de diseño general del gestor independiente de datos e información, la cual tiene como objeto proponer las mejores prácticas para la adecuada gestión de los datos, así como identificar los retos más importantes en su implementación y puesta en marcha, bajo el marco institucional actual. Para alcanzar este objetivo, el estudio se dividió en dos ejes temáticos: (i) aspectos relacionados con la xxxxxx xxx XXXX en sí misma, considerada como un nuevo agente xxx xxxxxxx; y (ii) elementos propios de las actividades que va a realizar.
Dentro del primer eje se hace referencia a: los principios orientadores, objetivos, naturaleza jurídica, gobernanza y conflictos de interés así como al relacionamiento del nuevo agente. En el segundo grupo se encuentran: la gestión de la información desde el punto de vista de la Ley de Transparencia y el Régimen de Protección de Datos; condiciones esenciales para la prestación de servicios tecnológicos críticos; funciones y responsabilidades; identificación de riesgos y desarrollo de nuevos servicios.
3. REFERENCIAMIENTO INTERNACIONAL
En los países estudiados, e incluso en la propuesta de la CREG, es un hecho que la centralización de la gestión es la tendencia principal, debido a múltiples ventajas identificadas en diferentes estudios. Efectivamente, los mercados internacionales más avanzados y que tienen tasas de cambio de comercializador (switching) mayores al 15%, siguen considerando mejoras para la competencia xxx xxxxxxx minorista y la integración entre países de una región. Este es el caso del Reino Unido, los países nórdicos y Australia quienes optaron por un modelo central, con algunas diferencias de diseño, pero que buscan incrementar los beneficios de la competencia para el consumidor, reducir los costos y trámites en la gestión de datos, además de simplificar el control de la competencia y la protección de los datos, entre otras ventajas.
3.1. Xxxxx Unido
En el Xxxxx Unido la labor del Gestor Independiente de Datos e Información la realiza la compañía de datos y comunicaciones - DCC (Data Communications Company), quien dispone de las comunicaciones a través de toda Gran Bretaña para enviar y recibir información de medidores inteligentes hacia y desde comercializadores, generadores, operadores de red y empresas de servicios energéticos. El DCC es operado por la compañía privada "Capita PLC" bajo una licencia regulada por la agencia reguladora (OFGEM). La licencia adjudicada al DCC de Capita PLC asigna las responsabilidades para gestionar el servicio de medición inteligente en nombre de sus usuarios, contratar los proveedores de servicios de datos y comunicaciones y suministrar otros servicios, bajo xxxxxx de restricciones y condiciones de independencia.
El proveedor de servicios de datos controla únicamente el movimiento de mensajes hacia y desde los medidores inteligentes; actualmente la empresa que se encarga de esto es CGI IT UK Limited. Por su parte,
Arqiva Limited y Telefónica UK son los proveedores de servicios de comunicaciones y con ellos se garantiza la interconexión en la xxxx xxxxx x xxx, xxxxxxxxxxxxxxx. Xx xxxxx de Inglaterra se utilizó radio de largo alcance que se utiliza para otras importantes redes de comunicaciones, como las de televisión digital y servicios de emergencia. El esquema completo del DCC, sus subcontratistas y usuarios se describen en la siguiente figura:
Figura 1 Esquema del DDC en UK
Consumidor
de Energía
DCC
DCC
Usuarios
Data Communication Company
Display
en casa
Medidor
Inteligente
Proveedor de
servicios de Comunicaciones
Proveedor
de servicios
Comercializadores
Control dual y
Organización
Distribuidores de
Hubs
Comunes
Infraestructura clave de medición
inteligente
Electricidad
Software de conversión y correlación
Aplicaciones
Inteligentes
Terceros autorizados
Sistemas empresariales (otros
servicios DCC)
Fuente: xxxxxxxx.xx.xx
3.2. Noruega
Noruega actualmente presenta una gestión de datos centralizada en Elhub, propiedad de Xxxxxxxx, quien posee una licencia (Agreement on the use of the Data Hub for the electricity market) como responsable de Elhub, en conformidad con la Sección 4-3 de la Ley de Energía de Noruega (ECOLEX, 1990), con la obligación de gestión de información para la medición y liquidación en la electricidad en el mercado minorista. Este modelo es un primer paso hacia una transición al modelo centralizado regional, con una armonización de todos los países nórdicos (Noruega, Dinamarca, Finlandia, Islandia y Suecia).
Un aspecto descentralizado de Noruega consiste en el modelo de los roles que están en Elhub y que permiten que los participantes xxx xxxxxxx tengan proveedores de servicios. Los proveedores de servicios (BSP) son empresas que prestan servicios a los participantes en el mercado y pueden asumir el papel de lectura de datos de medición para un distribuidor o proporcionar servicios a otros participantes en el mercado.
Figura 2
Centralización de información con Elhub
Todos hablan con todos
Comercializadores Distribuidores
Todos hablan con el Gestor
Comercializadores Distribuidores
1
A
2
Medición
Info. Medidor Clientes Cambio de
Comercializador Mudanza Factura común
X
0
X
0
X
...
...
a
1
A
2
B
3
elhub
C
4
D
...
