CONTRATO CREG 2020 -067 ENTRE
CONTRATO CREG 2020 -067 ENTRE
LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS Y XXXXXX XXXXXXX XXXXX XXXXXX
CONSULTORÍA PARA LA DEFINICIÓN DE LA ACTIVIDAD DE GESTIÓN INDEPENDIENTE DE DATOS E INFORMACIÓN Y EL DISEÑO GENERAL DEL AGENTE QUE REALIZARÍA LA ACTIVIDAD
PRODUCTO 1
REFERENTES INTERNACIONALES - REVISIÓN DE LA DEFINICIÓN PROPUESTA EN LA RESOLUCIÓN 131 DE 2020 PARA LA ACTIVIDAD DE GESTIÓN INDEPENDIENTE DE DATOS E INFORMACIÓN
DESCRIPCIÓN Y ALCANCE DEL CONTRATO
El 29 de septiembre de 2020, la Comisión de Regulación de Energía y Gas (en adelante “CREG”) adjudicó a Xxxxxx Xxxxxxx Xxxxx Xxxxxx, como persona natural, el contrato 2020-060 el cual tiene como objeto apoyar la definición de la actividad de la Gestión Independiente de Datos e Información (en adelante también “GIDI”), y el diseño general del agente que realizará la actividad, denominado GIDI, como elemento integral y fundamental para la implementación de la Infraestructura de Medición Avanzada.
El alcance del contrato se desarrolla en 3 entregables, distribuidos a lo largo de su ejecución, cuyas actividades se enuncian a continuación:
• Primer entregable (Producto 1)
Se realizará una revisión de la propuesta contenida en la Resolución 131 de 2020 para la actividad de Gestión Independiente de Datos e Información. Para tal efecto, a partir de la mencionada resolución, de los comentarios recibidos a la propuesta, los documentos elaborados por los diferentes grupos de interés, los referentes internacionales, los modelos relevantes y la estructura del sector, la consultoría deberá proponer ajustes necesarios a la definición de la actividad de Gestión Independiente de Datos e Información. Asimismo, deberá considerarse la propuesta de Gestor Independiente de Datos e Información.
• Segundo entregable (Producto 2)
A partir de la Resolución CREG 131 de 2020, de los comentarios recibidos a la propuesta, los documentos elaborados por los diferentes grupos de interés, los referentes internacionales, los modelos relevantes y la estructura del sector y, con fundamento en las facultades legales asignadas a la CREG, el consultor deberá proponer el diseño general del agente que realice la Gestión Independiente de Datos e Información. Dicho diseño debe incorporar al menos los siguientes elementos: (i) Funciones; (ii) Responsabilidades; (iii) Esquema de gobernanza; (iv) Conflictos de Interés y reglas de relacionamiento; (v) identificación de riesgos; (vi) Requisitos de protección de datos acorde con la normativa y; (vii) Condiciones sobre la titularidad de la información.
• Tercer entregable (Producto 3)
Se realizará un taller virtual con las partes interesadas (convocado por la CREG), con el fin de presentar las propuestas de la consultoría. Además, se elaborará un documento final en el que se atenderán los comentarios recibidos.
Si bien el contrato fue adjudicado a una persona natural, para su ejecución se solicitó la conformación de un equipo de trabajo multidisciplinario con experiencia y preparación en las distintas áreas fundamentales para la tarea encargada.
El presente documento corresponde al primer entregable del contrato, para el cual se han sostenido 3 reuniones virtuales con el equipo de la CREG.
EQUIPO DE TRABAJO
Xxxxxx Xxxxxxx Xxxxx Xxxxxx
Xxxxxx Xxxxx Xxxxxx Xxxxxx Xxxxxx Xxxxxxxxxxx Xxxxx Xxxxx Xxxxxxx Xxxxx Xxxxxxx
Xxxxx Xxxxxx Xxxxxxx
Tabla de contenido
DESCRIPCIÓN Y ALCANCE DEL CONTRATO 2
2. CONTEXTUALIZACIÓN NORMATIVA SOBRE LA PROPUESTA XXX XXXX CONTENIDA EN LA RESOLUCIÓN CREG 131 DE 2020 7
2.1. Smart Grids Colombia Visión 2030 (2016) 9
2.2. Proyecto de Implementación de Infraestructura de Medición Avanzada, AMI para Colombia - Carbon Trust (2017) 10
2.3. Documento CREG 077 de 2018 11
2.4. Misión de Transformación Energética y Modernización de la Industria Eléctrica: Hoja xx xxxx para la energía del futuro (2020) 12
2.5. Apoyo en el Estudio y Elaboración de las Bases para Proponer el Agente que debe Desarrollar la Implementación de la Infraestructura de Medición Avanzada – Universidad Tecnológica xx Xxxxxxx UTP (2019) 13
2.6. Documento CREG 103 de 2020 14
3. REFERENTES INTERNACIONALES 16
3.1. Modelos de Gestor Independiente 17
3.1.1. Xxxxx Unido (DCC) (Smart DCC, s.f.) 20
3.1.2. Noruega (Elhub) (Markedsdokumentasjon, 2020) 21
3.2. Funciones y Responsabilidades 26
3.2.2. Gestión de Datos y Telecomunicaciones 28
3.2.3. Comparación de tarifas de comercializadores 34
3.2.4. Proceso de cambio de proveedor (Switching Process) 39
3.3.1. Xxxxx Unido (Licencia) 46
3.6. Manejo de la información y Protección de datos personales 52
4. REFERENTES NACIONALES - ADMINISTRADOR DE BASES DE DATOS ABD 63
4.1. Marco regulatorio en materia de portabilidad numérica móvil (PNM) 64
4.2. Antecedentes regulatorios para la implementación de la BDA y creación del ABD 67
4.2.1. Definiciones, naturaleza y funciones 67
4.2.2. Esquema de gobernanza 69
4.2.3. Resolución de conflictos de interés y reglas de relacionamiento 70
4.2.4. Identificación de riesgos 72
4.2.5. Requisitos en materia de protección de datos personales y sus relaciones de titularidad sobre la información 73
4.3. Estado actual del funcionamiento del ABD y de la BDA para garantizar la portabilidad numérica móvil 76
4.3.1. Requisitos en materia de datos y relaciones de titularidad sobre la información 76
4.3.2. Esquema de gobernanza 78
4.3.3. Resolución de conflictos de interés y reglas de relacionamiento 79
4.3.4. Identificación de riesgos 80
4.3.5. Respecto a la información que se intercambia en el procedimiento de portación 81
4.4. Aplicación del régimen de protección de datos a la PNM 83
5. CUADRO COMPARATIVO BASADO EN LOS REFERENTES 86
6. RESOLUCIÓN CREG 131 DE 2020 88
6.1. Comentarios estructurales por parte de los agentes del sector 88
6.2. Protección de la Competencia 91
6.3. Protección de datos personales y transparencia de la información 93
6.3.1. Protección de Datos Personales 95
6.3.2. Respecto de información que no corresponde a datos personales 101
7. SUGERENCIAS DE AJUSTES Y ELEMENTOS A CONSIDERAR EN LA ACTIVIDAD Y DISEÑO XXX XXXX 105
7.1. Respecto a los principios orientadores de la actividad ejercida por el GIDI 105
7.2. Respecto a la inclusión de algunas definiciones o temas nuevos a discutir 105
7.3. Respecto a la integralidad de la información 107
7.4. Respecto al cambio de comercializador y la experiencia de portabilidad 108
BIBLIOGRAFÍA 111
De conformidad con el alcance del contrato y la estructura metodológica acordada con la CREG, es necesario partir de la contextualización de la propuesta xxx XXXX, como elemento fundamental de la Infraestructura de Medición Inteligente (AMI por sus siglas en inglés). Para tal efecto, deben analizarse las características estructurales de su composición, las cuales no dan lugar a interpretación o modificación. Por esta razón, como inicio del presente escrito se realizará un recorrido por las distintas normas y estudios relacionados, con el fin de identificar aquellas aproximaciones relacionadas exclusivamente con la Gestión Independiente de Datos e Información GIDI.
En una segunda parte, se realizará una referencia a los países con experiencias en la gestión independiente de datos, con el fin de obtener una visión internacional que permita extraer posibles recomendaciones en cuanto a la estructuración y puesta en marcha en Colombia. Los países sobre los que se realizará el análisis son: Australia, Xxxxx Unido y Noruega. Igualmente, con el fin de plantear una experiencia más cercana a Colombia, con características y situaciones similares en cuanto a implementación y posibles problemas a resolver, se hará una descripción detallada de lo que ha sido el Administrador de Bases de Datos (ABD) en el mercado de las comunicaciones móviles, el cual se encarga de manejar el esquema de portabilidad numérica móvil y las bases de datos positivas y negativas que hacen parte de la política de combate al hurto de aparatos móviles.
Un tercer bloque, relacionará aquellos artículos de la Resolución CREG 131 de 2020 que se refieren al GIDI, con el objeto de analizar los comentarios del sector, principalmente en cuanto a la estructura y funciones propuestas por la CREG. Como parte de este ejercicio, se hará énfasis en 3 aspectos coincidentes en varios de los comentarios presentados, los cuales no solo se relacionan con el funcionamiento mismo del nuevo agente propuesto, sino que constituyen los principales puntos focales en cuanto a políticas de prevención y cumplimiento: (i) manejo de los datos e información personal y empresarial; (ii) ciberseguridad y (iii) protección de la libre competencia en el esquema.
Finalmente, se presentarán las conclusiones sobre la primera etapa de la consultoría y se propondrán los ajustes y/o modificaciones que se consideran necesarios a la definición de la actividad de Gestión Independiente de Datos e Información, prevista en la Resolución 131 de 2020 expedida por la CREG.
Como parte del análisis propuesto por esta consultoría, se considera útil realizar un recorrido por las normas y documentos más relevantes que sustentan el AMI, con el fin de establecer el grado de detalle con el que se ha abordado al Gestor Independiente de Datos e Información y también señalar las características que se esperan de dicho agente.
Si bien la Ley 142 de 1994 hace referencia a la relación entre prestadores de servicios públicos y usuarios, así como con la medición y equipo de medida en dicha prestación, en realidad el referente principal desde el punto de vista legislativo en cuanto a la gestión eficiente de energía es la Ley 1715 de 2014, en cuyo objeto se consagran como elementos de dicha gestión la eficiencia energética y la respuesta de la demanda. Asimismo, en sus finalidades se reitera la necesidad de desarrollar y promover mecanismos de gestión eficiente y se insta para que, en búsqueda de este objetivo, se propicien espacios de cooperación entre el sector público, el sector privado y los usuarios. El artículo 8º de la ley, crea los mecanismos que deben ser considerados por el Gobierno Nacional para la autogeneración a pequeña y gran escala y la generación distribuida, entre los que se encuentran la entrega de excedentes, la medición bidireccional, la venta de energía por parte de generadores distribuidos y las transacciones con créditos de energía. No obstante, la norma no realiza una aproximación detallada en cuanto a posibles nuevos agentes en el sector como puede ser el caso xxx XXXX.
El Decreto 1073 de 2015 fue elaborado en el marco de la política de unificación normativa sectorial del Gobierno Nacional y compila las normas reglamentarias del Sector Administrativo de Minas y Energía. De la misma manera, las normas posteriores deben adicionarse al decreto compilatorio como es el caso del Decreto 348 de 2017 relativo al establecimiento de los lineamientos de política pública en materia de gestión eficiente de la energía y entrega de excedentes de autogeneración a pequeña escala. La relevancia de esta norma para los efectos del AMI, la constituye el artículo 2.2.3.2.4.6 según el cual se encarga al Ministerio de Minas y Energía para que establezca e implemente los lineamientos de política energética en materia de sistemas de medición, así como la gradualidad con la que se deberán poner en funcionamiento y se insta a que el encargo en cuestión se realice con fundamento en los estudios técnicos que sus entidades adscritas elaboren.
En cumplimiento de lo preceptuado por el Decreto 1073 de 2015, el Ministerio de Minas y Energía expidió la Resolución No. 40072 de 2018, en virtud de la cual se establecieron los mecanismos para implementar la Infraestructura de Medición Avanzada en el servicio público de energía eléctrica. Se trata del primer referente normativo que se dedicó exclusivamente a desarrollar el concepto de AMI, delimitando sus objetivos, funcionalidades básicas, implementación y responsables de la misma, entre otros aspectos sustanciales.
En este caso, si bien no se realizó por parte del ministerio un análisis sobre la existencia o no de un agente encargado del manejo de los datos, sí se pueden extraer varios aspectos que deben considerarse de la
esencia del proyecto y, por ende, xxx XXXX. Uno de los objetivos planteados en la resolución es la dinamizar la competencia en la comercialización minorista de energía eléctrica, lo que implica que dentro del esquema a implementar y, en consecuencia, en el diseño del gestor que administra las bases de datos, debe primar la neutralidad en la información y la no discriminación. Esto bajo el entendido de que dicha información se constituye como un elemento esencial para la participación en el mercado.
Otro elemento sustancial que guarda relación con la dinamización de la competencia es la puesta de la información relevante del sistema a disposición de los usuarios. Esto permitirá implementar herramientas de economía del comportamiento que finalmente traen como consecuencia a un consumidor empoderado con posibilidad de alterar positivamente la estructura xxx xxxxxxx. El agente administrador de la información debe considerar esta función como uno de sus principales objetivos. La ciberseguridad, entendida como el intercambio seguro de datos, se constituye como otro de los pilares del sistema que deben primar en su estructuración e implementación. Lo mismo ocurre con la protección de los datos personales de los usuarios.
Xx Xxxxxxxxxx Xx. 00000 de 2018 fue modificada en dos ocasiones por las resoluciones 40483 de 2019 y 40142 de 20201. En la primera de ellas, se realizaron varios ajustes relacionados con la gradualidad de la implementación, interoperabilidad y promoción de la eficiencia en costos. Además, se ajustaron aspectos que guardan relación directa con la existencia de un gestor para el manejo de los datos del sistema. En el siguiente cuadro, es posible visualizar dichos cambios:
Resolución No. 40072 de 2018 | Resolución No. 40483 de 2019 |
ART. 7º Agentes responsables de la implementación de AMI. Los Operadores de Red serán los responsables de la instalación, administración, operación, mantenimiento y reposición de la Infraestructura de Medición Avanzada, distinta de los medidores avanzados de energía eléctrica, según la regulación que emita la Comisión de Regulación de Energía y Gas (CREG). Parágrafo. La Comisión de Regulación de Energía y Gas (CREG) definirá el agente responsable del suministro, instalación, administración, operación, mantenimiento y reposición del medidor avanzado de energía eléctrica, que podría ser el Operador de Red. | ART. 7º Responsables de la implementación de AMI. La Comisión de Regulación de Energía y Gas, CREG, determinará los responsables de la instalación, administración, operación, mantenimiento y reposición de la Infraestructura de Medición Avanzada considerando la independencia e imparcialidad para el desarrollo de esas actividades. En todo caso, el análisis que realice la CREG para tal efecto podrá considerar en primera instancia al operador de red. En el caso que la CREG determine como responsable a un agente diferente al operador de red, esta deberá sustentar su decisión en documento soporte con un análisis técnico- económico. |
ART. 11. Interoperabilidad. La Comisión de Regulación de Energía y Gas (CREG), establecerá las condiciones que permitan la interoperabilidad de los distintos componentes de la infraestructura de medición avanzada, incluso entre diferentes operadores de red. | ART. 11. Interoperabilidad. La Comisión de Regulación de Energía y Gas, CREG, establecerá las condiciones que permitan la interoperabilidad de los distintos componentes de la infraestructura de medición avanzada, incluso entre diferentes agentes. |
1 No se realiza un análisis específico de esta resolución debido a que la misma se limitó a modificar unos plazos previstos en la Resolución 40072 de 2018.
ART. 12. Ciberseguridad, manejo, uso y protección de datos. La Comisión de Regulación de Energía y Gas (CREG), establecerá los requisitos de ciberseguridad, manejo, uso y protección de datos que garanticen un adecuado funcionamiento de la infraestructura de medición avanzada, y la privacidad de la información que genere la misma. De igual manera, la CREG definirá los requisitos y procedimientos para el acceso a la información de la AMI por parte de otros agentes del sector que la requieran, en el marco de las normas de protección de datos personales. | ART. 12. Ciberseguridad, manejo, uso y protección de datos. La Comisión de Regulación de Energía y Gas, CREG, establecerá los requisitos de ciberseguridad, manejo, uso y protección de datos que garanticen un adecuado funcionamiento de la Infraestructura de Medición Avanzada, y la privacidad de la información que genere la misma. De igual manera, la CREG definirá los requisitos y procedimientos para el acceso a la información de AMI por parte de otros agentes del sector que la requieran, en el marco de las normas de protección de datos personales. Lo anterior, de acuerdo con los siguientes principios de gobernanza de los datos: propiedad, uso adecuado, garantía de acceso, almacenamiento y responsabilidad de la información. |
De lo cambios realizados, es posible visualizar la intención de plantear la alternativa de que pueda operar un agente independiente, ajeno a los Operadores de Red. Asimismo, es la CREG la encargada de decidir cuál es la mejor opción luego de realizar los estudios correspondientes. Por otra parte, en cuanto al manejo de información, entre la que se encuentra lo relacionado con datos personales de los usuarios, se establecen como principios de gobernanza los de propiedad, uso adecuado, garantía de acceso, almacenamiento y responsabilidad de la información.
Dentro de la parte considerativa de la Resolución 40072 de 2018 se hace referencia a 3 estudios que abordaron el AMI, todos desarrollados por la Unidad de Planeación Minero Energética (UPME). El primero, denominado “Smart Grids Colombia Visión 2030” (2016) el cual se trabajó con el Banco Interamericano de Desarrollo – BID. El segundo estudio, llamado “Medición de las funcionalidades mínimas de medidores inteligentes para Colombia”, realizado con la Universidad Nacional de Colombia - Sede Bogotá; Y el tercero, elaborado en conjunto con The Carbon Trust: “Proyecto de Implementación de Infraestructura de Medición Avanzada, AMI para Colombia”. A continuación, se describirán las principales recomendaciones que dichos estudios plantean y que, de manera directa o indirecta, tienen relevancia en la actividad de gestión independiente de datos.