...
Fuente: xxxxx.xx
Elhub tiene la responsabilidad de centralizar, procesar y facilitar el acceso neutral con interfaces estandarizadas de transferencia de datos, acceso de terceros a los datos históricos, entre otras funciones, por lo cual se exigieron las mayores competencias en tecnologías de información y telecomunicaciones (TIC).
3.3. Australia
En Australia, para la gestión de datos se seleccionó al Operador xxx Xxxxxxx de Energía de Australia1 Australian Energy Market Operator (AEMO) y se adoptó el modelo "gateway" (puerta de enlace), para proporcionar este acceso a datos tanto a los consumidores como a sus comercializadores actuales, potenciales y terceros de confianza cuando así lo autoriza el consumidor.
Con base en este modelo, se puede compartir información, como el contrato de energía actual de un consumidor y su patrón de consumo con otros proveedores de servicios de energía; también permite al consumidor encontrar la mejor tarifa. De acuerdo con la ACCC2 (Consumer Data Right in Energy: Consultation paper: data access models for energy data, 2019), se realizó una comparación de tres modelos de acceso a datos y concluyeron que este modelo gateway equilibra mejor la funcionalidad, la
1 Anteriormente sólo era mayorista
2 Australian Competition and Consumer Commission
rentabilidad, la flexibilidad y la seguridad al mismo tiempo que aprovecha los datos y la experiencia de TI de AEMO. Asimismo, siendo AEMO 60% propiedad del estado y 40% de la industria eléctrica, se podría facilitar el despliegue, reducir los costos de implementación y facilitar el acceso a los minoristas de energía más pequeños.
El gateway funcionaría como una pasarela que reduciría los costos de implementación para los minoristas de energía, particularmente aquellos que no se convierten en destinatarios de datos acreditados, con lo que se eliminaría la necesidad de vincularlos con el registro para autenticar los datos acreditados destinatarios. El modelo funciona de la siguiente forma:
Figura 3 Modelo AEMO
Fuente: Elaboración propia
4. REFERENCIAMIENTO NACIONAL
Se consideró que el Administrador de Base de Datos (ABD), encargado de la gestión de los datos en la Portabilidad Numérica Móvil (PNM,) así como de la administración de las bases de datos positiva y negativa utilizadas para las políticas de combate a hurtos de celulares, podría ser un referente con características similares a las que tendría el GIDI. Esta experiencia se considera oportuna para el diseño xxx XXXX, principalmente por las siguientes cinco motivaciones:
• El ABD es un actor imparcial, racional, neutral, que debe dar un trato no discriminatorio a los Proveedores de Redes y Servicios de Telecomunicaciones (PRST) y quien tiene la obligación de operar y garantizar la seguridad, mantenimiento e integridad de la Base de Datos Administrativa de nuevos portados (BDA). Igualmente, se encarga de la comunicación de los cambios de PRST por parte de los
usuarios y del cumplimiento de las especificaciones técnicas y operativas que sean definidas regulatoriamente por la Comunicación de Regulación de Comunicaciones - CRC.
• Los recursos de numeración y la figura del BDA guardan similares características, en su naturaleza regulatoria, con los medidores inteligentes y la base de datos que gestionaría el GIDI con base en la información proporcionada por los operadores de red.
• El ABD es una figura que ha funcionado en el país por alrededor de 10 años garantizando 24.2 millones de portaciones acumuladas desde su implementación; además, ha sido internacionalmente probado y adoptado en diferentes países (e.g. Chile, México, Perú, la Unión Europea, entre otros) que han establecido esquemas de portabilidad numérica móvil.
• El Administrador y la Base de Datos centralizada se basan en un modelo de corregulación, bajo el cual se desarrolla la participación explícita del regulador (i.e. CRC) para ofrecer ventajas significativas sobre el modelo tradicional de comando y control.
• Las bases de datos gestionadas por el ABD contienen datos personales de los usuarios del servicio de telefonía móvil, lo cual también constituye un reto en el diseño xxx XXXX.
Figura 4
Esquema general de interacción en la Portabilidad Numérica Móvil
Fuente: Imagen extraída de la Resolución SIC No. 53403 de 2013
5. CUADRO COMPARATIVO BASADO EN LOS REFERENTES
Teniendo en cuenta el ejercicio realizado, se considera pertinente en aras de la claridad, presentar una comparación de los elementos comunes e idóneos que puedan ser tenidos en cuenta en el ejercicio de diseño propio de la segunda etapa de la consultoría. En los siguientes cuadros se pueden visualizar, desde el punto de vista de estructura y funcionalidad, dichos elementos.
Figura 5
Cuadro comparativo - Estructura
Fuente: Elaboración propia
Figura 6
Cuadro comparativo - Funcionalidad
Fuente: Elaboración propia
6. RESOLUCIÓN 131 DE 2020
De los documentos de comentarios estudiados, es posible extraer los siguientes 6 ejes temáticos estructurales planteados por los distintos agentes que participaron en el proceso: (i) estructuración del proyecto; (ii) análisis de costo beneficio y suficiencia económica; (iii) financiación y remuneración del esquema; (iv) políticas de prevención y cumplimiento; (v) norma técnica NTC 6079 y; (vi) gestor independiente de datos e información.
De la anterior referencia a los comentarios presentados y teniendo en cuenta el objeto de la presente consultoría, es posible extraer 2 temas estructurales para el diseño y constitución de un gestor independiente de datos.
6.1. Protección de la competencia
Resulta importante revisar algunos lineamientos sobre el régimen de competencia vigente en Colombia, así como algunas consideraciones sobre la expedición de regulación respecto de redes inteligentes hace unos años, en países como Xxxxx Unido, Estados Unidos de América y Francia de conformidad con el informe “Electricity: Renewables and Smart Grids” realizado por el Comité de Competencia de la Organización para la Cooperación y el Desarrollo Económicos (2011).
Sea lo primero advertir que la inclusión de redes inteligentes en la provisión del servicio de electricidad produce cambios importantes en la medición y comunicación del servicio que permiten generar electricidad de una forma más distribuida y a pequeña escala que, a su vez, promueve la toma de decisiones de manera más eficiente por parte de los consumidores y el uso eficaz de los recursos de la red. Esto, sin contar con que este tipo de redes inteligentes permitiría el flujo de información bidireccional, en especial, aquella relacionada con el mercado, el comportamiento de los usuarios y sus preferencias de consumo y los patrones de demanda de los operadores de la red3.
Por lo anterior, la OCDE previó en ese momento que este tipo de desarrollos en la industria eléctrica podrían originar algunos problemas sobre la política de competencia, como situaciones relativas al acceso discriminatorio de redes y la fijación de estándares para los servicios de medición.
Respecto a situaciones de acceso discriminatorio de redes, algunos países pusieron de presente en el mencionado informe que la separación vertical de la infraestructura de transmisión y la de distribución de los segmentos de generación y venta minorista, que son potencialmente competitivos, desincentiva al propietario de la red a discriminar a favor de sus afiliados en los segmentos de generación o venta al por menor. Según el informe de la OCDE, esta posible restricción se puede materializar de diferentes maneras, por ejemplo: (i) demorar para completar los arreglos de conexión; (ii) fallas en realizar mejoras; (iii) reserva
3 Ibid., Págs, 12-13.
de capacidad para sus propias filiales; (iv) favorecer la generación de sus propias filiales en el proceso de despacho; entre otros4.
Las autoridades de competencia del mundo advierten que se pueden generar restricciones u obstáculos en el mercado minorista como consecuencia del derecho de patentes que podría existir sobre la creación de los dispositivos de medición inteligentes. Adicionalmente, algunos países también mostraron su preocupación sobre la privacidad de la información que recaban a través de este tipo de dispositivos, los problemas de seguridad que pueden conllevar y el acceso a la información en sí mismo por parte de ciertos agentes que pueden generar distorsiones en el mercado, ventajas competitivas y, en últimas, otorgarles poder xx xxxxxxx.
Aparte de lo relacionado con los medidores, otro factor fundamental de competencia que debe ser cuidadosamente evaluado es la información como activo. En esta categoría se incluye no solo aquella relacionada con los datos personales de los usuarios sino la que es compartida por las empresas y la que podrías ser creada como producto por parte xxx XXXX, a través de herramientas como la anonimización, por ejemplo.
Otro posible riesgo para dimensionar, lo constituye el intercambio de información entre competidores que se puede generar en el sistema. En materia de competencia, la interacción entre agentes que participan en un mismo mercado debe ser cuidadosamente estructurada en el desarrollo de dicha relación porque pueden generarse dinámicas anticompetitivas como la de intercambiar información no permitida o intentar bloquear el acceso a un nuevo agente, entre otras.
La existencia de un gestor independiente de datos permite abordar los riesgos planteados respecto al régimen de competencia de una manera más eficiente. En primer lugar, las posibles restricciones verticales relacionadas con el no acceso a la información o la demora en su entrega se ven limitadas con la presencia de un agente que no tenga intereses económicos en los mercados conexos. Un segundo aspecto lo representa el hecho de que nuevos entrantes, especialmente en la comercialización, van a encontrar en ese gestor independiente a un agente sin incentivos para crear de manera directa o indirecta barreras de entrada, específicamente relacionadas con el acceso a la información. Otro beneficio del gestor independiente tiene que ver con la eficiencia en la unificación de la información en un solo agente, pues en caso de una estructura más diseminada, el acceso a la misma podría ser mucho más complejo y convertirse en una barrera económica a la entrada. Finalmente, la independencia también permite un mayor control frente a los posibles riesgos relacionados con el intercambio indebido de información entre competidores, bajo el entendido de que el agente que administra los datos no tiene incentivos para propiciar conductas horizontales anticompetitivas y, por el contrario, debe tener entre sus funciones principales la de prevenirlas de manera activa.