Finalmente, en lo que respecta a las facultades con que cuenta la CREG, es fundamental mencionar la Ley 1955 de 2019, por la cual se expidió el Plan Nacional de Desarrollo 2018-2022. Allí, expresamente se otorgaron facultades a la entidad para que - con el fin de garantizar la prestación eficiente de los servicios de gas combustible, energía eléctrica y alumbrado público, así como promover la libre competencia y proteger a los usuarios en estos- puedan ser definidas nuevas actividades o eslabones en la cadena de prestación de los servicios, sujetas a la regulación vigente.
2.1. Smart Grids Colombia Visión 2030 (2016)
El objetivo general del estudio fue identificar las estrategias y regulaciones necesarias para la implementación de las redes inteligentes (RI) en el país. Para tal efecto, se revisaron referentes de países y un análisis de los avances en proyectos similares. Se buscó proporcionar la determinación xx xxxxxxxx y oportunidades de desarrollo, la descripción de tecnologías más aptas y el conjunto de pasos a seguir en la implementación. El estudio consistió en 4 componentes a saber: (i) factibilidad técnica y económica de tecnologías de RI para el sector eléctrico colombiano; (ii) estudio para elaborar recomendaciones a nivel regulatorio y de política para el desarrollo de las RI en el sector eléctrico colombiano; (iii) difusión y promoción de los RI en Colombia y (iv) metodología para la evaluación de proyectos piloto de RI en Colombia.
En este estudio no se hace una referencia específica a la creación de un agente para la gestión de datos, así como tampoco se propone como acción regulatoria para crear un nuevo eslabón en la cadena de valor. No obstante, hace referencia a recomendaciones estructurales, las cuales consideramos deben ser tenidas en cuenta hoy en día por el agente que tenga la responsabilidad de administrar la información recolectada del sistema. En primer lugar, se reconoce la necesidad de dinamizar la comercialización de energía y plantea la existencia xx xxxxxxxx de entrada estructurales para nuevos agentes (Smart Grids Colombia Visión 2030 - Parte IIIA). Al respecto, se plantea que el envío de información masiva a través xx xxxxxxx de telecomunicaciones tiene la potencialidad de incrementar la competencia en comercialización ya que este tipo de lectura remota reduce significativamente las economías de escala. Si bien el estudio no lo menciona, esta es una de las razones principales para que quien administra la información sea independiente y no tenga vínculos de negocio o conflictos de interés con los agentes incumbentes.
Un segundo aspecto, lo representa la relevancia con la que es tratado a través del estudio el régimen de protección de datos personales (Smart Grids Colombia Visión 2030 - Parte IIIB). Luego de hacer una descripción normativa sobre el tema, el estudio concluye que, a pesar de existir un régimen sólido en el país, es necesario realizar una clasificación de datos en el sector energético con el fin de establecer cuáles de estos son personales y cuáles no, qué tratamiento se le debe dar a los datos de personas jurídicas y señala que todos los agentes del sector están sujetos a las obligaciones de la Ley 1581 de 2012. Asimismo, recomienda determinar qué información es considerada pública y qué información es reservada para efectos de posibles riesgos desde el punto de vista de competencia. Finalmente, reitera la necesidad de abordar el tema de la seguridad de la información como una de las prioridades del proyecto y describe el desarrollo del tema en el régimen colombiano.
Este estudio se centró en evaluar 3 aspectos específicos relacionados con la implementación del AMI: (i) priorización de las necesidades del país y visualización de resultados del sistema desde las distintas tecnologías; (ii) revisión de experiencias internacionales en cuanto a la expansión de infraestructura y,
(iii) un análisis de costo-beneficio sobre 3 escenarios distintos de implementación. En cuanto a este último punto, los escenarios planteados fueron los siguientes:
• Escenario 1 - Expansión Nacional Gradual: 15 años de despliegue, donde los primeros 2 años se dedican para garantizar la interoperabilidad del sistema y la presencia de economías de escala en la adquisición de los equipos.
• Escenario 2 - Expansión Nacional Acelerada: 7 años de expansión acelerada, donde los primeros 2 años son dedicados a definir un estándar nacional para garantizar la interoperabilidad del sistema y la presencia de economías de escala en la adquisición de los equipos.
• Escenario 3 - Empresa por empresa: Expansión inmediata que no contempla estándares nacionales y donde cada empresa define y ejecuta su propio plan de expansión durante 15 años.
La recomendación del estudio frente a los escenarios de implementación planteados fue la del Escenario 2: Expansión Nacional Acelerada. Adicionalmente, dicho estudio hace referencia a 4 aspectos fundamentales para una implementación exitosa del AMI: (i) manejo de información; (ii) interoperabilidad; (iii) ciberseguridad y, (iv) infraestructura combinada. Frente al manejo de la información se recomienda que, con base en las experiencias analizadas específicamente la xxx Xxxxx Unido, para facilitar la competencia minorista de electricidad en Colombia, debería estructurarse una entidad centralizada de manejo de información como la establecida en dicho país, la cual idealmente debería estar coordinada con las políticas de protección de información de los consumidores2. En cuanto a ciberseguridad, se señala que establecer una organización para el manejo de la información podría permitir que Colombia tenga una entidad responsable de la ciber-seguridad y se propone la norma ISO 27001 para todos los agentes involucrados. A pesar de estas dos recomendaciones, el estudio no hace una aproximación detallada sobre la estructuración o diseño de la organización de la entidad centralizada.
Luego de realizar la revisión del estudio “Medición de las funcionalidades mínimas de medidores inteligentes para Colombia” se encontró que su alcance estaba delimitado a las características técnicas de los medidores inteligentes, tema que a pesar de su importancia excede el objeto del presente estudio.
Como parte del presente análisis de contextualización, es necesario referirse a los documentos elaborados por la Misión de Transformación Energética y Modernización de la Industria Eléctrica, ya que en ellos no solo se plasman principios generales aplicables al AMI, sino que se hace mención específica a ciertos aspectos que pueden guardar relación con la estructuración xxx XXXX. Veamos:
2.3. Documento CREG 077 de 2018
El objetivo de este documento era establecer los objetivos generales, específicos y operacionales para la regulación del AMI. En el mismo se propone como el problema a resolver: “la ausencia de normatividad que permita implementar la Infraestructura de medición avanzada en el Sistema Interconectado Nacional (…)”. Como uno de los elementos de análisis se plantea la gestión y uso de la información, frente al cual se reconoce que la información que se recoge del sistema tiene el potencial de incrementar los niveles
2 Página 46 del estudio
de competencia en el mercado, obviamente bajo el respeto de las normas sobre protección de datos personales.
Se describen dos tipos de modelos basados en las experiencias internacionales. Por una parte, el modelo centralizado, en donde un solo agente (ya presente en el mercado o tercero) se encarga de la recuperación, validación, almacenamiento, protección, procesamiento, distribución y acceso a los datos. Por la otra, se presenta un modelo parcialmente centralizado que se limita a la distribución y acceso a los datos, sin incluir captura, almacenamiento, validación y protección de datos pero que sí tiene un punto de acceso a la información que se almacena en las diferentes bases de datos. A pesar de que en este documento no se efectúa un análisis específico sobre lo que es la figura del gestor independiente de datos, se encuentran referencias importantes sobre la justificación del sistema en general; entre ellas, la generación de condiciones de competencia en el mercado de comercialización y, como uno de los aspectos esenciales del AMI, el respeto a los consumidores y al régimen de protección de datos personales.
Este conjunto de estudios elaborados con auspicio del Banco Interamericano de Desarrollo – BID y el Banco Mundial – BM se desarrolló en 5 focos fundamentales: (i) competencia, participación y estructura xxx xxxxxxx eléctrico; (ii) abastecimiento, comercialización, transporte, almacenamiento, regasificación, demanda, aspectos institucionales y regulación de gas natural; (iii) descentralización y digitalización de la Industria y la gestión eficiente de la demanda (en este foco también se incluyó un documento denominado “hoja xx xxxx regulatoria para un desarrollo más eficiente de los recursos distribuidos”); (iv) cierre de brechas, mejora de la calidad y diseño y formulación eficiente de subsidios y, (v) revisión del marco institucional y regulatorio.
De los anteriores documentos, se encuentran referencias a la existencia de posibles administradores de datos en el sistema AMI en los focos (iii) y (iv).
En el Foco (iii) se menciona, como uno de los mecanismos necesarios para la implementación del AMI, el Centro de gestión de medida, el cual estaría encargado de recibir la información y almacenarla, previo a un proceso de validación. Se recomienda que deben ser analizados en detalle los objetivos del AMI antes de su puesta en marcha con el fin de considerar la relación costo-beneficio. Del mismo modo se afirma en el documento que la implementación, operación y mantenimiento de la infraestructura AMI, sea responsabilidad de los operadores de red y que el sistema debe darles participación a los clientes de los beneficios que puedan derivarse del uso de la información por parte de terceros (Foco 3, fase I: Descentralización y Digitalización de la Industria y la Gestión Eficiente de la Demanda, 2019).
Por otra parte, en cuanto al manejo de los datos del sistema, se recomienda que la CREG establezca criterios para determinar qué tipo de datos deben ser tratados de forma confidencial, así como el canal a
través del cual se deben poner a disposición de los agentes del sistema. También se menciona la protección que debe haber sobre la información confidencial de las empresas.
El Foco (v), por su parte, es mucho más preciso al señalar que con las distintas políticas de modernización del sector, surgirán una serie de agentes descentralizados que se dedicarán a prestar servicios competitivos de distribución y que en algunos casos facilitarán mercados donde los usuarios y generadores puedan transar energía de manera directa. Dentro de este grupo de agentes se encuentra el Administrador de Información de Medidores Inteligentes —AIMI cuyo objetivo principal sería el de resguardar la información confidencial y de los usuarios del sistema. Se trata de un agente regulado monopólico que comunicaría los datos de los distintos agentes. De acuerdo con la propuesta, el AIMI se limitaría a desarrollar la función de gestión de medidores, lectura, liquidación ente los Operadores del Sistema y los agentes que utilizan la red de distribución (Documento Foco 5: Institucional y Regulatorio).
El eje central del estudio realizado por la UTP es el análisis cualitativo de las distintas opciones de implementación del AMI y la creación de un nuevo agente en el mercado encargado de la gestión de datos. Se describen en el documento las siguientes 4 opciones en donde se recomienda que el despliegue lo realicen los Operadores de Red (OR). En el siguiente cuadro se pueden observar las características generales de cada una de las opciones analizadas en el estudio.
Opción 1 | Se trata de un modelo descentralizado en donde el OR se responsabiliza por la implementación del sistema AMI. Así, la información originada está disponible en diferentes bases de datos a las que se puede acceder en portales web. De esta manera existirán portales web para cada uno de los mercados de comercialización. |
Opción 2 | Es un modelo centralizado que propone la creación de 1 agente con dos funciones. Por una parte, la gestión de comunicaciones y por la otra, la gestión de datos. En este caso, todos los datos generados por el AMI se encuentran concentrados en una sola base de datos a disposición de los agentes y usuarios en un único portal web. |
Opción 3 | En este modelo se tiene una actividad centralizada de almacenamiento de datos cuya responsabilidad es del gestor de datos y las demás actividades alrededor del sistema AMI se delegan a un operador de red para cada mercado de comercialización. Existe una sola base de datos, pero en este caso, cada mercado tiene la posibilidad de tener una copia propia de su información. El gestor de datos no solo centraliza la información, sino que ejerce otro tipo de funciones de promoción y exploración de nuevos modelos de negocio a partir de la información recolectada. En esta opción el comercializador realiza la facturación y liquidación. |
Opción 4 | A pesar de que, en este caso, la actividad de almacenamiento de datos es descentralizada y de responsabilidad de un operador de red, el acceso a los datos se realiza a través de un único portal web con lo cual se centralizan las consultas de información. Se plantea como una extensión de la opción 1 pero con un medio centralizado de acceso a la información. En este caso no hay presencia de un gestor de información. |
Luego de realizar un análisis comparativo entre los modelos expuestos y, con base en criterios relacionados con el acceso de datos, competencia, legales, costos, sinergias y flujos de información, se concluye en el estudio que la opción 3 es la más adecuada para Colombia. En cuanto a la distribución de responsabilidades, se plasman las siguientes:
• El Operador de Red debe ser el responsable de instalar, administrar, operar y mantener la unidad de medida, unidad concertadora, sistema de gestión y operación.
• La lectura, validación y transporte de la información para el mercado de comercialización es el Operador de Red.
• El almacenamiento y protección de los datos recolectados debe ser un gestor de datos.
• El responsable para efecto de facturación y liquidación para un usuario debe ser el comercializador.
• La gestión de promover la competencia y generar insumos en el mercado de la comercialización es el gestor de datos. Asimismo, debe encargarse de ofrecer los datos adecuados al usuario final con el fin de que este tome decisiones informadas.
Además del análisis y conclusión sobre las opciones planteadas, la UTP también realiza una aproximación a la titularidad y protección de los datos personales e información confidencial en el sistema y hace referencia al régimen de protección de datos personales como un elemento fundamental para el correcto funcionamiento del sistema.
2.6. Documento CREG 103 de 2020
Se trata del documento que integra los aspectos que fundamentan la propuesta contenida en la Resolución 131 de 2020, razón por la cual es esencial para analizar la figura del Gestor Independiente de Datos e Información.
Como problemática regulatoria se identifica la dificultad para el despliegue eficiente del AMI, con lo cual se permita obtener los beneficios esperados y se consolide una coordinación ente los mercados de comercialización y el SIN. De igual manera, se establece como uno de los objetivos de la regulación el de dinamizar la competencia en la comercialización minorista de energía eléctrica y generar nuevos modelos de negocios y servicios. Para la CREG, el eje del sistema es la habilitación de la bidireccionalidad usuario
– prestador, así como la generación y puesta en disposición de información relevante a todos los agentes del sector y a terceros con el fin de utilizarla para mejorar el servicio.
El documento retoma los 4 modelos de implementación presentados por las Universidad Tecnológica xx Xxxxxxx y hace una comparación entre ellos, para lo cual utiliza 5 dimensiones: (i) competencia; (ii) libre acceso a información; (iii) esfuerzo estatal; (iv) eficiencia en costos y, (v) gestión adecuada de información. La conclusión, para efectos de la propuesta regulatoria, fue la de plantear el modelo 3 en donde existe una actividad centralizada de datos a cargo de un nuevo agente en el sector. Bajo este esquema el Operador de Xxx es el responsable de recolectar, consolidar y entregar al Gestor Independiente de Datos e Información (GIDI) la información del usuario. En ejercicio de la función de recolección, el Operador de Red debe garantizar la integralidad de los datos. En lo que respecta a las responsabilidades xxx XXXX, se plantean las siguientes:
• Centralizador de la información y encargado de la integralidad de los datos.
• Desarrollador de nuevas plataformas disponibles en cualquier dispositivo y diseñadas para la centralización de tarifas a disposición del usuario final, así como para consultar otro tipo de datos de interés para los comercializadores, entidades de regulación y de vigilancia y control.
• Punto inicial para adelantar trámites de cambio de comercializador en línea.
Un elemento fundamental xxx XXXX, en virtud de sus funciones, es que ejerza sus funciones con absoluta independencia de los demás actores de la cadena de prestación del servicio. Se busca la imparcialidad como garantía en la presentación y análisis de datos. Lo anterior, se refuerza con la idea de neutralidad en el manejo de la información que, a su vez, se traduce en la eliminación xx xxxxxxxx a la entrada para potenciales agentes comercializadores.
Debido a lo expuesto, para la CREG la propuesta regulatoria debe establecer que el GIDI no puede ser controlado de manera directa o indirecta por ningún agente de la cadena de prestación del servicio y sus actividades complementarias, así como tampoco podrá tener conflictos de interés o acuerdos con estos. Finalmente, en lo que respecta a la titularidad de los datos, se plantea que la misma debe siempre quedar en cabeza de los usuarios cuando se trata de datos personales y del Estado para el resto de información.
En este capítulo se realiza un análisis comparativo de los diseños generales de Gestor Independiente de Datos e Información (GIDI) de países donde existe una alta competencia en el mercado minorista y que utilizan diferentes esquemas de gestión. Los países seleccionados fueron Xxxxx Unido, Noruega y Australia. Como parte del análisis se revisa la propuesta contenida en la Resolución CREG 131 de 2020, para proponer los ajustes necesarios a la definición de la nueva actividad.
Se consideraron las siguientes características de diseño en la comparación, con el fin de realizar ajustes a la definición y proponer un diseño general xxx XXXX:
• Diseño
• Funciones
• Responsabilidades
• Gobernanza
• Independencia
• Riesgos
• Protección de datos
Adicionalmente se incluirán algunos aspectos definidos en la Resolución CREG 131 de 2020 (Infraestructura de Medición Avanzada) para el GIDI en Colombia y los referentes internacionales utilizados en el documento de soporte DOCUMENTO CREG-103 25-06-20 (Condiciones para la implementación de la infraestructura de medición avanzada en el SIN - CONSULTA).
3.1. Modelos de Gestor Independiente
En este resumen, se sintetizan las características de los modelos de gestión y la asignación de responsabilidades para el distribuidor, comercializador y gestor del documento CREG-103 25-06-20, incluyendo temas adicionales que permitirán ajustar el diseño actual.
En los países estudiados, e incluso en la propuesta de la CREG es un hecho que la centralización de la gestión es la tendencia principal, debido a múltiples ventajas identificadas en diferentes estudios. De hecho, los mercados internacionales más avanzados y que tienen tasas de cambio de comercializador (switching) mayores al 15%, siguen considerando mejoras para la competencia xxx xxxxxxx minorista y la integración entre países de una región. Este es el caso xxx Xxxxx Unido, los países nórdicos y Australia quienes optaron por un modelo central, con algunas diferencias de diseño, pero que buscan incrementar los beneficios de la competencia para el consumidor, reducir los costos y trámites en la gestión de datos, además de simplificar el control de la competencia y la protección de los datos, entre otras ventajas.