4 Ibid., Pág. 15.
6.2. Protección de datos personales y transparencia de la información
En abril de 2016 fue expedido el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, conocido como el Reglamento General de Protección de Datos (en adelante “RGPD”), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
El RGPD entró en vigor el 25 xx xxxx de 2018 y se distingue de las directivas en que se aplica en toda Europa sin requerir incorporación individual en cada país. Busca proteger los derechos y las libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, ya sean tratados por entidades privadas o públicas. Además de reconocer los derechos tradicionales de acceso, rectificación, cancelación y oposición, introduce dos nuevos derechos como son el “derecho al olvido”, relativo a la posibilidad efectiva de supresión de datos en la Internet, y el derecho a la portabilidad de datos, como elemento fundamental para incentivar la competencia en ciertos mercados, especialmente en donde existen agentes con posición dominante que pueden tener el incentivo de impedir dicha portación para mantener la estructura del mercado5.
Los principios orientadores del RGPD se replican en la legislación colombiana de una forma más fraccionada. El artículo 4 de la Ley 1581 de 2012 se refiere a los principios de: legalidad en materia de tratamiento de datos, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida; y seguridad y confidencialidad. En lo que se refiere a la información que no constituye datos personales, debe además analizarse la Ley 1712 de 2014 (Ley de Transparencia). Este aspecto en particular será abordado en detalle más adelante en el presente escrito.
La correcta clasificación de la información que sería tratada por el GIDI es el punto xx xxxxxxx para lograr el equilibrio en el ejercicio de su actividad, frente a las protecciones o accesos que deban aplicarse. Ahora bien, la definición sobre el concepto de información confidencial o reservada de las empresas que hagan parte del sistema no encuentra un referente legal o jurisprudencial claro y será necesario establecer reglas internas y acordadas entre los distintos agentes.
7. PRINCIPIOS ORIENTADORES XXX XXXX
A continuación, identificamos y describimos dichos principios orientadores propuestos, sin perjuicio de su coordinación con el marco regulatorio que desarrolla y ejerce la CREG en el desarrollo de sus funciones y bajo los fundamentos que rigen sus actividades regulatorias:
5 En Colombia, la empresa COMCEL fue sancionada en el 2013 por abuso de posición dominante en el mercado de voz saliente móvil, por estructurar y aplicar estrategias dirigidas a impedir la portación de usuarios utilizando su mismo número celular. Ver Resolución No. 53403 del 3 de septiembre de 2013, confirmada por la Resolución No. 66934 del 19 de noviembre del mismo año. Ambas fueron proferidas por la Superintendencia de Industria y Comercio.
Figura No. 7 Principios orientadores xxx XXXX
Fuente: Construcción propia
8. OBJETIVOS XXX XXXX
El GIDI debe tener como característica principal la de ser un agregador de valor xxx xxxxxxx y debe constituirse como un agente independiente y confiable. Para llegar a este punto, es fundamental que mantenga como eje de su actividad la innovación para el desarrollo de nuevas tecnologías en el manejo de sistemas de información, así como en las herramientas que garanticen la integridad, seguridad y disponibilidad de la información. Para el equipo de la consultoría, los siguientes deben ser los 5 objetivos estratégicos que corresponderían al gestor independiente de datos:
Objetivos xxx XXXX
Dinamizar la competencia en el mercado | Dinamizar la competencia en la comercialización de energía, poniendo a disposición de todos los usuarios y demás agentes, la información del sistema, de manera neutral y comprensible, junto con los mecanismos para el cambio y elección de las mejores alternativas disponibles. |
Optimización operativa | Optimizar la gestión de los agentes al ofrecer de forma eficiente los servicios de procesamiento, análisis y entrega de datos. |
Gestión y gobierno de datos | Garantizar la seguridad de los datos implementando las herramientas necesarias para asegurar su integridad, confidencialidad y disponibilidad, bajo los preceptos de seguridad, transparencia y protección de datos personales. |
Dinamización xxx xxxxxxx y desarrollo de nuevos servicios de información | Generar un entorno en el que, a partir de la información creada mediante el procesamiento centralizado de los datos, se identifiquen y desarrollen nuevas oportunidades de servicio y modelos de negocio. |
Protección de los derechos de los usuarios | Establecer los canales de comunicación adecuados para el correcto ejercicio de los derechos de los usuarios del servicio bajo los parámetros de la ley y la regulación al respecto. |
9. NATURALEZA JURÍDICA XXX XXXX
Son varias las opciones que podrían tomarse para establecer la naturaleza jurídica xxx XXXX, las cuales van desde no requerir que la empresa encargada sea una ESP, hasta crear una nueva actividad de conformidad con el artículo 290 de la Ley 1955 de 2019. Si bien es importante que la creación y desarrollo inicial del nuevo agente sea dinámico, sin duda, en este caso la inspección, vigilancia y control son elementos necesarios; la forma más comprensiva para abordar esta necesidad es la creación de una nueva actividad en la cadena de valor la cual deberá ser desarrollada por una persona prestadora de servicios públicos.