Las características de estos modelos se pueden revisar en las siguientes secciones de este capítulo, sin embargo, en la siguiente tabla se resumen las características generales:
Tabla No.1
Variables de diseño del Gestor Independiente y Mercado minorista
Variable de Diseño | Colombia | UK | Noruega | Australia |
Gestor Independiente para mercado minorista | GIDI: En borrador de propuesta CREG 131-2020. | DCC: Data Communications Company. Propiedad de Capita PLC (Smart DCC, s.f.). | ElHub: Propiedad de Statnett (Elhub, 2020). | AEMO: Australian Energy Market Operator. Es propiedad mixta, 60% Gobierno y 40% la industria eléctrica (AEMO Industry members, 2020). |
Tipo de modelo Gestión de información | Centralizado | Gestor de Proveedores (Centralizado) | Hub con Roles (Centralizado) | Gateway (Descentralizado) |
Medición | Descentralizada (Distribuidor) | Centralizada (DCC- subcontratistas) | Descentralizada (Distribuidor- Proveedores) | Descentralizada (Comercializador) |
Telecomunicaciones | Descentralizada (Distribuidor- Proveedor) | Centralizada (DCC- subcontratistas) | Descentralizada (Distribuidor- proveedores) | Descentralizada (Comercializador- proveedores) |
Despliegue | Distribuidor | Comercializador y apoyo de DCC | Distribuidor | Comercializador |
Existe comercializador minorista independiente3 | Sí. Existe independiente y también existe integración generador- comercializador y generador - distribuidor. | Existe independiente y también existe integración generador- comercializador y generador - distribuidor. | Existe independiente y también existe integración generador- comercializador y generador - distribuidor. | Sí. Sólo existe integración con generación. |
Existe libertad de cambio de comercializador | Sí, siempre y cuando cumplan con el código de medida. | Sí | Sí | Sí |
Existe libre negociación de tarifa | No, sólo los usuarios “No Regulados” pueden negociar libremente. | Todos. Tarifa con techo para medidor de prepago o si nunca se ha cambiado de tarifa | Todos. Con medidas de protección. | Todos. Con medidas de protección y acompañamiento. |
Fuente: Referencias documento. Elaboración Propia
3 Se refiere a comercializadores que únicamente desarrollan esta actividad, es decir, no tienen relación vertical con generadores ni distribuidores.
Dentro de estos países, las tasas de switching alcanzan valores de hasta el 20% de los usuarios, pero continúan las mejoras para estandarizar la comunicación y eliminar las barreras en el proceso de switching que todavía se ve afectado por problemas de confiabilidad y velocidad, con tiempos promedio de alrededor de 15 días o más. Las tasas de switching de los países analizados se encuentran en promedio en los siguientes rangos Colombia: <1.5%4, Noruega: 13.7%, Xxxxx Unido: 20%, Australia: 19% (XM, s.f.) (Nordic Energy Regulators NordREG, 2017) (Office of Gas and Electricity Markets Ofgem, 2019) (Australian Competition and Consumer Commission ACCC, 2018).
Figura 1
Tasas de switching en los países estudiados y Colombia
Fuente: XM, ACC, NordReg, Ofgem. Elaboración Propia
Las diferencias en modelos se deben también a las características de la actividad de distribución, la integración vertical, el estado de despliegue de los medidores inteligentes, las leyes de protección de datos y la propiedad de las empresas operadoras. En el caso de Australia, por ejemplo, algunas motivaciones tuvieron relación con el escenario que se produjo luego de privatizar algunas distribuidoras integradas con generación y comercialización, porque existía alta inconformidad de los comercializadores independientes con la posición (dominante - establecida) de estas compañías (Restoring electricity affordability and Australia's competitive advantage, 2018).
4 Este valor se calculó teniendo en cuenta el número de fronteras reguladas y No reguladas (las cuales fueron reportadas por XM en el informe mensual de demanda de septiembre de 2020) y se dividió por el número de usuarios/suscriptores de Colombia.
Asimismo, en el Xxxxx Unido la integración vertical y la alta concentración en el mercado, motivaron la centralización de la gestión, debido a que se presentó un estancamiento en las tasas de switching y una nueva generación de despliegue de medidores inteligentes exigía una dinámica más competitiva.
En el caso de Noruega, una de las principales motivaciones fue la integración de los otros países nórdicos al mercado minorista, la cual requiere un alto esfuerzo de armonización en gestión de datos, legislación y eliminación xx xxxxxxxx de entrada entre países. A continuación, se describe brevemente el gestor de cada país analizado.
3.1.1. Xxxxx Unido (DCC) (Smart DCC, s.f.)
En el Xxxxx Unido la labor del Gestor Independiente de Datos e Información la realiza la compañía de datos y comunicaciones - DCC (Data Communications Company), quien dispone de las comunicaciones a través de toda Gran Bretaña para enviar y recibir información de medidores inteligentes hacia y desde comercializadores, generadores, operadores de red y empresas de servicios energéticos. El DCC es operado por la compañía privada "Capita PLC" bajo una licencia regulada por la agencia reguladora (OFGEM).
La licencia adjudicada al DCC de Capita PLC asigna las responsabilidades para gestionar el servicio de medición inteligente en nombre de sus usuarios, contratar los proveedores de servicios de datos y comunicaciones y proveer otros servicios, bajo marco de restricciones y condiciones de independencia. El valor estimado de la licencia durante 12 años es de aproximadamente £ 175 millones (Xxxxx, 2013). Debido a la magnitud del rol del DCC, éste a su vez gestiona otros dos tipos de subcontratistas principales:
• Proveedor de servicios de datos
• Proveedores de servicios de comunicaciones
• Desarrollo de software
• Infraestructura clave de la medición inteligente
El proveedor de servicios de datos controla únicamente el movimiento de mensajes hacia y desde los medidores inteligentes; actualmente la empresa que se encarga de esto es CGI IT UK Limited. Por su parte, Arqiva Limited y Telefónica UK son los proveedores de servicios de comunicaciones y con ellos se garantiza la interconexión en la xxxx xxxxx x xxx, xxxxxxxxxxxxxxx. Xx xxxxx de Inglaterra se utilizó radio de largo alcance que se utiliza para otras importantes redes de comunicaciones, como las de televisión digital y servicios de emergencia.
La red de la compañía Telefónica cubre el resto de Inglaterra y Gales mediante comunicaciones por radio celular (utilizada en sistemas de telefonía móvil) más tecnología de radio de "malla" para complementar la conectividad en zonas de difícil acceso. El esquema completo del DCC, sus subcontratistas y usuarios se describen en la siguiente figura:
Figura 2 Esquema del DDC en UK
Consumidor
de Energía
DCC
DCC
Usuarios
Data Communication Company
Display
en casa
Medidor
Inteligente
Proveedor de
servicios de
Comunicaciones
Proveedor
de servicios
Comercializadores
Control dual y
Organización
Distribuidores de
Hubs
Comunes
Infraestructura clave de medición
inteligente
Electricidad
Software de conversión y correlación
Aplicaciones
Inteligentes
Terceros autorizados
Sistemas empresariales (otros
servicios DCC)
Fuente: xxxxxxxx.xx.xx
3.1.2. Noruega (Elhub) (Markedsdokumentasjon, 2020)
Noruega actualmente presenta una gestión de datos centralizada en Elhub, propiedad de Xxxxxxxx quien posee una licencia (Agreement on the use of the Data Hub for the electricity market) como responsable de Elhub, en conformidad con la Sección 4-3 de la Ley de Energía de Noruega (ECOLEX, 1990), con la obligación de gestión de información para la medición y liquidación en la electricidad en el mercado minorista. Este modelo es un primer paso hacia una transición al modelo centralizado regional, con una armonización de todos los países nórdicos (Noruega, Dinamarca, Finlandia, Islandia y Suecia).
Un aspecto descentralizado de Noruega consiste en el modelo de los roles que están en Elhub y que permiten que los participantes xxx xxxxxxx tengan proveedores de servicios. Los proveedores de servicios (BSP) son empresas que prestan servicios a los participantes en el mercado y pueden asumir el papel de lectura de datos de medición para un distribuidor o proporcionar servicios a otros participantes en el mercado.
Sin embargo, el modelo de gestión de datos está completamente centralizado y permitirá almacenar valores históricos de medición y datos de clientes, entre otras funcionalidades, en lugar de continuar con una gestión de datos descentralizada a través del distribuidor. Respecto a la adquisición inicial de los datos, los distribuidores serán quienes los proporcionarán a Elhub, mientras que los comercializadores
proporcionarán datos del cliente para integrar la medida con los procesos comerciales, sin barreras operativas.
Figura 3
Centralización de información con Elhub
Todos hablan con todos
Comercializadores Distribuidores
Todos hablan con el Gestor
Comercializadores Distribuidores
1
A
2
Medición
Info. Medidor Clientes Cambio de
Comercializador Mudanza Factura común
X
0
X
0
X
...
...
a
1
A
2
B
3
elhub
C
4
D
...
...
Fuente: xxxxx.xx
Elhub tiene la responsabilidad de centralizar, procesar y facilitar el acceso neutral con interfaces estandarizadas de transferencia de datos, acceso de terceros a los datos históricos, entre otras funciones, por lo cual se exigieron las mayores competencias en tecnologías de información y telecomunicaciones (TIC).
Transición hacía NordReg y un único SuperHub
Si bien actualmente los mercados minoristas nórdicos son considerados de los más competitivos, se estima que próximamente todos los países nórdicos tendrán centros de datos que facilitarán los procesos xxx xxxxxxx tanto mayorista como minorista, para luego lograr una centralización regional. En 2021, se espera que se exija toda la funcionalidad a todos los distribuidores y comercializadores de la región.
La expectativa es que estas reglas comunes xxx xxxxxxx minorista mejoren la elección del cliente y reduzcan los costos al mejorar la eficiencia y las economías de escala en el manejo de datos, la automatización de procesos y los sistemas informáticos comunes. Con esto se reduce el costo de las aplicaciones dado que se van a desarrollar para todos los países, en lugar de implementar un desarrollo específico para cada empresa de cada país. El beneficio para el consumidor radicaría en el aumento de la competencia y la mejora en la competencia minorista reduciendo las barreras de entrada y los márgenes, aumentando el número de comercializadores en cada país y ofreciendo opciones diversas de tarifas y
servicios para los clientes (Implementation of data hubs in the Nordic countries, 2020). En conjunto se han definido unos temas clave que debe tener la regulación armonizada:
Tabla 2
Temas clave de política regional
Políticas para promover la competencia minorista | ● Comunicación transparente con el cliente ● contadores inteligentes y acceso a la información ● Tamaño y alcance xxx xxxxxxx minorista ● Abordar las barreras de entrada y cambio ● La negociación colectiva |
Políticas generales para proteger a los clientes | ● Regulación predeterminada de tarifas y precios ● Salvaguardias generales para el consumidor ● Quejas y disputas |
Políticas específicas para clientes vulnerables | ● Soporte de pago y planes de pago ● Soporte de impago para clientes vulnerables ● Protección contra la desconexión ● Medidores prepagos como alternativa de desconexión |
En Australia, para la gestión de datos se seleccionó al Operador xxx Xxxxxxx de Energía de Australia5, Australian Energy Market Operator (AEMO), y se adoptó el modelo "gateway" (puerta de enlace), para proporcionar este acceso a datos tanto a los consumidores como a sus comercializadores actuales, potenciales y terceros de confianza cuando así lo autoriza el consumidor.
Este modelo parte de la base de las estrategias aprobadas por el parlamento australiano para implementar el CDR (Consumer Data Right) en energía y telecomunicaciones, para respaldar la comparación y el cambio de productos minoristas de energía, así como también "funciones más avanzadas", teniendo en cuenta las nuevas tecnologías inteligentes y limpias como medidores, energía solar, almacenamiento, cambio a electrodomésticos de mayor eficiencia energética, entre otros.
Con base en este modelo, se puede compartir información, como el contrato de energía actual de un consumidor y su patrón de consumo con otros proveedores de servicios de energía; también permite al consumidor encontrar la mejor tarifa. De acuerdo con la ACCC6 (Consumer Data Right in Energy: Consultation paper: data access models for energy data, 2019), se realizó una comparación de tres modelos de acceso a datos y concluyeron que este modelo gateway equilibra mejor la funcionalidad, la rentabilidad, la flexibilidad y la seguridad al mismo tiempo que aprovecha los datos y la experiencia de TI de AEMO. Asimismo, siendo AEMO 60% propiedad del estado y 40% de la industria eléctrica, se podría
5 Anteriormente sólo era mayorista
6 Australian Competition and Consumer Commission
facilitar el despliegue, reducir los costos de implementación y facilitar el acceso a los minoristas de energía más pequeños.
La ACCC descartó el modelo centralizado y prefirió el modelo gateway pese a reconocer la simplicidad de un solo titular de datos y punto de acceso bajo el modelo centralizado. Consideraron que ambos modelos son opciones viables y que cada uno ofrece distintas ventajas y desventajas, pero prefirieron el gateway con los siguientes argumentos:
• El modelo gateway es más adecuado para permitir la implementación oportuna y efectiva de los derechos de datos del consumidor de energía, al aprovechar la infraestructura de transferencia de datos existente de AEMO y las eficiencias en el enlace con el registro con ACCC de destinatarios de datos acreditados.
• El modelo centralizado crearía costos de implementación importantes y complejidad asociados con centralizar los datos, lo que requeriría cambios significativos en la energía nacional, legislación y procesos NEM7.
• El almacenamiento centralizado de un conjunto completo de datos de consumidores de energía aumentó la preocupación con respecto a la privacidad y la seguridad, quedando sin consenso.
• Se crearía una carga regulatoria más pesada para el gestor, los participantes y los consumidores.
• Simplifica la autorización y la supervisión de AEMO de la acreditación B2B e-Hub para nuevos participantes.
El gateway funcionaría como una pasarela que reduciría los costos de implementación para los minoristas de energía, particularmente aquellos que no se convierten en destinatarios de datos acreditados, con lo que se eliminaría la necesidad de vincularlos con el registro para autenticar los datos acreditados destinatarios. Este modelo debe facilitar la interoperabilidad, siempre que los estándares para la puerta de enlace se desarrollen para ser consistentes con las normas utilizadas en otros sectores y se pueda alcanzar un ecosistema más amplio.
Bajo el modelo de pasarela, AEMO facilitará el suministro de datos entre titulares y destinatarios. Esto difiere del "modelo centralizado", según el cual, AEMO sería el titular de los conjuntos de datos y del modelo "para toda la economía", en donde los participantes xxx xxxxxxx proporcionarían datos CDR directamente a los destinatarios de los datos. Esto difiere del sector bancario que está adoptando un "modelo de toda la economía".
El modelo de puerta de enlace es favorecido por la ACCC debido a las funciones existentes de AEMO en el Mercado Nacional de Energía como un operador xx xxxxxxx centralizado, y su experiencia con datos de energía. Otra ventaja del modelo de puerta de enlace es la capacidad de AEMO de ayudar en un despliegue escalonado al sector energético y desempeñar un papel de facilitación, particularmente con respecto a los minoristas de energía más pequeños.
7 National Energy Market (Australia)
La ACCC ha reconocido las preocupaciones de confiabilidad, seguridad y privacidad planteadas en relación con el modelo de puerta de enlace, dado que AEMO reuniría datos y crearía un único punto xx xxxxx para el sistema. No obstante, la ACCC considera la experiencia y capacidad de TI de AEMO lo cual le permitirá mitigar esos riesgos de manera eficaz. El modelo funciona de la siguiente forma:
Figura 4 Modelo AEMO
Fuente: Elaboración propia
De la anterior figura, es posible extraer las siguientes características del modelo descrito:
• El consumidor acepta que un Destinatario Acreditado obtenga sus datos.
• El Destinatario Acreditado se pone en contacto con el portal, buscando acceder a los datos del consumidor.
• El portal autentica al Destinatario Acreditado usando datos previamente obtenidos del registro del ACCC.
• El portal identifica cuáles son los titulares de los datos que contienen los datos del consumidor y les proporciona los detalles de la transacción.
• El proceso de autenticación y autorización se realiza de acuerdo con los requisitos de las normas de energía del CDR. El papel de la pasarela en este proceso debe ser determinado.
3.2. Funciones y Responsabilidades
El despliegue de los medidores inteligentes es importante para el diseño xxx XXXX en la medida en que debe haber coordinación entre los medidores que se implementan, reparan y reemplazan con la empresa que tiene comunicación con el Gestor de datos. En todos los países analizados, el regulador es el encargado de monitorear el plan de despliegue, sin embargo, el rol xxx XXXX en el Xxxxx Unido es más activo, porque participa en el monitoreo de la estrategia informando al regulador sobre algunos aspectos clave del despliegue.
Tabla 3
Comparativo de planes de despliegue
Variable de Diseño | Colombia | UK | Noruega | Australia |
Quién realiza el despliegue de AMI | Distribuidores | Comercializadores (Retailers) | Distribuidores (DSO) | Comercializadores (Retailers) |
Quién monitorea el despliegue | Ofgem: Cumplimiento DCC: Consultoría | NVE | ARE |
3.2.1.1. Xxxxx Unido (Comercializador)
El despliegue está siendo dirigido por comercializadores de energía, que son responsables de instalar equipos de medición inteligente, que consisten en un medidor de electricidad inteligente, un centro de comunicaciones y una pantalla dentro del hogar, sin ningún costo. Los comercializadores de electricidad están obligados a tomar todas las medidas razonables para implementar contadores inteligentes a todos sus clientes domésticos y de pequeñas empresas a finales de 2020 (Code of Practice (Digitised) - SMICoP, 2020). El gestor DCC propone periódicamente estrategias regulatorias claves para monitorear y mejorar las decisiones de inversión de los comercializadores y distribuidores para las fases de instalación del medidor inteligente.
Los comercializadores deben someterse a una auditoría independiente inicial, auto certificarse anualmente y encuestar a una muestra de clientes sobre su experiencia en la instalación. Los medidores inteligentes utilizan su propia red inalámbrica segura mediante ondas de radio, al igual que los teléfonos móviles o televisores. No usan Internet para enviar o recibir datos y no necesitan una conexión a Internet para que funcione. Existe además la obligación de instalar el medidor inteligente (SMETS28) en las nuevas instalaciones, construcciones, o donde se requiera un reemplazo de medidor (Smart Meter Rollout: Open letter on Energy Suppliers' Progress, Future Plans and Regulatory Obligations, 2020).
8 Segunda generación de medidores inteligentes
El papel de Ofgem es proporcionar una supervisión reglamentaria de esta implantación, asegurándose de que se protejan los intereses de los consumidores, y en vigilar y colaborar con los proveedores cuando un comercializador puede estar incumpliendo las obligaciones respecto al acuerdo.