10. ESQUEMA DE GOBERNANZA
Entendiendo que la CREG ha propuesto la incorporación de un gestor de información que realice esta tarea de manera independiente, buscando mitigar el riesgo asociado al ejercicio de poder xx xxxxxxx por parte del operador de red o del comercializador, se propone que el esquema de gobernanza se adapte al modelo de corregulación. Para tal propósito, planteamos la posibilidad de que el gestor (GIDI) sea conjuntamente seleccionado y elegido objetivamente por los comercializadores quienes deberían suscribir un contrato para tal efecto; teniendo en cuenta criterios de eficiencia y maximización del beneficio para los usuarios, y en donde el GIDI en el marco de la regulación desarrollada por la CREG lo obligue a tratar con imparcialidad, racionalidad, neutralidad y trato no discriminatorio -junto con los demás principios orientadores- a los agentes involucrados en la gestión e implementación de sus responsabilidad y funciones.
No consideramos que el gestor deba ser directamente seleccionado y elegido por la CREG (al estilo del Reino Unido) para cumplir sus funciones pues, desde un punto de vista de gobernanza, tal grado de intervención regulatoria se aleja de una alternativa puramente de corregulación que plantea el Documento CREG 103, la cual compartimos. Adicionalmente, y para efectos de lograr los beneficios de la corregulación que plantea la misma CREG en ese documento, proponemos la creación de un comité técnico como una instancia de carácter consultivo durante el proceso de implementación y gestión xxx
XXXX; Dicho comité tiene como propósito garantizar el efecto de corregulación pretendida al promover la cooperación entre los agentes del sector que se encuentren involucrados en la implementación y posterior operación xxx XXXX. Su composición se explica más adelante.
10.1. Selección y elección xxx XXXX por parte de los comercializadores
En este escenario, la CREG por medio de intervención regulatoria, requeriría que el gestor sea seleccionado y elegido conjuntamente por los comercializadores, teniendo en cuenta entre otros, los principios orientadores de eficiencia, no discriminación, promoción de la libre competencia y protección de los derechos de los usuarios. Lo anterior, para garantizar la neutralidad y las condiciones de sana competencia. Por lo que la responsabilidad en el proceso de selección y elección xxx XXXX recaería sobre los comercializadores, siendo la misma asumida de acuerdo con la ley y la regulación que expida la CREG para tal efecto. En la siguiente figura se muestra el proceso.
Figura No. 8
Proceso de elección y selección xxx XXXX
Fuente: Construcción propia
10.2. Comité técnico consultivo xxx XXXX
Con el fin de crear una instancia de carácter consultivo cuyo propósito sería el de promover la cooperación entre los agentes del sector involucrados durante la implementación y posterior operación xxx XXXX en Colombia, se propone que la CREG, en el marco de sus funciones y en desarrollo del artículo 290 de la Ley
1955 de 2019 y de la Ley 142 de 1994, disponga de la creación de un Comité Técnico xxx XXXX (CTG). El CTG tendrá como principal función la de asesorar técnicamente a la CREG buscando que el proceso y regulación en la implementación y operación xxx XXXX sea cada vez menos complejo, aumente sus beneficios esperados y minimice los costos involucrados en beneficio de los usuarios del servicio.
El comité estaría integrado por:
• Un representante del Consejo Nacional de Operación (CNO) de su comité de distribución.
• El secretario técnico del Comité Asesor de Comercialización (CAC).
• Dos representantes de las empresas que desarrollan exclusivamente la actividad de comercialización.
• El representante del gestor xxx XXXX (cuando este fuera seleccionado).
Figura No. 9
Etapas de la creación y operación del CTG
Fuente: Construcción propia
11. CONFLICTOS DE INTERÉS Y RELACIONAMIENTO
En la medida en que el objetivo del análisis impone también identificar los conflictos de interés que surgen en desarrollo de la actividad xxx XXXX, considerando la centralización de la información y los diferentes agentes que interactuarán con el gestor, se debe partir de la caracterización de los agentes que tendrían relacionamiento con el GIDI. En la siguiente figura se identifica entonces el foco de análisis:
Figura No. 10 Esquema de relacionamiento
Fuente: Construcción propia
La figura muestra la interacción al interior de la firma que gestione el GIDI, así como el relacionamiento con los diferentes agentes xxx xxxxxxx, según el tipo de servicio que pueden requerir del Gestor.