El cumplimiento del comercializador con los requisitos se supervisa mediante una auditoría inicial independiente, una auto certificación anual y una encuesta a los clientes sobre la experiencia de instalación, que incluye la prestación de asesoramiento sobre eficiencia energética. Los resultados de las encuestas a los clientes son publicados por cada gobierno xxx Xxxxx Unido. Gobierno.
3.2.1.2. Noruega (Distribuidor)
Los distribuidores son responsables de instalar y operar los AMI, sin embargo, deben permitir a otros tipos de proveedores la oportunidad de ofrecer servicios de información o respuesta a la demanda. El consumidor de electricidad tiene la propiedad de todos los datos relacionados con el consumo de electricidad. Los Distribuidores y los Comercializadores tienen derecho a acceder a los datos necesarios para la liquidación y la facturación, sin tener la posibilidad de poner estos datos a disposición de otros sin el consentimiento del consumidor.
Para proteger los datos de medición y la información del cliente, los Distribuidores están obligados a instalar sistemas de seguridad y seguir procedimientos para garantizar que la información personal no caiga en las manos equivocadas o que personas no autorizadas tengan acceso al sistema AMI (NVE - Smart metering, 2016).
NVE monitorea el despliegue a través de los reportes enviados por los Distribuidores, quienes a su vez debieron firmar previamente acuerdos con proveedores e instaladores antes del plazo de presentación de informes. Los requisitos exigidos para el medidor comprenden la posibilidad de medición cada 15 minutos, medición real por hora, recopilación diaria de datos y comunicación estándar sobre datos de consumo al consumidor.
3.2.1.3. Australia (Comercializador)
Los comercializadores de energía son los encargados de instalar los medidores inteligentes de manera obligatoria, tanto para todas las conexiones nuevas como cuando necesita ser reemplazado. Si el medidor de un usuario funciona correctamente y un comercializador desea reemplazarlo por un medidor inteligente, el usuario puede optar por no participar en la instalación del medidor inteligente. En todos los casos, los comercializadores pueden adoptar diferentes enfoques sobre cómo cobrar el medidor nuevo. Pueden hacerlo con el costo total del medidor (Capex) en la primera factura o una amortización mensual, que también debería aparecer en la factura. Los minoristas también pueden decidir incorporar el costo de proporcionar nuevos medidores a los clientes como parte de los cargos por uso de electricidad.
3.2.2. Gestión de Datos y Telecomunicaciones
Los servicios relacionados con el intercambio, procesamiento y transmisión de datos a través de las telecomunicaciones son considerados como elementos clave del modelo de Gestor Independiente en todos los países estudiados. La definición sobre el rol del gestor sobre estos servicios, los terceros responsables, el alcance, la vigilancia y la estrategia son realmente esenciales para complementar el diseño del modelo xx XXXX en Colombia.
Tabla 4
Comparativo en gestión de datos y telecomunicaciones
Variable de Diseño | Colombia | UK | Noruega | Australia |
Responsable | OR GIDI | DCC | - Distribuidor (DSO) -ElHub | Comercializador |
Definición de Roles de Terceros | OR9 Sin definición | Subcontratistas claves: proveedor de servicios de datos centralizado, proveedor de servicios de comunicaciones centralizado | DMS: Sistemas de manejo de Información. DSO-AMR | MC: Coordinador de Medición DNSP: Proveedores de servicios de red de distribución |
3.2.2.1. Xxxxx Unido (Subcontratistas) (Award of Smart Meters DCC Licence, 2013)
En el Xxxxx Unido, el DCC se encarga de gestionar los contratos y el desempeño de sus proveedores de servicios, los cuales construyen la infraestructura de telecomunicaciones y datos de medición inteligente. Estos proveedores de servicios son:
● Arqiva (Communications Services Provider North): Proveedor de Servicios de Telecomunicaciones Norte.
● Telefónica (Communications Services Provider South and Central): Proveedor de Servicios de Telecomunicaciones Centro y Sur.
● CGI (Data Services Provider): Proveedor de Servicios de Datos.
● BT (Smart Metering Key Infrastructure): Infraestructura de Medición Inteligente
● Critical Software (Parse and Correlate): Análisis y Correlación
9 De acuerdo con la Resolución CREG 131 de 2020, el OR gestiona las telecomunicaciones y el transporte del dato desde usuario final hasta MDM, para luego entregarlo al GIDI quien concentra los datos nacionales. En esquemas como el xxx Xxxxx Unido, existen terceros no agentes xxx xxxxxxx como el Centro Gestor de Medida o subcontratistas.
(Smart Meters Programme. DCC Requirements. CSP North version.) (Smart Meters Programme. Agreement for the provision of communications services in relation to the Smart Metering Programme. (CSP Central version), 2013) (Smart Meters Programme. Agreement for the provision of communications services in relation to the Smart Metering Programme. (CSP South version), 2013)
Contratos de proveedores de servicios y comunicaciones
Los contratistas proveedores de servicios de telecomunicaciones Arqiva Smart Metering Limited y Telefónica UK Limited firmaron un contrato con Smart DCC Ltd como proveedores de servicios de telecomunicaciones para la región norte (norte de Inglaterra y Escocia) y Centro-Sur (Midlands, East Anglia, Gales y Sur de Inglaterra) respectivamente. Estos proporcionarán a DDC los siguientes servicios:
● Smart Meter Wide Area Network (SMWAN) services: Servicios de Telecomunicaciones de Área Amplia.
● Communications Hub services: Servicios de Plataforma de Comunicaciones
Además, cada uno de los proveedores proporciona sus servicios dentro del territorio definido por los límites de las áreas ocupadas por los Operadores de la Red de Distribución Eléctrica (DSO) de la zona respectiva. Los servicios proporcionados deben tener la capacidad suficiente para cumplir con el perfil de demanda según se define en el Perfil 5 del ‘ISFT Volume Profile’, como mínimo. Con referencia al estándar de interconexión de sistemas abiertos (OSI) modelo 7 capas para caracterizar las funciones de un sistema de comunicaciones (ISO / IEC7498-1), los contratistas deben prestar sus servicios en las siguientes capas:
a) Capa física: Proporciona los medios físicos de transmisión de comunicaciones.
b) Capa de enlace: Proporciona transmisión punto a punto de paquetes de datos.
c) Capa de red: Proporciona direccionamiento de dispositivos y enrutamiento de mensajes
d) Capa de transporte: Proporciona control de flujo de mensajes de extremo a extremo y control de errores.
Las soluciones de los proveedores de servicios de telecomunicaciones deben cumplir como mínimo con las directrices de la Comisión de Radiaciones No Ionizantes (ICNIRP) y Recomendación del Consejo EC 519/1999, sobre la exposición del público x xxxxxx electromagnéticos y, además, con la regulación para equipos de Radio y Terminales de Telecomunicaciones 2000 (SI 2000/730), la cual incluye los requisitos esenciales para los equipos relacionados a la protección contra radiaciones10.
Finalmente, los subcontratistas deben asegurarse de que los servicios se presten en todo momento de acuerdo con cada uno de los documentos de diseño de la solución dada por el contratista y cada
10 Arqiva Limited utiliza comunicaciones de radio de largo alcance (LRR) en Escocia y el norte de Inglaterra, similares a las que ya se utilizan para servicios de emergencia. Las xxxxxx se comunican directamente con los concentradores de comunicaciones de medidores inteligentes en los hogares. En el resto de Inglaterra y Gales, Telefónica utiliza las tecnologías de comunicaciones por radio celular 2G/3G utilizadas por los teléfonos móviles. Además, Telefónica utiliza redes malladas locales para cubrir las lagunas de cobertura móvil.
documento que forme parte del marco de gestión de servicios. El valor estimado del contrato con Xxxxxx durante 15 años es de aproximadamente £625 millones, mientras que el valor estimado de los dos contratos de Telefónica durante 15 años es de aproximadamente £1.500 millones.
Contrato de proveedor de servicio de datos (Smart Meters Programme. Schedule 2.1)
CGI IT UK Limited firmó un contrato con Smart DCC Limited como proveedor de servicios de datos, por lo que es el encargado del desarrollo y operación del sistema que controla el movimiento de mensajes hacia y desde medidores inteligentes. Este subcontratista debe trabajar en las partes de integración del sistema y garantizar que los sistemas de Datos de DCC y la Gestión de Servicios de DCC cumplan con los requisitos acordados. Esto incluye realizar y mantener la integración de todas las partes del sistema para entregar o recibir los servicios de DCC, así como realizar las pruebas de funcionamiento de los sistemas de datos y los sistemas de gestión de servicios.
El subcontratista debe producir los sistemas de datos DCC y el sistema de gestión de servicios DCC, además de toda la documentación que respalde la DCC Data Systems y el DCC Service Management System, incluidas, entre otras, las rutinas (automatizadas o manuales) necesarias para instalar, configurar, mantener y operar los sistemas de datos DCC. El valor estimado de este contrato durante 8 años es de aproximadamente £75 millones.
Smart Meeting Key Infrastructure (SMKI) (Data Communications Company DCC)
La SMKI es uno de los mecanismos clave para dar seguridad en la comunicación entre los usuarios y los dispositivos de medición inteligente, así como a los centros de comunicaciones. Los certificados SMKI son utilizados para registrar mensajes entre los usuarios y dispositivos de acuerdo con el Smart Energy Code SEC (Código de Energía Inteligente), además de registrar comandos DUIS (DCC User Interface Specification) enviados al proveedor de servicios de Datos.
Parse and Correlate (Data Communications Company DCC, 2014)
Para garantizar que los usuarios del servicio DCC puedan respaldar los flujos de comunicación extremo a extremo del medidor inteligente, es necesario que dichos usuarios puedan correlacionar (es decir, hacer coincidir) las solicitudes "críticas" salientes con las solicitudes transformadas del proveedor de servicios de datos (DSP). La arquitectura de seguridad de “Great Britain Smart Meter” requiere que se mantenga la confianza entre el usuario y el medidor inteligente para solicitudes "críticas" de servicio. Las solicitudes críticas de servicio son comandos que afectan el suministro potencialmente (por ejemplo, corte de suministro), y que pueden estar relacionados con fraude financiero (por ejemplo, cambios de tarifas o recargas de medidores de prepago) o relacionados con la seguridad de los equipos de medición inteligente. Estas solicitudes de servicio deben firmarse electrónicamente, utilizando credenciales de seguridad criptográficas, antes de su posterior distribución al dispositivo medidor inteligente (a través del DCC).
3.2.2.2. Noruega (AMR)
Intercambio de información sobre la implementación de centros de datos
De acuerdo con XxxxXxx, uno de los principales beneficios en la implementación de un modelo de gestión de información centralizado es reducir el riesgo regulatorio para los actores xxx xxxxxxx, en especial para los distribuidores o comercializadores, dado que permite pronosticar e implementar nuevas reglas o regulaciones a nivel general sobre todos los usuarios. Por otro lado, permite terminar con el monopolio de los distribuidores y/o comercializadores, dado que promueve la libre competencia entre estos actores xxx xxxxxxx y define un rol y responsabilidades específicas para mantener un alto nivel de seguridad en el suministro de energía.
En 0000, XxxxXXX publicó un modelo armonizado para el cambio de proveedor, que establece los principios sobre cómo debe llevarse a cabo el proceso en el futuro. Bajo este modelo, el proceso de cambio de proveedor debe ser lo más fácil, rápido, fluido y seguro posible (NordREG, 2013). Los clientes de cada país deben tener acceso a un precio neutral herramienta de comparación que les permite tomar decisiones de cambio completamente informadas, mientras el proceso de cambio debe estar centrado en el proveedor. Los DSO y el punto nacional de la información debe ser completamente neutral para con todos los participantes xxx xxxxxxx. Además, las lecturas del medidor utilizadas en el cambio de proveedor deben ser lo más precisas posible, preferiblemente realizadas por lectura remota a la hora del inicio del suministro. Como cambiar de proveedor, el proceso de traslado de clientes también debe ser un proceso centrado en el proveedor.
Los centros de datos están pensados para servir como una solución centralizada bajo el modelo centrado en el proveedor. Dado que los datahubs podrían servir como una central que realiza procesos como el cambio de cliente y el cambio de proveedor, los proveedores no tendrían que estar directamente en contacto con los DSO para fines de conmutación.
Medidor Automático de Lectura (Automatic Meter Reading, AMR)
Durante la transición de medidores de tecnología antigua a medidores con tecnología inteligente, se realizó la implementación de infraestructura AMR o medidores inteligentes, que facilitan la integración de múltiples usuarios, al igual que aseguran la eficiencia y efectividad xxx xxxxxxx minorista. Las principales características de los AMR son:
• Almacenamiento de los valores de medición con una resolución de 60 minutos y mantener una frecuencia de medición en intervalos de 15 minutos.
• Tener una interfaz estandarizada que facilite la comunicación con dispositivos externos, basados en protocolos estándares de comunicación.
• Estar conectado y mantener comunicación con otros dispositivos de medición.
• Asegurar que el almacenamiento no se pierde durante periodos sin energía.
• Tener la capacidad de limitar o interrumpir la energía, excepto para puntos de transformación.
• Capacidad de enviar y recibir información acerca de precios y tarifas xxx xxxxxxx eléctrico.
• Garantizar el control y la protección de datos.
• Registrar el flujo de potencia activa y reactiva en ambas direcciones.
El DSO es la entidad encargada de proveer los puntos de medición al Elhub, que es el sistema de gestión integrado para los países nórdicos; de igual forma, están encargados de proveer los sistemas de medición inteligentes que incluyan los medidores, sistemas de comunicación y sistemas de integración central. Sin embargo, una vez el consumidor cuenta con el medidor inteligente, es él quien tiene la propiedad de todos los datos relacionados con el consumo de electricidad. Y, para ser utilizados por los distribuidores u otra entidad que brinde servicios de respuesta a la demanda o servicios de información, debe contar con el consentimiento del mismo.
Sistema de Manejo de Información (Data Management System, DMS)
Uno de los factores más importantes en el uso de sistemas de gestión integrados centralizados, corresponde a los sistemas de manejo de información que faciliten la interpretación y manejo de bases de datos con un alto volumen de información. Por tal razón, el consorcio noruego de servicios públicos Smarthub tiene un acuerdo con la empresa de software de energía Greenbird para mejorar su sistema de gestión de datos de contadores. Su función principal corresponde a la integración del servicio Metercloud para la integración de los datos de los medidores inteligentes al sistema Elhub.
3.2.2.3. Australia (Subcontratistas)
Como se ha mencionado anteriormente, la gestión de datos y telecomunicaciones xxx xxxxxxx energético australiano se realiza de una manera descentralizada (a través del modelo gateway y de terceros o proveedores de servicio).
El AEMO es el encargado de publicar todos los procedimientos y guías para que los subcontratistas puedan prestar cada servicio. Debe detallar todas las obligaciones y requerimientos técnicos para las actividades de lectura de medidores, recolección de datos, procesamiento, ajustes, centralización y entrega de los datos de medición. Dentro de dichos requerimientos se especifica la manera y la forma en que los comercializadores y los operadores de redes de distribución (DNSP) deben proporcionar los datos de medición a los clientes comercializadores (o representantes autorizados de clientes) en respuesta a una solicitud de dichos datos del mismo.
Para entender el detalle de los servicios que se subcontratan en estos aspectos, es necesario describir los distintos papeles a los que hay lugar:
Coordinador de Medición (Metering Coordinator, MC) (Guide to the role of the metering coordinator, 2017)
El coordinador de medición es una persona registrada ante el operador xxx xxxxxxx AEMO (quien hace las veces xxx XXXX en el mercado australiano) que se encarga de coordinar y proveer todos los servicios asociados a la medición en un determinado punto de conexión. Es importante resaltar que todo punto de conexión debe tener asignado un MC. Cada uno de los MC debe estar registrado y su elección se realiza a discreción de los comercializadores. A continuación, se listan las principales responsabilidades de este rol:
• Asegurar que existe una infraestructura de medición instalada y recibe el mantenimiento correspondiente.
• Donde haya adquisición de datos remota, asegurar que la interfaz de comunicaciones está instalada y permite la conexión con las redes de telecomunicación.
• Asignar un proveedor de medición (metering provider, MP) encargado de proveer el servicio, instalar y realizar el mantenimiento de la infraestructura de medición.
• Asignar un proveedor de datos de medición (metering data provider, MDP) que se encargará de la recolección, procesamiento y entrega de los datos de medición.
Proveedor de Medición (Metering Provider MP) (Service level procedure: Metering Provider Services. V1.4, 2020)
En general, es el encargado de proveer, instalar y realizar los mantenimientos respectivos a la infraestructura de medición. Sin embargo, dependiendo de la categoría, estas funciones pueden ser más limitadas. De acuerdo con el último reporte, hay 34 MP acreditados ante el operador (AEMO) (National Electricity Market Accredited Metering Data Providers, 2020). Los MP pueden subcontratar a terceros para cumplir con sus funciones, siempre y cuando se cumplan con todos los requerimientos establecidos por el AEMO. Las principales categorías en la que se pueden acreditar como MP son las siguientes:
• Categoría B: acreditados para “proveer, instalar y mantener” la infraestructura de medición.
• Categoría A: acreditados sólo para “instalar” infraestructura de medición tipo 5 y 6.
Proveedor de Datos de Medición (Metering Data Provider MDP) (Service level procedure: Metering data Provider Services v1.8, 2020)
La función general del MDP consiste en reunir y verificar los datos remotamente de los medidores xxx xxxxxxx nacional de Australia, NEM. Específicamente estas funciones pueden resumirse en los siguientes puntos:
• Establecer, mantener y operar la base de datos de servicios de datos de medición.
• Asegurarse de que los datos de medición y la información relevante del consumidor se mantiene confidencial y segura y, es accesible únicamente por las personas autorizadas.
• Recolectar, procesar y entregar los datos de medición y ocurrencias de alarma del medidor.
Actualmente, se encuentran registrados y acreditados 26 MDP ante el operador xxx xxxxxxx (National Electricity Market Accredited Metering Data Providers, 2020). Al igual que el MP, pueden subcontratar a terceros para cumplir con sus funciones, siempre y cuando se sigan los lineamientos establecidos por AEMO.