Tabla de Relacionamiento
Agente | Tipo de relación |
Al interior del gestor | Se pueden imponer reglas de selección de los administradores que impidan que los agentes del sector de energía eléctrica puedan tener incidencia directa en el quehacer diario del Gestor, máxime si se tiene en cuenta la |
posible integración vertical que se da entre diferentes agentes de la cadena de prestación del servicio de energía eléctrica. | |
Participantes en generación | Para evitar situaciones de favorecimiento en el acceso a la información o en el tiempo de respuesta, será necesario definir condiciones homogéneas de atención de los requerimientos que realicen dichos agentes. Así mismo, para evitar el acceso a información privilegiada, también deberá identificarse claramente qué tipo de información puede suministrarse de manera agregada, cuál de manera desagregada y cuál puede resultar reservada. |
Autoridades de regulación, política pública, planeación, inspección, control y vigilancia | El regulador puede imponer reglas de reporte periódico de información, que se encuentre certificada y cuya fidelidad sea garantizada por el Gestor mismo, o por un tercero. Así mismo, las autoridades administrativas también están en capacidad de realizar requerimientos específicos de información, los cuales deben ser atendidos debidamente por parte xxx XXXX. |
Operador de red | Se considera importante contemplar reglas o bien de regulación por incentivos, de manera que el cumplimiento de las reglas regulatorias se traduzca en una eventual disminución de costos, o por el contrario de reglas que penalicen aquellas conductas del OR que dificulten, impidan o demoren la entrega de la información, más aún si se tiene en cuenta que es posible que los responsables de la red de distribución (OR), estén integrados verticalmente con los comercializadores. |
Comercializadores | Deberán también imponerse normas y protocolos de tiempos máximos de atención y remisión de la información, de manera que los comercializadores puedan cumplir las reglas regulatorias de protección de los derechos de los usuarios en materia de periodos de facturación, tiempos máximos de entrega de facturas, entre otras. |
Usuarios | El GIDI deberá gestionar las solicitudes de información, así como los requerimientos para activar el trámite de cambio del comercializador. En este escenario, el relacionamiento debe contemplar la definición clara de los derechos de los usuarios ante el GIDI, así como las obligaciones y responsabilidades del mismo ante el usuario. |
Terceros con interés | El gestor deberá contar con canales y herramientas adecuados para la solicitud y acceso a los datos y establecerá las reglas para la correcta utilización de estos con el fin de preservar su integridad. Vale aclarar que solo accederán a la información pública disponible. |
Posibles clientes | Si se utilizan datos personales en el ejercicio, será necesario que las respectivas autorizaciones incluyan de manera expresa la finalidad comercial y el destinatario de la información. Por ejemplo, si una empresa del sector real quiere conocer las tendencias de consumo de personas naturales identificadas o identificables de una zona específica, debe existir el consentimiento previo, expreso e inequívoco para dicho tratamiento, en |
donde además se incluya la posibilidad de remitir esos datos a la empresa que compraría el producto. En lo que se refiere a productos basados en información pública, debe garantizarse que la información base sobre la cual se elaboran esté disponible en la misma calidad y cantidad para cualquier agente que quiera prestar los mismos servicios y competir directamente con el GIDI. |
12. GESTIÓN DE LA INFORMACIÓN DESDE LA LEY DE TRANSPARENCIA Y EL RÉGIMEN DE PROTECCIÓN DE DATOS PERSONALES
Es necesario abordar el equilibrio que debe encontrarse entre los posibles derechos contrapuestos, así como las herramientas con las que debe contar el GIDI. Para tal fin, se propone una clasificación de datos desde 3 ópticas distintas: la Ley de Transparencia y Acceso a la Información Pública (Ley 1712 de 2014); el Régimen de protección de datos personales (Ley 1581 de 2012) y los datos que serían recolectados y gestionados en el sistema AMI.
En la siguiente figura se puede visualizar el ejercicio realizado:
Figura No. 11 Clasificación de datos e información
Fuente: Construcción propia
Es claro que el GIDI administrará y gestionará una base de datos en la cual se almacenará información que no guarda la misma naturaleza. Alguna será considerada como información de acceso pública, otra corresponderá a datos personales y también albergará información restringida por disposición constitucional o legal. Frente a la titularidad de dicha información, se tiene como regla general que aquella referente a la implementación y operación xxx XXXX y que se relacione con la prestación del servicio público es de naturaleza pública. En la consultoría se realiza una aproximación a la titularidad de la información respecto de:
• Datos de empresa
• Datos personales recolectados
• Información pública que directamente se relaciona con la prestación del servicio público
• Datos anonimizados
• Productos diseñados por el GIDI con base en la información pública
• Productos diseñados por el GIDI con base en datos personales
Probablemente el aspecto más importante es el de la definición de las responsabilidades de los agentes que harán parte del sistema, de acuerdo con los roles que plantea la ley frente a la forma en la cual son recolectados, tratados y, en general, utilizados los datos personales, esto es, los conceptos de Responsable y Encargado. El primero es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, determine, de hecho o de derecho, los fines del tratamiento y los medios para alcanzarlos; mientras que el segundo es la persona natural o jurídica, pública o privada, que por mandato conferido por el Responsable del tratamiento, efectúe una parte o todas las actividades del procesamiento de los datos. De acuerdo con lo anterior, se propone la siguiente distribución de roles:
Figura No. 12
Esquema de roles de protección de datos propuesto
Fuente: Construcción propia
La justificación de esta propuesta está basada en los siguientes aspectos:
• La relación directa con los usuarios está en cabeza de los comercializadores.
• La función de los OR es limitada a la recolección y envío de la información de conformidad con los parámetros establecidos.
• Se facilita la continuidad de la operación frente a un cambio de gestor.
Al fungir como Encargado, el GIDI mantendrá una función vinculada directamente con las instrucciones que los Responsables y la regulación dicten. Por esta razón, en caso de que se presente un cambio en la empresa a cargo de la gestión y de que sea necesario realizar una entrega de los datos a una nueva sociedad, los mismos deberán ser entregados en las condiciones y bajo las instrucciones estipuladas. En otras palabras, el gestor no tendrá la capacidad de decidir ni jurídica ni materialmente los fines y medios del tratamiento.
De manera independiente al rol que se cumpla, tanto el Responsable como los Encargados deben cumplir con los principios para el tratamiento de datos personales previstos en el artículo 4 de la Ley 1581 de 2012, además de los deberes correspondientes a su rol6. Teniendo en cuenta el contexto planteado, así como la estructura propuesta en materia de roles dentro del sistema, es fundamental que se diseñe una autorización que cumpla con los requisitos arriba enunciados y que prevea las finalidades específicas de uso de la información. Asimismo, deberá considerarse el principio de responsabilidad demostrada (Accountability) introducido por el ordenamiento en el Capítulo VI del Decreto 1377 de 2013. En este punto, es fundamental tener un programa de gestión de datos personales que cuente por lo menos con los siguientes elementos:
• Gobernanza
• Inventario de datos personales
• Políticas de Protección de datos y Avisos de privacidad
• Aspectos operacionales
• Capacitación, entrenamientos y concientización
• Seguridad de la información (elementos asociados a protección de datos)
• Gestión de riesgos con terceros
• Gestión de PQR
• Gestión de incidentes y vulneraciones de datos
• Monitoreo y evaluaciones.
6 Corte Constitucional, Sentencia C-1011 de 2008. M.P. Xxxxx Xxxxxxx Xxxxxxx.
13. CONDICIONES ESENCIALES PARA LA PRESTACIÓN DE SERVICIOS TECNOLÓGICOS CRÍTICOS
Para cumplir sus objetivos y llevar a cabo las funciones que tendrá a cargo, el GIDI deberá desarrollar un conjunto de servicios tecnológicos críticos de los que dependerá toda la operación de facturación de los comercializadores, la adecuada gestión de los datos personales y la confianza de usuarios y agentes del sector.
13.1. Programa de Gestión de Datos
El agente designado para la Gestión Independiente de Datos e Información debe definir un Programa de Gestión de Datos que le permita aumentar el aprovechamiento de datos para generar valor social y económico, en el cual se debería considerar la definición de al menos los siguientes elementos, los cuales fueron abordados de manera descriptiva por la consultoría:
• Organización de la Gestión de Datos
• Estrategia de Datos
• Gobierno de los Datos
• Calidad de Datos
• Plataforma y Arquitectura de Datos
13.2. Programa de Seguridad de la Información
Un Programa de Seguridad de la Información debe asegurar que se protege la confidencialidad, integridad y disponibilidad de la información de los activos críticos de una organización, a través de la implementación de controles de seguridad diseñados para mitigar o reducir los riesgos de pérdida, corrupción o fuga de la información. No lograr proteger de pérdida, destrucción o alteración los activos de información puede resultar en afectaciones financieras, reputacionales o de productividad. Los principales aspectos que debe cubrir este programa son:
• Políticas, estándares, guías y procedimientos de seguridad de la información
• Organización de la Seguridad de la Información
• Seguridad en los recursos humanos
• Gestión de activos de información
• Gestión de Identidades y Accesos
• Criptografía
• Seguridad Física y Ambiental
• Gestión de la Continuidad del Negocio y Recuperación de Desastres
• Seguridad de las operaciones
• Uso de servicios en la nube
13.3. Programa de Gobierno de TI Empresarial
La empresa encargada de la Gestión Independiente de Datos e Información debe establecer un Programa de Gobierno de Tecnología, que permita gestionar los requerimientos de la operación xxx XXXX. COBIT (Objetivos de Control para las Tecnologías de la Información y Relacionadas) es una guía de buenas prácticas orientadas al control y supervisión de tecnología de la información (TI), a través de dominios y procesos enfocados al control, con el fin de optimizar las inversiones de TI y asegurar la entrega del servicio. La versión 5.0 de COBIT se fundamenta en 5 principios:
• Satisfacer las necesidades de los interesados
• Cubrir la empresa de extremo a extremo
• Aplicar un solo marco integrado
• Habilitar un enfoque holístico
• Separar gobierno de administración
COBIT define las actividades de TI en un modelo genérico de cinco dominios: uno enfocado en gobernabilidad y los otros cuatro que equiparan las áreas tradicionales de TI de planificación, construcción, ejecución y monitoreo. Algunos de los componentes que se deben habilitar en el marco de la operación xxx XXXX, son: (i) evaluar, orientar y supervisar; (ii) alinear, planificar y organizar; (iii) construir, adquirir e implementar; (iv) entregar, dar servicio y soporte, y (v) supervisar, evaluar y valorar.