3.2.3. Comparación de tarifas de comercializadores
En el Xxxxx Unido todos los sitios de PCW (Price Comparison Website) son comerciales, independientes del gobierno. En otros países, los PCW oficiales generalmente operan sin cargo ni comisiones, mientras que los PCW comerciales suelen ser compensados directa o indirectamente por los comercializadores que los promueven. En Noruega, se obliga a los comercializadores a informar todas sus ofertas en un PCT (Price Comparison Tool) que fue desarrollado por el Consejo de Consumidores de Noruega (Forbrukerrådet) por mandato del gobierno noruego, en estrecha cooperación con la Dirección de Recursos Hídricos y Energía de Noruega (NVE).
Tabla 5
Comparativo en comparadores de tarifas
Variable de Diseño | Colombia | UK | Noruega | Australia |
Gestor Independiente para Mercado Minorista | No existen | Descentralizados | ElHub (En proceso) Se espera que integre los datos todos los países nórdicos en un único mercado minorista | AEMO (Mayorista y parcialmente Minorista) Tienen un coordinador de medidores y proveedores de datos registrados |
3.2.3.1. Xxxxx Unido (PCW)
En el Xxxxx Unido existen diversos sitios de comparación de precios (price comparison website, PCW) que le permiten al usuario estar informado de las distintas tarifas a las cuales puede acceder. Usualmente, los únicos datos que requieren este tipo de sitios son el código postal, el nombre de su actual proveedor y su tarifa actual (How to switch energy supplier and shop for a better deal, 2020).
Por su parte, los PCW comerciales pueden señalar su legitimidad adhiriéndose al "Código de Confianza" voluntario que rige la gestión de los PCW de energía y los servicios de conmutación. El Código de Confianza fue establecido originalmente en 2002 por la organización representativa del consumidor, Energywatch, pero OFGEM asumió la responsabilidad en 2013. El Código consiste en una serie de prácticas que los PCW deben seguir para operar sus servicios (Compare gas and electricity tariffs: Ofgem- accredited price comparison sites, 2020). Los PCW que están acreditados por el regulador OFGEM, como sitios de confianza son:
• Energy Helpline (xxx.xxxxxxxxxxxxxx.xxx)
• Energylinx (xxx.xxxxxxxxxx.xx.xx)
• The Energy Shop (xxx.xxxxxxxxxxxxx.xxx)
• Money Supermarket (xxx.xxxxxxxxxxxxxxxx.xxx)
• My Utility Genius (xxx.xxxxxxxxxxxxxxx.xx.xx)
• Runpath (xxx.xxxxxxxxxxxxxx.xxx/xxx-xxxxxxxxxxx)
• Simply Switch (xxx.xxxxxxxxxxxx.xxx)
• Switch Gas and Electric (xxx.xxxxxxxxxxxxxxxxxxxx.xxx)
• Quotezone (xxx.xxxxxxxxx.xx.xx)
• Unravel It (xxx.xxxxxxxxx.xxx)
• Uswitch (xxx.xxxxxxx.xxx)
Figura 5
Ejemplo de ofertas de Proveedores
Fuente: xxxxx://xxx.xxxxxxxxxxxxxxxxx.xxx/
Finalmente, la Asociación Nacional de Consejos al Ciudadano, también ofrece un servicio de comparación de precios mediante su portal web (xxxxxxxxxxxxx.xxxxxxxxxxxxxx.xxx.xx).
3.2.3.2. Noruega (PCT)
En Noruega existen los PCT (Price Comparison Tool), tras la implementación de un nuevo marco de regulaciones de la Ley de Energía que obligaba a los minoristas a informar todas sus ofertas al PCT. Esta herramienta fue desarrollada por el Consejo de Consumidores de Noruega (Forbrukerrådet) por mandato del gobierno noruego, en estrecha cooperación con la Dirección de Recursos Hídricos y Energía de
Noruega (NVE). De acuerdo con la NVE, el PCT ha mejorado significativamente la capacidad de los consumidores noruegos para comparar ofertas de electricidad, al presentar todas las ofertas de electricidad disponibles en el mercado a través de un sitio web fácil de usar llamado xxx.xxxxxxxxx.xx.
Las ofertas se clasifican según el precio mensual total esperado para el consumidor, incluidos los costos de tarifa de red. Aun no se dispone de datos sobre visitas anuales. También, existe al menos un PCT comercial: xxx.xxxxxxxx.xx. Dado que todos los proveedores están legalmente obligados a informar al PCT, la herramienta debe mostrar el 100% de los contratos disponibles en el mercado en cualquier momento.
NordREG sustenta que el acceso de los clientes a los datos de consumo reales cuando buscan nuevos contratos de electricidad puede reducir la barrera para cambiar de comercializador. Sin embargo, ninguno de los TSO nórdicos ha encontrado la necesidad de esta integración y, por lo tanto, no ha desarrollado una interfaz para compartir datos entre el centro de datos y PCT.
El sistema noruego es obligatorio por lo que todos los comercializadores son responsables de informar sus precios a la Autoridad de Competencia. Noruega cuenta con más de 110 comercializadores de energía eléctrica a lo largo del país que operan en las diferentes regiones y ofertan diferentes precios. Los principales comercializadores y proveedores de este país son: Fortrum, Eidsiva Marked AS, Xxxxxx, Agva Xxxxx, Oslo Xxxxx, Norgesenergi, Rauma Energi Xxxxx AS y Gudbrandsdal, los cuales ofrecen planes xx xxxxx ancha como servicio adicional. Entonces, para observar la tarifa de los diferentes comercializadores de energía en Noruega, basta con ingresar a la página web oficial de alguno de ellos. Para evitar confusiones y hacer una correcta interpretación de los datos de tarifas, se hace uso de páginas dedicadas a esto como xxxxxxxxx.xx, xxxxxxxxx.xx o xxxxxxxxxxx.xx.
Figura 6
Página de Comparación de Tarifas: xxxxxxxxx.xx
Fuente: xxxxx://xxx.xx--xxxxxxxx-00x.xx/ (Traducido por Google)
Por medio de estas herramientas se pueden observar los planes y precios ofertados por los diferentes comercializadores con las diferentes configuraciones que se ofrecen. Estas páginas muestran precios con base en la ubicación y el consumo promedio del usuario, y en caso de no saber el consumo, la página strompis ofrece la opción de usar el promedio de los usuarios del área. Los valores que se publican son siempre en øre/kWh y pueden variar dependiendo del tipo de contrato; adicional a eso, páginas como stromtest y stromvalget ofrecen el valor esperado mensual de facturación para cada plan en la moneda local.
3.2.3.3. Australia (PCW)
Los PCW de comparación (Energy Price Comparison Websites) ayudan a comparar el precio de diferentes planes de energía y a tomar una decisión informada sobre qué oferta se adapta mejor a las necesidades de los usuarios quienes, al ingresar la información sobre geolocalización y uso de energía, pueden acceder a una comparación de tarifas de los diferentes planes de energía disponibles. Como ejemplos de este tipo de comparadores, se encuentran “Energy Made Easy” (Australian Government, 2020) y Cansterblue. En la siguiente imagen se puede visualizar la forma cómo se muestra la información a los usuarios en esta última plataforma.
Figura 7
Comparador de Tarifas Canstarblue
Fuente: xxxxx://xxx.xxxxxxxxxxx.xxx.xx/ (Traducción propia)
Energy Made Easy también ofrece una herramienta de referencia de facturas que permite a los usuarios comparar la cantidad de electricidad que consume su hogar en comparación con otros hogares de tamaño similar en su área. En la misma línea, este tipo de comparadores también ofrecen información sobre diferentes aspectos que pueden ser considerados por parte de los usuarios para tomar su decisión de compra.
Figura 8
Comparador de comercializadores Canstarblue
Fuente: xxxxx://xxx.xxxxxxxxxxx.xxx.xx/xxxxxxxxxxx/xx-xxxxxxxxx/
Muchas jurisdicciones, aunque no todas, tienen un PCW oficial administrado por el regulador o alguna otra organización creíble e independiente. Por ejemplo, un PCW oficial es operado por el defensor del pueblo de energía en Francia y una ONG en Nueva Zelanda.
En la NEM, existen PCW tanto oficiales como comerciales. El AER opera el "Energy Made Easy" PCW y el gobierno de Xxxxxxxx opera el Victorian PCW, "Comparación de energía victoriana". Estos PCW oficiales muestran todos "generalmente disponibles”, sin embargo, no existe tal requisito para los PCW comerciales11.
3.2.4. Proceso de cambio de proveedor (Switching Process)
En el Xxxxx Unido, el diseño de OFGEM (centralizado) se enfocó en fomentar un mercado energético minorista competitivo con un gestor (DCC) que acelerara el proceso de switching y que le brindara confiabilidad a los consumidores de energía. Un mercado energético competitivo depende de que los consumidores puedan cambiar de proveedor de la forma más rápida y fiable posible.
11(Australian Competition and Consumer Commission, 2018, p.19)
En Noruega, por su parte, Elhub facilitará el uso eficiente de la medición inteligente a través de una distribución coherente de datos y realizando un control de calidad de los valores de medición informados por los DSO. Elhub conducirá a una organización más eficiente xxx xxxxxxx de energía al crear una división, aún más clara, entre las empresas reguladas por monopolios y los minoristas competitivos. Al crear una estructura xx xxxxxxx neutral con igualdad de condiciones para los actores competitivos, Xxxxx ayudará a aumentar la competencia y la innovación en el mercado minorista.
Tabla 6
Comparativo en mecanismos de cambio de proveedor
Variable de Diseño | Colombia | UK | Noruega | Australia |
Gestor Independiente para Mercado Minorista | GIDI: En borrador de propuesta | DCC: Data Communications Company. Tiene una licencia para manejar los datos xxx xxxxxxx minorista de manera centralizada | ElHub (En proceso) Se espera que integre los datos todos los países nórdicos en un único mercado minorista | AEMO (Mayorista y parcialmente Minorista) Tienen un coordinador de medidores y proveedores de datos registrados |
3.2.4.1. Xxxxx Unido (DDC)
Hoy en día, el Xxxxx Unido se encuentra desarrollando un programa de cambio de proveedor (Switching Programme) que busca incrementar la competitividad xxx xxxxxxx minorista con el fin de darle poder a los usuarios para cambiar fácilmente de comercializador. En este sentido, a continuación, se detallan los objetivos y principales etapas del programa, para considerarlo como referencia de las metas que podrían establecerse junto con el despliegue de AMI en Colombia.
Para empezar, el programa es liderado por el regulador xxx xxxxxxx británico OFGEM, de la mano de la Compañía de Comunicación de Datos (DCC), quien es el socio clave para la entrega del mismo. Con el mencionado programa, se busca implementar un Servicio Centralizado de Cambio (CSS, por sus siglas en inglés), que implica que los usuarios puedan realizar un cambio de comercializador en menos de 24 horas, de manera eficiente y confiable, en comparación con las 3 semanas que puede tardar realizar el cambio en la actualidad y que frecuentemente presenta fallas en el procedimiento (SMKI Contract).
En los últimos años, OFGEM ha modificado la licencia de DCC para incluir los objetivos del programa de cambio, así como también para incorporar el nuevo código de comercialización de energía (REC) dentro del servicio centralizado de cambio (CSS). El código define todas los derechos y obligaciones de DCC, los
comercializadores de energía, los operadores de red y todas las partes involucradas en este nuevo servicio.
El programa ha sido planeado para implementarse en 5 etapas. El “periodo de transición” se compone de las primeras 3 etapas que incluyen el desarrollo inicial del CSS y la asignación de los proveedores de servicios. La cuarta fase consiste en el diseño detallado, construcción y pruebas del CSS y todas las actividades de transición de los procesos de la industria. Por último, la fase final hace referencia a la puesta en operación del servicio (Key stages in the Switching Programme, 2020). Actualmente, se está evaluando la fase de diseño, construcción y pruebas (DBT) del proceso y se espera que el servicio se ponga en producción para el primer semestre de 2022, debido a retrasos ocasionados por la pandemia, con respecto a la línea de tiempo original (EDW Launches CSS Gateway – Supporting the Faster Switching Programme, 2020) (Switching Programme: High Level Plan, 2018).
En este sentido, ya se han asignado los siguientes proveedores de servicio dentro de la composición del CSS: Expleo, Landmark, Netcompany y Capgemini. Landmark será el encargado de diseñar, construir, probar y liderar la transición a la puesta en operación del CSS, el cual está compuesto por dos servicios: el servicio de registro y el servicio de direcciones. El servicio de registro se refiere a la recolección de los datos asociados a gas y electricidad; asimismo, recibirá las peticiones de cambio de los comercializadores de energía y entregará los datos al proveedor de servicios de medición inteligente de DCC. Xxxxxxxx, además, brindará soporte y mantenimiento al servicio, por al menos 5 años (Switching Programme delivery partners, 2020).
3.2.4.2. Noruega (DSO)
El desarrollo de Elhub contribuirá a la modernización de la industria de la energía y permitirá un uso eficiente de la medición inteligente (AMS) a través de una gestión de datos y comunicaciones más eficiente, reduciendo los tiempos de los procesos, en este caso los de cambio de comercializador.
NVE ha encomendado a Statnett con el fin de que desarrolle una nueva solución de TI para el intercambio de información entre actores xxx xxxxxxx de la energía. La solución es necesaria para facilitar el intercambio de valores de medición e información del cliente, indispensables para la liquidación y facturación de los consumidores de electricidad. La solución también debe manejar cambios de comercializador en el mercado minorista. Hacer el cambio de comercializador de energía es tan fácil como ingresar a la página web de alguno de ellos, seleccionar y confirmar la adquisición del plan. Lo puede lograr de dos maneras:
● Directamente en la página web del comercializador: se pueden encontrar las opciones en la sección con el nombre de Power agreements, que termina siendo el nombre del proceso o acto que se hace para contratar el servicio. Allí, se pueden observar los planes y adicionalmente el pricing model que se desea contratar; los más comunes son: spot Price Agreement, Fixed Price Agreement y Variable Power Agreement. Una vez elegido el plan con el pricing model que más se
adapte a las necesidades, basta con seleccionar “contratar” e ingresar los datos requeridos. Por lo general, el usuario debe llenar los datos de contacto, nombre, fecha de nacimiento, correo electrónico y datos de instalación o ubicación (como la dirección, el código postal y la ciudad).
● Seleccionado el plan más atractivo luego de haber comparado los precios en alguna de las páginas dedicadas a esto: Haciendo uso de las páginas para comparar precios, selecciona el plan de su interés, esto lo lleva directamente a la sección donde se completan los datos que se mencionó anteriormente.
La simplicidad de este proceso es gracias a que el nuevo comercializador se encargará de realizar todos los trámites con el administrador del grip y el antiguo comercializador para intercambiar información. Si ambos comercializadores se encuentran incluidos en Elhub, el proceso es mucho más sencillo debido a que el nuevo comercializador solo necesitaría solicitar la información del cliente y su consumo en Elhub. Elhub facilita el uso eficiente de la medición inteligente, a través de una distribución coherente de datos y realiza un control de calidad de los valores de medición informados por los DSO. Esto le permite a una organización ser más eficiente en el mercado de energía al crear una división aún más clara entre las empresas reguladas por monopolios y los minoristas competitivos. Al crear una estructura xx xxxxxxx neutral con igualdad de condiciones para los actores competitivos, Xxxxx ayuda a aumentar la competencia y la innovación en el mercado minorista.
NVE ha realizado modificaciones al reglamento No. 301 sobre medición y liquidación en virtud de la Ley de energía con el fin de ordenar el desarrollo de Elhub. Entre las enmiendas más importantes se encuentran el uso de números de identificación nacionales para la identificación en Elhub y los requisitos sobre los procesos comerciales para la identificación segura de consumidores individuales en el mercado de la energía.
NVE también ha tenido una consulta pública adicional con respecto a Elhub y establece requisitos sobre control de calidad y migración de datos a Elhub. Las enmiendas adicionales en la regulación incluyen el derecho de los DSO y los minoristas a acceder directamente a los números de identificación nacionales del Registro Nacional. Adicionalmente, con el fin de hacer seguimiento a la calidad del proyecto, NVE ha requerido que Statnett utilice garantía de calidad externa en el desarrollo y funcionamiento de Elhub. Xxxxxxxx ha contratado a DNV GL para asegurar periódicamente el proyecto. Hasta ahora se han elaborado dos informes de aseguramiento, en los que Xxxxxxxx ha recibido buenos comentarios.
Dependiendo de los datos almacenados, existen diferentes funcionalidades que puede ofrecer Elhub. Las funcionalidades fundamentales xxx xxxxxxx minorista suelen ser el acceso a la medición, valores, cambio de comercializador, mudanza y cancelación de un contrato. Además, en la corrección se necesitan funcionalidades como el cambio de datos maestros o la corrección del cambio de comercializador. Los centros nórdicos también están manejando la solución de desequilibrios entre el equilibrio grupos y el TSO. Si bien esto está armonizado entre Finlandia, Noruega, Suecia y Dinamarca, por el momento continúa con su propia liquidación de saldos.
3.2.4.3. Australia (Comercializadores o CSS) (Switching retailers, 2020) (Online comparison tools, 2020)
Para los usuarios es fácil comparar y realizar el cambio de comercializador de energía. Bajo la nueva Ley Nacional de Comercializadores Minoristas de Energía, el Regulador Australiano de Energía (Australian Energy Regulator, AER) ha desarrollado una nueva página web para la comparación de precios de energía: “Energy Made Easy”, la cual es de uso gratuito e independiente del gobierno australiano, muestra todas las ofertas disponibles y no cobra comisiones de los comercializadores.
En cualquier parte del país donde se encuentren los usuarios, estos podrán usar el sitio Energy Made Easy; sin embargo, la opción de comparación de precios de comercializadores solo estará disponible en los estados y territorios donde haya comenzado a regir la Ley Nacional de Comercializadores Minoristas de Energía (Actualmente Tasmania, el territorio Capital de Australia, Sur de Australia, Nueva Gales del Sur y Queensland). Esta característica aplica tanto para usuarios residenciales como para pequeños clientes comerciales. Si el usuario se encuentra en un estado o territorio donde no ha comenzado a regir la Ley de Comercializadores Minoristas, aún puede usar Energy Made Easy para obtener información general acerca de cómo entender y comparar planes de energía.
Por otra parte, en Australia están permitidos los servicios comerciales de cambio (conmutadores) para los usuarios que deseen realizar un cambio de comercializador de energía (Commercial Switching Sites, CSS). En caso de adquirir estos servicios (vía web o telefónicamente), el conmutador se encargará de buscar una mejor oferta de energía para el usuario, cancelar el contrato existente e inscribir al usuario con un nuevo comercializador. Sin embargo, aquí el usuario debe tener en cuenta que los servicios de cambio tienen comercializadores preferidos y podrían estar recibiendo comisiones por parte de elos. En su defecto, los usuarios pueden buscar y cerrar nuevos contratos por su cuenta con los comercializadores, usando las herramientas dadas por el AER como ayuda. El nuevo comercializador se encargará de que se cambien las tarifas del usuario, mientras que el suministro eléctrico seguirá siendo el mismo debido a que el operador del sistema de distribución de la zona no cambiará al hacer el cambio de comercializador minorista.
El comercializador local es aquel autorizado para proporcionarle un contrato de energía al usuario que necesite establecer una nueva conexión a la red eléctrica (por ejemplo, si construye una nueva casa). Los comercializadores locales dependen de la ubicación del usuario y de la red de distribución que le realice el suministro. A continuación, algunos factores a tener en cuenta al realizar el cambio de comercializador minorista de energía, según el Australian Energy Regulator (Shopping around and changing your electricity or gas offer, 2020):
Comparación de ofertas
Los comercializadores minoristas de electricidad en Australia tienen diferentes ofertas que:
● Pueden tener diferentes precios
● Podrían ofrecer descuentos o tener otros cargos
● Podrían tener condiciones de contrato
Para comparar las diferentes ofertas, los usuarios pueden:
● Revisar sus últimas facturas de energía para observar cuánta energía se consume y cuánto se paga.
● Verificar si se puede obtener una mejor oferta de su comercializador actual. Los comercializadores pueden conceder ofertas especiales o concesiones.
● Visitar Energy Made Easy, el sitio web de comparación de precios de la energía de AER.
Selección de la oferta adecuada
Antes de decidir cambiar su comercializador, el usuario debe:
● Consultar precios de la oferta
● Comprobar si hay cargos o tarifas adicionales (tarifas de salida, por ejemplo)
● Verificar si hay descuentos y qué debe hacerse para obtenerlos
● Considerar si la oferta es adecuada en función de su consumo de energía
● Averiguar si se necesita pagar un depósito de seguridad y su cantidad
● Verificar si se recibirá una sola factura si elige tener electricidad y gas del mismo comercializador
● Comprobar métodos de pago y comprobar si existen tarifas adicionales por las diferentes formas
Contratos de energía
Se empieza un nuevo contrato cuando:
● El usuario compra electricidad o gas a un comercializador de energía.
● El usuario se muda a una nueva propiedad y comienza a usar electricidad o gas. El comercializador seguirá suministrando electricidad o gas al usuario hasta que esté último se comunique con el primero o con otro comercializador y haga un nuevo contrato.
Tipos de contratos de energía
a) Contratos estándar
● Tienen términos y condiciones establecidos que el comercializador no puede cambiar.
● Si el usuario nunca ha cambiado de comercializador ni se ha comunicado con alguno para acordar un contrato, es posible que esté bajo el tipo de contrato estándar.
● El precio que paga el usuario por la electricidad y gas puede ser fijado por el gobierno del estado o territorio donde se encuentre el usuario.
b) Contratos xx xxxxxxx
• Estos tienen algunos términos y condiciones establecidas, mientras que otros son variables.
• Pueden costar menos que los contratos estándar y pueden ofrecer energía renovable o descuentos.
• Algunas veces son por períodos de tiempo fijos, donde se pueden cobrar tarifas de salida si el usuario se retira antes de un lapso establecido.
• Los comercializadores ofrecen contratos xx xxxxxxx muy diferentes, por lo que el usuario debe buscar el que mejor se adapte a sus necesidades.
Cambio de comercializador
• El usuario debe verificar si su antiguo comercializador cobrará una tarifa de salida.
• Pueden pasar algunos meses hasta que la cuenta del usuario se transfiera al nuevo comercializador y ocurre en la fecha de la próxima lectura del medidor. Si el usuario desea una lectura del medidor antes, puede consultarlo con su antiguo comercializador, aunque este proceso puede costar dinero.
• El nuevo comercializador debe enviar toda la información al usuario sobre su nueva oferta.
• El usuario debe verificar su primera factura del nuevo comercializador para asegurarse de que coincida con lo acordado.
Sitios de Cambio comerciales
Los servicios comerciales de “switching” ofrecen una oferta amigable para el proceso. De manera similar a los servicios de comparación, estos deben recibir información sobre los consumos y facturas de energía actuales que normalmente puede hacerse en línea o por teléfono.
El servicio de cambio cancela el contrato existente y lo inscribe en el nuevo comercializador elegido, es importante saber que algunos servicios de cambio tienen comercializadores preferidos y también pueden recibir una comisión de los mismos. Estos sitios no están regulados y tienen algunas características de cuidado para el usuario:
• Los servicios de switching no siempre comparan todas las ofertas de todos los comercializadores de energía. Es posible que no se encuentre disponible la oferta "mejor" o "más barata".
• No todos los servicios de cambio cotizan al mismo precio por el mismo trato u oferta. Es posible que los comercializadores de energía proporcionen cotizaciones diferentes.
• Es posible que los servicios de switching no expliquen los términos y condiciones asociados con el cambio a un nuevo contrato.
• Es posible que el comercializador actual cobre un cargo por cancelación anticipada o por incumplimiento con los términos y condiciones del nuevo contrato.
• Los servicios de switching pueden calcular cotizaciones de diferentes formas. Ingresar información en diferentes sitios web puede dificultar la comparación de cotizaciones.
La Gobernanza para DCC (Xxxxx Unido) y Elhub (Noruega) se establece en los términos de una licencia que define las funciones, responsabilidades, permisos, controles, revocación, cronogramas y otras condiciones para el gestor de información. En el caso de AEMO, debido a que el modelo es descentralizado, su gestión sólo consiste en coordinar la pasarela (o gateway) de transferencia de información entre las partes, por lo cual sus funciones en el Mercado Mayorista (NEM) se aplican hacía el minorista.
Tabla 7 Comparativo en gobernanza
Variable de Diseño | Colombia | UK | Noruega | Australia |
Definición de Gobernanza | No definido | Licencia | Licencia | Ampliación de funciones |
El Departamento de Energía y Cambio Climático xxx Xxxxx Unido, abrió un proceso competitivo para otorgar la licencia al concesionario del DCC. La empresa ganadora "Capita PLC" estableció su empresa "Smart DCC Ltd" para cumplir con los términos de la Licencia y se convirtió en una empresa regulada por OFGEM. El DCC, al ser un monopolio, tiene fuertes restricciones, especialmente en su manejo financiero, como se observa en la siguiente tabla:
Tabla 8 Restricciones y controles al DCC
En materia de ingresos y obligaciones | • Existen restricciones sobre la capacidad de DCC de contraer deudas. • DCC debe evitar un recaudo excesivo de sus costos. • DCC debe hacer una estimación apropiada de sus ingresos. • Tiene un margen de referencia. |
En materia de gobierno corporativo | • Informe anual reglamentario y sus cuentas • Cuentas Regulatorias preparadas y presentadas a la Autoridad bajo los Requisitos para las Cuentas Regulatorias. |
En materia de control de riesgos | Debido a que el DCC es una compañía con pocos activos tangibles y grandes contratos externos, pero que representa un rol esencial en el sector energético xxx Xxxxx Unido, esto implica otro grupo de controles: • Gobierno corporativo, cumpliendo con el código de gobierno corporativo xxx Xxxxx Unido. • Controles internos que demuestran mantenimiento de una estructura organizativa adecuada, registros de evidencias de auditorías y seguimiento a procesos. • Estrategia de riesgos con plan de identificación, evaluación y gestión. |
En Noruega, Elhub actualmente tiene una licencia para gestionar el uso eficiente de la medición inteligente a través de una distribución coherente de datos y realizando un control de calidad de los valores de medición informados por los DSO. Elhub pertenece a Statnett, que es una empresa estatal noruega, responsable de operar y construir la red eléctrica principal en Noruega. Esta empresa también posee el 30% xx Xxxx Pool Spot junto con otros operadores de sistemas de transmisión nórdicos.
Siendo estatal, se espera que Elhub cumpla con toda la gobernanza de las empresas estatales y NVE, respecto a requisitos sobre control de calidad, migración de datos a Elhub, la regulación minorista, el derecho de los distribuidores y comercializadores a acceder directamente a la información y la protección de los derechos de los usuarios. La estructura neutral debe garantizar las mismas condiciones de igualdad para todos los actores competitivos.
Si bien NVE está a cargo del proyecto Elhub a nivel superior, Statnett es responsable de la implementación operativa. NVE toma todas las decisiones vinculantes con respecto a Elhub para Statnett, DSO, proveedores y proveedores de servicios externos. Xxxxxxxx proporciona directrices no vinculantes. Por requisito de NVE, Xxxxxxxx ha establecido un consejo de partes interesadas para el proyecto. El consejo está formado por representantes de DSO y proveedores, mientras que NVE participa como observador. El consejo ha proporcionado a la industria actualizaciones sobre el progreso del proyecto de Xxxxxxxx y NVE e invitado a discusiones sobre las cuestiones planteadas por cualquiera de las partes. NVE también ha exigido que Statnett aplique un control de calidad externo. Desde principios de 2014, se han llevado a cabo tres revisiones de control de calidad del proyecto, lo que resulta en recomendaciones para su mejora en relación con la gestión de proyectos, gestión de riesgos, control de costos, seguridad, migración, arquitectura, contrato, manejo de solicitudes de cambio, interacción con las partes interesadas, recursos/competencia, progreso, metas/mandato del proyecto y realización de beneficios (Implementation of data hubs in the Nordic countries, 2018).
AEMO está registrada como empresa pública limitada por garantía, siendo una organización sin fines de lucro y con costos operativos que se recuperan mediante tarifas pagadas por los participantes xxx xxxxxxx. Opera dentro de una estructura de gobernanza xxx xxxxxxx de energía con la Junta de Seguridad Energética (ESB), la Comisión xxx Xxxxxxx de Energía de Australia (AEMC) y el Regulador de Energía de Australia (AER). Las funciones de AEMO están previstas en su Constitución y en instrumentos legislativos como la Ley Nacional de Electricidad y la Ley Nacional del Gas. Del mismo modo, debe cumplir con las normas específicas de su función.
La independencia y los conflictos de interés son un punto clave en el diseño y las definiciones del modelo y de la empresa que presta los servicios de gestión, así como la interacción entre los participantes, los canales de comunicación y los acuerdos de servicios que se generan de la colaboración del proceso. En el caso de Australia, el gestor (AEMO) al hacer parte del modelo Gateway (descentralizado) se libera de muchas responsabilidades y conflictos de interés respecto a los modelos centralizados, lo cual es un fuerte punto a favor de este modelo. En los otros dos casos, se espera una alta independencia en todos los aspectos, incluso a los directores del gestor.
Dentro de la Licencia (Smart Meter Communication Licence, 2013), (Condición 9) se establecen las prohibiciones y restricciones (sujeto a ciertas excepciones) con relación a las actividades del Gestor (DCC) con el propósito de asegurar su independencia y autonomía respecto a otras entidades, incluyendo participantes Partes SEC, Partes REC y Proveedores de servicios externos, ya sea dentro o fuera de cualquier grupo empresarial más amplio al que pudiera pertenecer el Licenciatario.
Restricciones relacionadas con las actividades del Licenciatario
El Gestor no debe realizar ningún negocio o emprender cualquier actividad que no sea un negocio o una actividad correspondiente al negocio autorizado. Específicamente, esta prohibición se refiere a las siguientes posibilidades:
• Poseer una Licencia de Energía (que no sea esta Licencia)
• Tenencia de inversiones:
- Por medio de acciones, valores, intereses de los miembros u otros intereses o derechos en cualquier persona jurídica, o
- Por medio de valores, intereses de los miembros u otros intereses o derechos en cualquier sociedad o asociación no incorporada, que desarrolla un negocio o realiza una actividad que no forma parte de la empresa autorizada.
Además de lo anterior, existen restricciones relacionadas con la estructura corporativa del Licenciatario. Ni el Gestor, ni una subsidiaria del Gestor, pueden en ningún momento mantener o adquirir cualquier inversión en acciones, valores u otros derechos o intereses financieros en:
• Cualquier persona a quien todos los Servicios se proporcionan como parte del Negocio Autorizado12 del Gestor; o
• Cualquier proveedor de servicios externo (o cualquier afiliado o empresa relacionada de dicha persona) de quien la Capacidad de servicio especificada es o es probable que sea adquirido por
12 Es el alcance de la licencia
el Licenciatario.
El Gestor debe asegurarse de que ninguno de sus directores sea o se convierta en un director o un empleado de, o posea o adquiera inversiones mediante acciones, valores u otros derechos o intereses financieros en:
• Cualquier persona (o cualquier Afiliado o Empresa relacionada de dicha persona) a quien todos los Servicios se proporcionan como parte del Negocio Autorizado del Licenciatario; o
• Cualquier proveedor de servicios externo (o cualquier afiliado o empresa relacionada de dicha persona) de quien la Capacidad de servicio especificada es o es probable que sea adquirido por el Licenciatario.
Actualmente NVE está considerando una medida para mejorar la independencia de y evitar conflictos de interés entre el comercializador y el distribuidor. Se trata de un cambio en las disposiciones del “servicio universal” que permita utilizar un enfoque centralizado con un único comercializador de respaldo. Esto sugiere que todo el suministro eléctrico sería realizado por los comercializadores, incluyendo uno universal, y así nunca utilizar al distribuidor para proveer energía.
Esto a su vez, aclararía los roles en el mercado y permitiría a los comercializadores competir en igualdad de condiciones, términos de nivel, con menos cuestiones de neutralidad relacionadas con el servicio universal. La subasta podría realizarse con comercializadores que presenten ofertas de precio y otras condiciones. Esto garantiza que los clientes reciban un precio justo y una protección adecuada de la competencia.
Respecto al mercado regional, los datahubs deben mantener la neutralidad pese a su función de centralizar el manejo de los procesos de cada mercado, pero la independencia es un factor clave para que pueda funcionar un único mercado minorista nórdico de manera eficaz. Sin embargo, se reconoce que la interoperabilidad entre los centros de datos nórdicos son un problema que requerirá más trabajo. El Retail Market Working Group (RMWG) hará un análisis de costo-beneficio con respecto a si se necesita interoperabilidad entre los centros de datos nórdicos y, de ser así, sugerirá cómo se debe implementar la interoperabilidad para crear el mayor valor para la sociedad y los consumidores (Work Program 2020, 2020).
La junta de AEMO opera bajo el gobierno de un Consejo de Administración, que supervisa los asuntos comerciales de AEMO para garantizar que la empresa cumpla con sus objetivos y responsabilidades corporativos, las leyes y los regímenes regulatorios pertinentes. La Junta también supervisa el desempeño
y la rentabilidad de las operaciones y los sistemas de AEMO y es responsable ante los miembros de AEMO. La mayoría de los directores de la Junta deben ser independientes de la administración y estar libres de cualquier relación que pueda interferir con su capacidad para ejercer su juicio independiente. Respecto a los participantes, AEMO con el modelo Gateway no requiere una alta independencia de las empresas de distribución o comercialización, quienes incluso son socias del 40% de la compañía. Existen en el modelo algunas situaciones de conflicto que se resuelven bajo un acuerdo de cooperación:
● El distribuidor y el comercializador deben brindarse toda la asistencia razonable entre sí y cooperar entre sí, en relación con el desempeño de sus respectivas obligaciones y el ejercicio de sus respectivos derechos con respecto a la venta y suministro de energía a clientes compartidos en virtud de la ley, el reglamento y los procedimientos xxx xxxxxxx minorista.
● El distribuidor y el comercializador deben esforzarse al máximo para proporcionar o poner a disposición del otro sin costo y de manera oportuna información o documentación que el otro requiera para llevar a cabo sus obligaciones derivadas de la ley, el reglamento, y procedimientos xxx xxxxxxx minorista.
● Tanto el distribuidor como el comercializador deben, al tener conocimiento de cualquier material, cambio en cualquier información proporcionada o puesta a disposición de acuerdo con esta parte, notificar a la otra acerca del cambio, tan pronto como sea razonablemente posible.
● El distribuidor y el comercializador deben tomar todas las medidas razonables para garantizar que toda la información que proporciona o pone a disposición del otro (independientemente de si la información es generada por una tercera persona) es precisa y completa.
Figura 9
Gobernanza de AEMO y funciones de NEM
Junta de Seguridad Energética (directores de AEMO, AER, y AEMC)
Supervisa la seguridad y confiabilidad
Consejo Energético COAG (mancomunidad y ministros de energía
Asigna
Miembros pueden nominar candidatos a la Junta y vetar asignaciones recomendadas por el Panel de Selección del Consejo Energético
Miembros
60% gobierno
Junta de directores
AEMO
Responde a
Comité de Riesgo y Auditoría | Comité de Personas y Remuneración |
Comité Técnico y Regulatorio | Comité de Nominación* |
Comités de Junta ayudan a la Junta a cumplir sus responsabilidades en temas específicos
* Planea sucesión e identifica habilidades
Llamar/Votar en reuniones generales Pueden proponer resoluciones Pueden comentar
Fuente: AEMO Constitution and Board Charter, CEPA analysis
Los riesgos principales para el gestor en Xxxxx Unido y Noruega son similares a nivel de empresas y operativos; en el caso de AEMO sólo se incluyen los operativos:
Tabla 9
Posibles riesgos identificados en los países analizados
Tipo de Riesgo | Empresariales | ● Amenaza para que la compañía retenga la licencia debido a un evento de revocación o falla del servicio, o daño a la reputación que pone en riesgo la renovación futura de la licencia. ● Incidente material de seguridad del gestor o pérdida de datos. ● Incumplimiento persistente de la licencia de comunicación del medidor inteligente o los códigos de la industria. ● Fallos importantes del servicio de prepago que afectan a los consumidores. ● Percepción de los clientes sobre la mala gestión de los costos. ● Percepción negativa del gestor por parte de los medios. ● No cumplir con los resultados del programa. ● Que el gestor no garantice una seguridad y salud adecuadas y eficaces y controles ambientales. |
Expectativa de rendimientos | ● El gestor no ofrece un rendimiento sostenible a los accionistas. ● Pérdida de personal clave que inhibe la capacidad del gestor para ejecutar sus funciones. ● Pérdida de la confianza de las partes interesadas que limite la capacidad del gestor para ofrecer reutilización e innovación de servicios. | |
Solvencia | • El gestor podría declararse insolvente o podría no poder cumplir con sus responsabilidades financieras. | |
Operativos | Cuando el despliegue depende del gestor, el retraso en el despliegue del medidor inteligente también representaría un riesgo, como es el caso xxx Xxxxx Unido. En la medida en que los comercializadores de energía se retrasan en instalar o unirse al sistema, los usuarios se perderán de las funcionalidades y ahorros xxx xxxxxxx minorista. También en el Xxxxx Unido, las sanciones a comercializadores se deben a conductas que identifica el gestor (DCC). Desde su operación, varias empresas comercializadoras han sido sancionadas por no cumplir con sus obligaciones en el mercado minorista, se les impidió asumir nuevos clientes y comenzaron a acumular sanciones financieras e incumplir pagos al mercado. En este caso existe un riesgo adicional; cuando el DCC es la única manera de vincular medidores inteligentes en hogares y pequeñas empresas, con comercializadores de energía y operadores de red y recae toda la responsabilidad del monitoreo en el gestor. |
3.6. Manejo de la información y Protección de datos personales
El Xxxxx Unido utiliza medidas más exigentes de seguridad de la información, posiblemente porque la gestión está centralizada y recae sobre una empresa privada. En los otros países también existen
preocupaciones por el acuerdo de uso de datos por la dificultad de gestionar el acceso y la protección bajo esquemas descentralizados.