14. FUNCIONES Y RESPONSABILIDADES XXX XXXX
De acuerdo con los objetivos planteados, el GIDI deberá desarrollar una serie de funciones que le permitan cumplir con las responsabilidades y expectativas que hay sobre su operación. Para este propósito, se plantea el siguiente mapa de procesos:
Figura No. 13 Mapa de Procesos
Fuente: Construcción propia
La implementación de las funciones xxx XXXX se deberá llevar a cabo de forma gradual, dando prioridad a los elementos mínimos necesarios para cumplir su objetivo y su capacidad operativa, y desarrollando gradualmente mejoras, nuevas capacidades y elementos adicionales que le permitan explotar al máximo el potencial de su rol en la cadena de prestación del servicio de energía eléctrica. Para tal efecto, se propone la siguiente hoja xx xxxx:
Figura No. 14 Hoja xx xxxx propuesta
Fuente: Elaboración propia
15. IDENTIFICACIÓN DE RIESGOS
La implementación xxx XXXX conlleva una serie de riesgos, los cuales han sido abordados en gran medida en las acciones que se han propuesto en este documento. A continuación se relacionan los que se consideran más relevantes y sobre los que la consultoría realizó una propuesta de mitigación:
• Calidad de datos inadecuada
• Fuga de datos
• Cumplimiento de responsabilidades respecto a la constitución de garantías
• Cumplimiento de responsabilidades respecto a los mecanismos de solución de controversias ente el GIDI y los comercializadores
• Cumplimiento y responsabilidades respecto del procedimiento de intercambio de información
• No acceso de la CREG a la información xxx XXXX por ser confidencial
• Brecha de seguridad con datos personales
• Incumplimiento de las obligaciones de atención de PQR
• Riesgos de competencia
• Transición de salida xxx XXXX
• Uso inapropiado de datos personales
• Demora en la implementación de los servicios esenciales
• Errores en la operación manual
• No generación de valor con los datos
• Regulación excesiva
• Infraestructura tecnológica con capacidad insuficiente
• No disponibilidad xxx XXXX
• Riesgo de la Lock in
• Riesgo de la Lock out
• Vulnerabilidad de seguridad
16. DESARROLLO DE NUEVOS SERVICIOS DE INFORMACIÓN
Como parte estructural de la propuesta de diseño xxx XXXX, se considera que debe contar con una función de desarrollo de nuevos servicios de información a partir de los datos que procesará. La generación de dicha información se hará aplicando técnicas avanzadas de análisis de datos a los conjuntos de datos estructurados y no estructurados que se recopilen de la medición de consumo. Para analizar la información que el GIDI podría desarrollar a partir de los datos que procesará, se puede adaptar el modelo ascendente de analítica xx Xxxxxxx (Maoz, 2013), descrito en la siguiente figura:
Figura No. 15
Grados progresivos de analítica de datos
Fuente: Elaboración propia con adaptación (Maoz, 2013)
Esta clasificación nos permite analizar posibles innovaciones en el procesamiento de los datos y generación de información que pueden crear valor a diferentes agentes de la cadena de prestación de servicio, dependiendo de su rol y objetivos particulares. En el cuadro que se presenta a continuación se han descrito algunos ejemplos de nuevos servicios que el GIDI podría desarrollar:
Analítica | Descriptiva | Diagnóstica | Predictiva | Prescriptiva |
Comercializadores | - Perfilamiento y agrupamiento de usuarios. | - Caracterización e identificación de patrones de comportamiento. - Identificación de motivadores de consumo. - Identificación de oportunidades potenciales a partir de patrones de consumo. | - Pronóstico de consumo con base en perfil y comportamiento previo. - Alertas proactivas sobre variaciones anormales de consumo que impacten facturación. | - Disparador de campañas orientadas a mejorar la experiencia del cliente (servicios, tarifas), con base en el comportamiento futuro esperado. |
Usuarios | - Descripción de patrones de consumo. - Comparación de patrones de consumo con perfiles similares. | - Identificación de oportunidades de optimización de consumo. | - Pronóstico de facturación. - Alertas sobre oportunidades de optimización aplicables a pronóstico. - Alertas proactivas sobre variaciones anormales de consumo que impacten facturación. | - Ajuste automático de tarifas o comercializadores con base en pronóstico de consumo. |
Distribuidores | - Descripción del comportamiento de consumo y red. | - Identificación xx xxxxxx y pérdidas | - Pronóstico de carga de red y variaciones. | |
Otras Partes Interesadas | - Descripción general de consumo por sectores y segmentos. - Categorización y perfilamiento de usuarios. | - Identificación de patrones de comportamiento. - Correlación de variables de entorno en el comportamiento de consumo. | - Pronóstico de consumo futuro y definición de segmentos xx xxxxxxx. | - Segmentación y acceso a clientes potenciales con base en correlación de variables. |
Entidades Públicas | - Descripción general del comportamiento de distribución y consumo. | - Correlación de variables de entorno en el comportamiento de consumo para diagnóstico y definición de políticas. - Modelamiento para la validación de hipótesis de correlación para análisis económico y social. | - Pronóstico para planeación y toma de decisiones. | - Generación de modelos dinámicos de segmentación y clasificación para toma de decisiones, aplicación de beneficios, inversiones, etc. |
Este resumen ejecutivo presenta los aspectos que se evaluaron en la consultoría. En el informe se encuentra un análisis detallado de los elementos que se consideraron para llegar a las propuestas presentadas, entre los que están documentos y resoluciones expedidos por la CREG, documentos generados por agentes del sector, xxxxxx de referencia sobre protección de datos, gobernanza y tecnología, entre otros. Con la información provista allí, se da el contexto necesario para el diseño detallado y la regulación del Gestor Independiente de Datos e Información.