La infraestructura de comunicaciones de medición inteligente se ha diseñado de tal manera que todos los datos de consumo enviados entre los usuarios del servicio y los medidores inteligentes están encriptados y por lo tanto, no son visibles para el Smart DCC. Se mantiene un registro de Información Confidencial que identifica el propósito de la información que se está procesando y asigna formalmente la propiedad de cada activo de información a un procesador autorizado (un miembro del equipo de alta dirección de Smart DCC). Los registros capturan todos los activos de información importantes, como la documentación del sistema, la base de datos contenido y contratos. La información confidencial se gestiona de acuerdo con los siguientes principios:
• Los datos sólo se conservan para los fines de su uso
• Los datos se almacenan en el menor número posible de lugares y durante el menor tiempo posible
• Los datos se distribuyen sólo a aquellos que necesitan tener acceso Los datos físicos son:
• Almacenados en contenedores fijos con seguridad física
• Se transfieren utilizando métodos seguros de mensajería
• Son triturados cuando ya no son necesarios Los datos electrónicos son:
• Protegidos mediante autenticación y control de acceso
• Cifrado cuando se transmite a través xx xxxxxxx no dedicados
• Se eliminan de forma segura cuando ya no son necesarios
La Ley de Protección de Datos xxx Xxxxx Unido entró en vigor el 25 xx xxxx de 2018. Esta ley reemplazó a la anterior Ley de Protección de Datos de 1998, en el contexto del Brexit y del Reglamento General de Protección de Datos (RGPD). Mientras el Xxxxx Unido siga siendo un estado miembro de la Unión Europea, el RGPD y la nueva ley forman juntos el marco legal para la protección de datos xxx Xxxxx Unido. La intención declarada de ese gobierno es mantener las disposiciones del RGPD tras su salida de la UE.
La ley nacional se aplica al procesamiento de cualquier dato ("datos personales") relacionado con un individuo vivo identificado o identificable ("titulares de datos"). La autoridad competente Information Commissioner’s Office (ICO) ha publicado una guía sobre la clasificación de datos como datos personales.
En general, la guía sugiere que en la mayoría de los casos será obvio si los datos se considerarán o no datos personales.
El tratamiento se define de manera extremadamente amplia y cubre cualquier operación o conjunto de operaciones realizadas con datos personales, incluida la recopilación, el registro, la organización y la eliminación. La ley nacional se aplica tanto al procesamiento de datos manual como al automatizado. El concepto de tratamiento de datos permanece sin cambios bajo el RGPD.
La ley se aplica a aquellas personas que determinan los fines y la manera en que se procesan o se procesarán los datos personales ("responsables "). Por su parte, El RGPD también introduce obligaciones que se aplican directamente a los encargados de datos (las personas que procesan datos personales en nombre de un responsable de datos) y la responsabilidad directa de dichos encargados por el incumplimiento de esas obligaciones.
La normativa en la materia se aplica a las actividades de tratamiento de datos realizadas por:
• Responsables de datos establecidos en el Xxxxx Unido
• Responsables de datos que no están establecidos en el EEE pero que utilizan equipos ubicados en el Xxxxx Unido para llevar a cabo actividades de procesamiento de datos (que no sean simplemente para fines de tránsito).
La ICO ha indicado que el "uso de equipo" puede incluir, por ejemplo, el alojamiento de un sitio web en el Xxxxx Unido o el uso de cookies (es decir, si las cookies se colocan en las computadoras de los usuarios de Internet dentro xxx Xxxxx Unido).
Asimismo, impone requisitos adicionales para el tratamiento de datos personales sensibles, es decir, datos personales relacionados con el origen racial o étnico, opiniones políticas, creencias religiosas o de otro tipo, afiliación sindical, salud o condición física o mental, vida sexual, comisión o presunta comisión de cualquier delito o proceso penal. Específicamente, el tratamiento de datos personales sensibles está prohibido a menos de que se cumpla una de las condiciones establecidas, dentro de las que se incluye el consentimiento otorgado por el titular de estos.
El consentimiento del titular no es obligatorio, aunque se contempla como una justificación para el tratamiento, y en la práctica puede ser una de las formas más sencillas de justificar el mismo. No se requiere consentimiento por escrito. El consentimiento no está definido en la ley nacional. En el Xxxxx Unido, el consentimiento en línea o electrónico está permitido y se considera efectivo si está estructurado y evidenciado adecuadamente.
Una empresa que recopila datos personales debe proporcionar a los interesados información sobre:
• El nombre del responsable de los datos;
• Los fines para los que se pretenden procesar; y
• Cualquier información adicional que sea necesaria para garantizar que el procesamiento sea justo según las circunstancias del caso.
Cuando los datos se obtengan de un tercero, el responsable de datos no tendrá que proporcionar esta información cuando al hacerlo suponga un esfuerzo desproporcionado, o cuando la recopilación o divulgación de los datos sea necesaria para el cumplimiento de una obligación legal por parte del responsable de datos. La ICO ha emitido un código de prácticas que proporciona orientación sobre los requisitos de aviso de privacidad para los responsables de datos.
Se requiere que un responsable de datos procese los datos personales de manera justa y legal. Los datos personales solo pueden obtenerse para uno o más propósitos identificados y no deben procesarse de ninguna manera que sea incompatible con esos propósitos. Además, deben asegurarse de que los datos personales sean adecuados, relevantes y no excesivos en relación con los fines para los que se procesan. No deben conservar los datos personales durante más tiempo del necesario según el propósito para el que se procesan.
Los responsables de datos deben asegurarse de que los datos personales sean precisos y, cuando sea necesario, se mantengan actualizados. Además, deben adoptar las medidas de seguridad técnicas y organizativas adecuadas, cumplir con las reglas sobre transferencias internacionales de datos y respetar los derechos de los titulares de datos.
También deben tomar medidas para garantizar que los datos personales en su posesión y control (y cuando sean tratados por un encargado de datos en nombre suyo) estén protegidos contra el acceso y uso no autorizado o ilegal y la pérdida, destrucción o daño accidental. Para ello, deberán implementar salvaguardas de seguridad físicas, técnicas y organizativas adecuadas para proteger los datos personales y garantizar que el nivel de seguridad esté en consonancia con la cantidad, la naturaleza y la sensibilidad de los datos personales involucrados y el daño que pueda resultar del acceso y uso no autorizados o ilegales.
El ICO considera el cifrado como una medida de seguridad importante (aunque no es un requisito expreso) y ha emitido una guía sobre cifrado.
Cuando los datos personales se procesan en nombre de un responsable de datos, aquel tiene la obligación de:
• Asegurarse de que ha elegido un encargado de datos que brinde garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas que rigen
el tratamiento correspondiente.
• Tomar las medidas razonables para garantizar el cumplimiento por parte del encargado de datos de esas medidas; y
• Celebrar un contrato por escrito con el encargado de datos para asegurarse de que actúa solo siguiendo instrucciones del responsable de datos y cumple con obligaciones equivalentes
impuestas con respecto a la adopción de medidas técnicas y organizativas apropiadas contra el tratamiento no autorizado o ilegal de datos personales.
Finalmente, la ICO ha orientado respecto a la importancia de la debida diligencia del responsable de datos y el monitoreo continuo (por ejemplo, informes o inspecciones regulares) del encargado de datos elegido por el responsable de datos.
Noruega planea permitir que los clientes descarguen datos de Elhub, pero sin preparar una interfaz web centralizada, sino que los comercializadores ofrezcan una interfaz para sus clientes. Esta funcionalidad es importante para los hubs de NordReg. Sin embargo, requiere administrar que los clientes accedan a sus propios datos de medición y otorguen acceso a terceros. Esto permitiría a terceros ofrecer servicios a los clientes en base a sus datos. Si bien, el acceso está regulado a través de la licencia, en el caso xxx xxxxxxx nórdico es necesario definir el régimen de acceso regional.
Pero es importante recordar que la recopilación de datos de medición de la casa de una persona podría ser visto como una violación de la privacidad de esa persona, así como los datos que se pueden recopilar a través de aplicaciones de teléfonos inteligentes.
Para evitar confusiones en la opinión de los reguladores sobre lo que debería permitirse en términos de acceso a los datos, se han planteado documentos con las recomendaciones más críticas que ya han sido emitidos por el Consejo de Reguladores de Energía Europeos (CEER) y los Reguladores de Energía Europeos de Electricidad y Gas (ERGEG).
El regulador NVE, ha hecho modificaciones al Reglamento sobre medición y liquidación en virtud de la Ley de Energía con el fin de exigir el desarrollo de Elhub. Entre las modificaciones más importantes se encuentran el uso de números de identificación nacional para Elhub y los requisitos sobre los procesos empresariales para la identificación segura de los consumidores individuales en el mercado de la energía (Elhub - NVE, 2019). NVE también ha tenido una consulta pública adicional con respecto a Elhub, y ha asumido requisitos sobre el control de calidad y la migración de datos a Elhub. Entre las modificaciones adicionales del reglamento figuran el derecho de los DSO y los comercializadores a acceder directamente a los números de identificación nacionales del Registro Nacional (Endringer i forskrift om måling, avregning og samordnet opptreden ved kraftomsetning og fakturering av nettjenester, 2015).
En materia de protección de datos personales, en el marco del Acuerdo del Espacio Económico Europeo (EEE), Noruega implementará el RGPD, pero aún no ha sido finalmente adoptado por el Comité del EEE, ni se ha fijado una fecha de implementación final para Noruega. En el país, el RGPD reemplazará la Ley de Datos Personales y el Reglamento de Datos Personales.
La ley nacional aplicable define “dato personal” como cualquier información y evaluaciones que puedan estar vinculadas a una persona física. Por su parte, el procesamiento de datos personales se define como "cualquier uso de datos personales, como la recopilación, el registro, la alineación, el almacenamiento y la divulgación o una combinación de dichos usos".
La ley de datos personales se aplica a todo el procesamiento de datos personales, total o parcialmente, por medios electrónicos; el procesamiento de datos personales que forma parte o está destinado a formar parte de un registro de datos personales; y todas las formas de video vigilancia.
La ley también se aplica a aquellas personas que establecen el propósito del procesamiento de datos personales y los medios que se utilizarán, determinados como responsables del tratamiento. El consentimiento del titular del dato personal constituirá una base legal suficiente para el tratamiento de sus datos personales. El consentimiento debe ser voluntario, informado y explícito; no se requiere consentimiento por escrito y puede revocarse en cualquier momento.
Asimismo, el consentimiento del titular de los datos constituirá una base legal suficiente para el procesamiento de datos sensibles, pero dicho procesamiento puede, en algunos casos, estar permitido por otros motivos. Los requisitos de consentimiento son, en principio, los mismos para el tratamiento de datos sensibles y no sensibles, pero la aplicación de estos principios será más estricta en la práctica.
Una empresa que recopila datos personales directamente del titular de datos debe proporcionarle a este último, información sobre el nombre y la dirección del responsable de datos y su representante (si lo hubiera); los fines para los que se pretende procesar los datos; si los datos se transferirán o no a un tercero y, de ser así, a quién; indicar que es voluntario que el titular proporcione sus datos; y otra información que sea necesaria para que el titular pueda hacer valer sus derechos de la mejor manera posible, incluido el derecho legal de acceso y rectificación de los datos.
Una empresa que procesa datos personales debe limitar el uso de datos personales solo a aquellas actividades que sean necesarias para cumplir con los propósitos identificados para los cuales se recopilaron los datos personales; debe eliminar o anonimizar los datos personales una vez se hayan cumplido los propósitos indicados y se hayan cumplido las obligaciones legales.
Los titulares de datos personales tienen el derecho a: ser informados acerca de los datos personales que la empresa tiene sobre él y la forma en la cual se procesan; acceder a sus datos personales (sujeto a algunas restricciones); solicitar la corrección de sus datos personales y solicitar su eliminación y/o destrucción.
Todo procesamiento electrónico de datos personales está sujeto a notificación a la oficina de datos personales del país. Se requiere una notificación para cada categoría de tratamiento de datos, lo que significa que un responsable de datos personales puede tener que enviar varias notificaciones. Las notificaciones deben presentarse a más tardar 30 días antes de que comience el tratamiento y deben
renovarse cada tres años. se pueden utilizar formularios de presentación en línea estándar y la información requerida es limitada.
El tratamiento de datos sensibles está sujeto a una autorización de la oficina en la materia. Se encuentran varias excepciones a estas obligaciones de notificación y requisitos de autorización. Por ejemplo, ciertas categorías de datos, como datos de empleados y datos de clientes, están exentas, siempre que se cumplan determinadas condiciones.
Se requiere que las empresas tomen medidas para garantizar que los datos personales que están en su posesión y control estén protegidos del acceso y uso no autorizados. Deben implementarse las salvaguardas de seguridad físicas, técnicas y organizativas apropiadas para proteger los datos personales y la empresa debe poder documentar dichas salvaguardas. El nivel de seguridad debe estar en consonancia con la cantidad, la naturaleza y la sensibilidad de los datos personales involucrados.
Los requisitos para el manejo de violaciones de seguridad de datos se encuentran en el Reglamento de Datos Personales. Los requisitos solo se aplican a ciertos tipos de datos personales de particular importancia, a saber: aquellos datos personales para los que es necesario "proteger la confidencialidad, disponibilidad e integridad", para "prevenir el peligro de pérdida de la vida y la salud, pérdida financiera o pérdida de estima e integridad personal”, y que son procesados total o parcialmente por “medios automáticos”.
En caso de una violación relacionada con dichos datos, se deben tomar medidas para "restablecer el estado normal de cosas, eliminar la causa de la discrepancia y evitar su repetición". Además, se debe notificar a la autoridad competente si la infracción “ha dado lugar a la divulgación no autorizada de datos personales donde la confidencialidad es necesaria”. Asimismo, se documentarán los resultados del manejo del incidente de violación de seguridad. La Ley de Datos Personales no requiere expresamente que los titulares de datos personales sean notificados de la infracción, pero puede ser necesario hacerlo por otros motivos, en particular si es necesario para ayudarlos a evitar una pérdida relacionado con sus datos personales.
Una transferencia de datos personales debe, como regla general, ser necesaria para el propósito del tratamiento. Las razones organizativas, de rentabilidad y de seguridad normalmente se consideran razones aceptables para una transferencia de datos personales debido a la subcontratación. Aunque el procesamiento de datos personales sea subcontratado, el responsable del tratamiento sigue siendo quien se responsabiliza por las actividades de tratamiento.
Por lo tanto, el responsable debe asegurarse de que se cumplan las disposiciones del acuerdo de procesamiento de datos y otras regulaciones relacionadas, tanto por el responsable como por quien provee externamente los servicios de tratamiento. El proveedor de servicios externo y sus sub- procesadores (si los hay) se consideran encargados del tratamiento de los datos. Es un requisito legal que se celebre un contrato por escrito con el encargado de datos.
Además, si los datos personales se transfieren a un país ubicado fuera del EEE, el responsable debe asegurarse de que se aplique cualquiera de las excepciones a la prohibición general de transferir datos personales a un tercer país o de que se haya tomado otra medida aceptable para la transferencia. El responsable puede estar obligado a proporcionar a los titulares de datos personales, información sobre la transferencia de sus datos personales.
El gobierno federal ha estado trabajando en un paquete de reformas que brindará a los consumidores y terceros, un acceso simple a los datos, en tres sectores clave: banca, electricidad y telecomunicaciones. Sin embargo, contemplan una posible vulnerabilidad adicional: la suposición de que terceros, como las empresas de soluciones de plataformas de datos y los comercializadores de energía, crearán las plataformas ellos mismos, estableciendo otra posible xxxx x xxxxxxx para los consumidores.
Pese a la característica de descentralización del modelo, se prevé que las reformas incluyan la formulación de una nueva base de datos por parte del Operador xxx xxxxxxx de energía de Australia (AEMO) a la que las partes interesadas de la industria podrán acceder abiertamente. Se espera que esta información básica comprenda información como el nombre del consumidor, la dirección, el correo electrónico, el número de teléfono, el minorista actual y los detalles de las tarifas, el distribuidor de electricidad y los detalles relacionados con las energías renovables instaladas o el almacenamiento de energía.
La legislación de privacidad clave en el país es la Ley de privacidad, la cual se aplica al sector privado y al sector público. Los principios fundamentales de manejo de datos aplicables tanto al sector público como al privado están contenidos en los Principios de Privacidad de Australia (APPs por sus siglas en inglés) los cuales fueron emitidos por la autoridad competente Office of the Australian Information Commissioner (OAIC).
La "información personal" se define en la ley nacional como "información o una opinión sobre una persona identificada o una persona que es razonablemente identificable”:
● Si la información u opinión es verdadera o no; y
● Si la información u opinión se registra en forma material o no.
Los principios APP establecen que el concepto de que la información es "razonablemente identificable" puede incluir alguna que no es "información personal" por derecho propio y, por lo tanto, puede estar sujeta a la ley en la materia si existe la posibilidad de que se combine con otra información que permita que un individuo sea razonablemente identificable.
La regulación nacional se aplica a los actos y prácticas de las entidades con respecto a la información personal, incluyendo:
• La gestión abierta y transparente de la información personal (incluidas políticas de privacidad claras y tecnológicamente neutrales);
• El anonimato, la recopilación de información solicitada y no solicitada, notificación de recopilación, uso, divulgación, marketing directo, divulgación transfronteriza, uso de identificadores relacionados con el gobierno, calidad y seguridad de la información almacenada; y
• El acceso y corrección de la información almacenada.
La definición de la UE de "tratamiento" no se utiliza en la ley nacional australiana. Esta última se aplica a la información personal almacenada en papel y electrónicamente, y al manejo de datos tanto manual como automatizado. La regulación del país se aplica a las entidades que realicen cualquiera de los actos o prácticas cubiertos por los principios APP. No se hace distinción entre las entidades que controlan la información personal y las que la procesan en nombre de otras entidades.
La ley nacional en la materia se aplica a actos y prácticas:
• Realizados en Australia en relación con la información personal, por una entidad que está sujeta a la ley australiana (que no sean las autoridades estatales o territoriales); y
• Realizados fuera de Australia en relación con la información personal de un ciudadano australiano o una persona que vive en Australia por una entidad que tiene un vínculo con Australia (como ser una agencia gubernamental de la Commonwealth, una sociedad formada en Australia o una persona jurídica incorporada en Australia ); o que realiza negocios en Australia (incluso teniendo presencia en línea en Australia) y que recopiló o mantuvo la información en Australia en el momento del acto o la práctica.
Asimismo, la regulación no aplica frente a actos o prácticas:
• De individuos solamente en conexión con sus asuntos personales, familiares o domésticos, o de otra manera que no sea en el curso de un negocio llevado a cabo por ese individuo;
• De pequeñas empresas con una facturación de aproximadamente 3 millones de Dólares australianos (AUD) (excepto aquellas que: están relacionadas con una entidad que tiene una facturación superior a AUD $3 millones, prestan un servicio de salud o satisfacen otros criterios especificados en la ley);
• Relacionados con los registros de sus empleados; o
• Realizadas en el extranjero y que son requeridas por leyes extranjeras.
Por datos sensibles, la regulación del país entiende aquella información personal relacionada con el origen racial o étnico, opiniones políticas, membresía de una asociación política, asociación profesional o comercial o sindicato, creencias o afiliaciones religiosas, creencias filosóficas, preferencias o prácticas sexuales, antecedentes penales, información biométrica o información de salud. Por lo que una empresa
no debe recolectar este tipo de información a menos de que obtenga consentimiento del titular de los datos, entre otras excepciones dispuestas en la ley.
Respecto del consentimiento, no existe un requisito expreso para que una empresa lo obtenga de un individuo para recopilar información personal, siempre que la empresa solo use esa información para el propósito para el que fue recolectada o para un propósito relacionado (o un propósito secundario directamente relacionado en el caso de datos sensibles) para los que el individuo esperaría razonablemente que se usara la información. Excepto en circunstancias limitadas, una empresa debe obtener el consentimiento del individuo para utilizar los datos personales para cualquier otro propósito.
El consentimiento del titular debe ser siempre voluntario, informado, explícito e inequívoco. El consentimiento puede ser expreso o implícito, pero la forma apropiada de consentimiento dependerá de las circunstancias, expectativas del titular de datos y sensibilidad de mismos. Cuando el titular da su consentimiento, generalmente se entiende que solo cubre los fines identificados. No existe un requisito obligatorio de que el consentimiento debe ser por escrito para que sea válido. Por lo general, se puede proporcionar de forma oral o en diferentes formas y formatos. El titular de los datos también tiene derecho a retirar el consentimiento en cualquier momento. Además, no es necesario que el consentimiento se realice en el idioma local siempre que el interesado comprenda el idioma en el que se otorga. Una empresa que recopila datos personales debe proporcionar a sus titulares información sobre:
• La identidad de la organización
• Si los datos personales se recopilan de un tercero o, si el titular no es consciente de que la empresa ha recopilado sus datos personales, el hecho de que la empresa ha recopilado tales datos y las circunstancias de su recolección.
• Si la recolección es requerida o autorizada por la ley australiana u orden judicial, el hecho de que la colección es requerida por esa ley u orden judicial (incluyendo los detalles de la ley o tribunal que emitió la orden).
• Los tipos de datos personales que se recopilan.
• Los propósitos de la recopilación de datos personales.
• El hecho de que la empresa tiene una política de privacidad que contiene información sobre cómo el titular de los datos puede acceder a los mismos, solicitar su corrección y, los procesos de quejas asociados.
• Terceros a los que la empresa revelará los datos personales.
• Las consecuencias para el interesado si no se recopilan los datos personales.
• Si es probable que los datos personales se divulguen fuera de Australia y, de ser así, a qué países (si se conoce y es factible especificar esos países).
Además, una empresa que trata datos personales debe:
• Limitar el uso de datos personales solo a aquellas actividades que sean necesarias para cumplir con los propósitos identificados para los cuales se recopilaron.
• Anonimizar los datos personales siempre que sea posible.
• Proporcionar al titular de los datos la opción de utilizar un seudónimo o permanecer en el anonimato siempre que sea posible.
• Eliminar o anonimizar los datos personales una vez que se hayan cumplido los propósitos indicados y se hayan cumplido las obligaciones legales.
Las empresas están obligadas a tomar medidas para:
• Garantizar que los datos personales en su posesión y control estén protegidos del acceso y uso no autorizados.
• Implementar salvaguardas de seguridad físicas, técnicas y organizativas apropiadas para proteger los datos personales.
• Garantizar que el nivel de seguridad esté en consonancia con la cantidad, la naturaleza y la sensibilidad de los datos personales involucrados.
Los requisitos de notificación de violación de datos se aplican a toda la información personal y a todas las industrias. Una violación de datos elegible, que requiere notificación, se desencadena cuando hay un acceso no autorizado, divulgación o pérdida de información personal del cual una persona razonable podría concluir que probablemente resultará en un daño grave a las personas con quienes se relaciona la información personal. Una empresa estará exenta de notificación si:
• Toma suficientes medidas correctivas en respuesta al acceso no autorizado o la divulgación de información personal, de modo que el acceso o la divulgación probablemente no resulten en daños graves;
• Toma suficientes medidas correctivas en respuesta a la pérdida de información personal, de modo que no haya acceso no autorizado a la información o su divulgación o que cualquier acceso o divulgación probablemente no resulte en un daño grave; y
• La notificación sería incompatible con cualquier ley del Commonwealth que prohíba o regule el uso o la divulgación de información ("disposiciones de confidencialidad").
Tan pronto como sea posible después de informar a la autoridad competente, la empresa debe notificar a cada individuo con quien se relaciona la información personal, o los individuos que están en riesgo de la violación de datos elegible. Si la empresa no puede seguir ninguno de estos pasos para notificar la violación, la empresa debe publicar una copia del reporte en su sitio web (si tiene uno) o, de lo contrario, tomar las medidas razonables para publicitar el contenido de su reporte.
Las empresas que divulgan datos personales a terceros deben asegurarse de que existan medios contractuales o de otro tipo para proteger los datos personales. Puede haber obligaciones adicionales para cumplir con los requisitos para sectores específicos, incluido, por ejemplo, el sector financiero. En caso de un incidente de violación de datos, la empresa de subcontratación puede ser considerada responsable junto con el proveedor externo.
4. REFERENTES NACIONALES - ADMINISTRADOR DE BASES DE DATOS ABD
Si bien el relacionamiento internacional en busca de experiencias con gestores de datos resulta de mucha utilidad para entender los beneficios de esta herramienta, así como los retos que implica su implementación, es de igual importancia indagar por experiencias nacionales similares que permitan obtener una visión más cercana a la realidad del país. Como parte de este ejercicio, se consideró que el Administrador de Base de Datos (ABD), encargado de la gestión de los datos en la Portabilidad Numérica Móvil (PNM,) así como de la administración de las bases de datos positiva y negativa utilizadas para las políticas de combate a hurtos de celulares, podría ser un referente con características similares a las que tendría el GIDI. Esta experiencia se considera oportuna para el diseño xxx XXXX, principalmente por las siguientes cinco motivaciones:
• El ABD es un actor imparcial, racional, neutral, que debe dar un trato no discriminatorio a los Proveedores de Redes y Servicios de Telecomunicaciones (PRST) y quien tiene la obligación de operar y garantizar la seguridad, mantenimiento e integridad de la Base de Datos Administrativa de nuevos portados (BDA). Igualmente, se encarga de la comunicación de los cambios de PRST por parte de los usuarios y del cumplimiento de las especificaciones técnicas y operativas que sean definidas regulatoriamente por la Comunicación de Regulación de Comunicaciones - CRC.
• Los recursos de numeración y la figura del BDA guardan similares características, en su naturaleza regulatoria, con los medidores inteligentes y la base de datos que gestionaría el GIDI con base en la información proporcionada por los operadores de red.
• El ABD es una figura que ha funcionado en el país por alrededor de 10 años garantizando 24.2 millones de portaciones acumuladas desde su implementación; además, ha sido internacionalmente probado y adoptado en diferentes países (e.g. Chile, México, Perú, la Unión Europea, entre otros) que han implementado esquemas de portabilidad numérica móvil.
• La regulación del ABD y de la BDA centralizada atiende a un modelo de co-regulación, bajo el cual se desarrolla la participación explícita del regulador (i.e. CRC) para ofrecer ventajas significativas sobre la regulación tradicional de comando y control.
• Las bases de datos gestionadas por el ABD contienen datos personales de los usuarios del servicio de telefonía móvil, lo cual también constituye un reto en el diseño xxx XXXX.
En el caso de la PNM, la obligación de su prestación fue establecida por la Ley 1245 de 2008. En esta norma también se encomendó a la Comisión de Regulación de Comunicaciones (CRC), establecer las condiciones para la implementación y operación de dicha portabilidad, lo cual se materializó con la expedición de la Resolución CRC 2355 de 2010 y las medidas expedidas posteriormente13. De esta forma, desde el 00 xx xxxxx xx 0000, xxx xxxxxxxx de telefonía móvil puedan portar su número cuando cambian de proveedor. En la siguiente imagen, se muestra de manera general cómo funciona la PNM:
13 Resoluciones CRC 3003, 3050, 3051, 3069, 3086, 3100, 3153 y 3477 de 2011.
Figura 10
Esquema general de interacción en la PNM
Fuente: Imagen extraída de la Resolución SIC No. 53403 de 2013
Teniendo en cuenta anterior, en el presente capítulo se analizará en primer lugar, el marco regulatorio nacional en materia de PNM, luego de lo cual, se revisarán los antecedentes regulatorios para la implementación de la BDA y la creación del ABD en el país. Por último, se mostrará el estado actual del funcionamiento del ABD y de la BDA, para garantizar el derecho de portabilidad numérica móvil de los colombianos. Debe tenerse en cuenta que la información aquí proporcionada se sustenta en la información publicada por la CRC.
4.1. Marco regulatorio en materia de portabilidad numérica móvil (PNM)
La Constitución Política de 1991 dio gran importancia al desarrollo de un Estado Social de Derecho y al papel que este debía cumplir en la prestación de servicios públicos, con el fin de promover la competencia y proteger a los consumidores y usuarios. En su artículo 365, establece que los servicios públicos son inherentes a la finalidad social del Estado, que están sometidos al régimen que establezca la ley y que pueden ser prestados por el Estado en forma directa o indirecta, pero también por las comunidades organizadas y los particulares, lo cual propició la consolidación de la competencia en la prestación de los servicios de telecomunicaciones.
En tal sentido, la función regulatoria se caracteriza por perseguir aquellos fines estatales que el mercado en sí mismo no suple y por satisfacer aquellos tendientes a que opere correctamente en beneficio de la colectividad y no sólo de aquellos con predominio financiero o técnico. En ese marco, la regulación tiene el reto de encontrar y mantener el equilibrio entre distintos intereses que pueden resultar contrapuestos, de tal forma que se proteja el interés general de conformidad con los principios del Estado Colombiano.
Así las cosas, la Resolución 087 de 1997 incluyó el concepto de portabilidad numérica como “el servicio mediante el cual un usuario de TPBC puede mantener el mismo número o identificación telefónica aun cuando cambie de operador o de domicilio”. Allí se estableció que cuando ello sea técnicamente posible, y en todo caso para los servicios de red inteligente, antes del 31 de diciembre de 1999, los operadores de TPBC deberían facilitar la portabilidad de números telefónicos a otros operadores, incluyendo aquellos en los que el pago de la tarifa la cubre el destinatario de la llamada y aquellos en los que quien llama acepta una tarifa especial. Lo anterior no fue objeto de desarrollo en la práctica.
Posteriormente, se expidió el Decreto 25 de 2002 por el cual se ajustaron los Planes Técnicos Básicos de numeración, marcación y señalización; en su artículo 22, estableció las categorías de indicativos nacionales de destino (NDC), siendo este último el código que combinado con el número de abonado (SN) constituye el número nacional (significativo). Esto con el fin de identificar y/o seleccionar dentro del Plan de Numeración, regiones geográficas, redes, telecomunicaciones personales universales (UPT14) o servicios.
A su vez, en el artículo 40, se previó la portabilidad numérica “entendida ésta como la posibilidad de conservar su número telefónico, aún en el evento que cambie de un operador a otro en un mismo servicio de telecomunicaciones”, de manera obligatoria para numeración de servicios (cobro revertido, tarifa con prima, etcétera) y telecomunicaciones personales universales –UPT- y, a su vez, se determinó que a la CRC le correspondía determinar el esquema de portabilidad numérica en los diferentes indicativos nacionales de destino (NDC) y la viabilidad técnica y financiera.
Conforme con lo establecido en el artículo 40 del Decreto 25 de 2002 y en relación con la necesidad de adelantar un estudio para la evaluación de las condiciones en que debe darse la portabilidad numérica, la CRT (hoy CRC) contrató en 2004 el estudio “Revisión, estudio y análisis de la información y teorías aplicadas y desarrolladas a nivel mundial sobre la portabilidad numérica en servicios de telecomunicaciones tanto de TPBC, como de móviles”.
Debe tenerse en cuenta que el espíritu de la implementación de la portabilidad numérica también se encuentra en el marco del Plan Nacional de Desarrollo 2006-2010 Estado Comunitario y en el Decreto 2870 de 2007. Asimismo, se menciona en el documento Visión Colombia 2019. En el Plan de Desarrollo se indica que la regulación se debe fortalecer en un marco de convergencia tecnológica, que tenga en cuenta las necesidades de los usuarios y se configura como un instrumento de intervención económica. Por su parte, el Decreto 2870 de 2007 dictó la adecuación del marco regulatorio en un ambiente convergente en las redes y el mercado de los servicios de telecomunicaciones incluidas las redes de telefonía fija y móvil.
Posteriormente, el Congreso de la República aprobó la Ley 1245 de 2008, la cual estableció que los PRST que tengan derecho a asignación directa de numeración, se obligan a prestar la portabilidad numérica,
14 Universal Personal Telecommunications
entendida como la posibilidad del usuario de conservar su número telefónico sin deterioro de la calidad y confiabilidad, en el evento de que cambie de operador, de conformidad con los requerimientos prescritos por la CRC, con lo cual el concepto sobre portabilidad numérica, la obligación sobre la prestación de este servicio y su alcance tuvieron un nuevo giro.
Si bien la mencionada ley estableció la obligación de la implementación de la portabilidad numérica en el servicio de telefonía móvil, para el caso del servicio de telefonía fija dispuso que la obligación de la implementación de la portabilidad estaría sujeta a la determinación previa, por parte de la CRC, de su viabilidad técnica y económica, en términos de equilibrio financiero, y de serlo, sólo cuando el usuario se mantenga dentro del Distrito o Municipio, en el cual se presta el servicio. En el mismo sentido, estableció que la determinación de la plataforma tecnológica para la implementación de la portabilidad numérica dependería de los estudios técnicos y de impacto económico a los usuarios que realizara la CRC.
Respecto a la portabilidad móvil, se observa que la misma precisó dos aspectos fundamentales que son base primordial para la agenda regulatoria de la CRC para los años venideros:
• Obliga a los operadores móviles a prestar el servicio de portabilidad numérica; particularmente en este caso “se facilitará la conservación del número al usuario, aun cuando modifiquen la modalidad tecnológica de la prestación del servicio”; y
• Los costos de adecuación de las redes y de los sistemas para implementar la portabilidad numérica, serán sufragados por sus operadores, y en ningún caso se trasladarán al usuario.
Con posterioridad, fue expedida la Ley 1341 de 2009, y en su artículo 2 señaló que el Estado “propiciará escenarios de libre y xxxx competencia que incentiven la inversión actual y futura en el sector de las TIC y que permitan la concurrencia al mercado, con observancia del régimen de competencia, bajo precios xx xxxxxxx y en condiciones de igualdad (…)". A su vez, en el artículo 19 indicó que la CRC “(…) es el órgano encargado de promover la competencia, evitar el abuso de posición dominante y regular los mercados de las redes y los servicios de comunicaciones; con el fin que la prestación de los servicios sea económicamente eficiente, y refleje altos niveles de calidad". El numeral 1 del artículo 22 señaló que es función de la CRC, “establecer el régimen de regulación que maximice el bienestar social de los usuarios”.
Finalmente, dentro del régimen de protección al usuario se incluyó otro elemento importante para consolidar la implementación de la portabilidad numérica como lo es el derecho de los usuarios de elegir y cambiar libremente el proveedor y los planes de precios de acuerdo con lo autorizado por la CRC15 (Ley 1341, 2009).
A partir de lo establecido en las Leyes 1245 de 2008 y 1341 de 2009, la CRC realizó los estudios técnicos y económicos pertinentes, entre junio y diciembre de 2009, de acuerdo con las condiciones del país y la experiencia internacional en la materia, entre otros. A su vez, en cumplimiento de lo previsto en el inciso
15 Numeral 1 del artículo 53
4° del artículo 1° de la Ley 1245 de 2008, la CRC desarrolló los estudios técnicos y de impacto económico a los usuarios, para determinar la plataforma tecnológica para la implementación de la portabilidad numérica.
Como producto de los estudios efectuados, la CRC expidió la Resolución 2355 de 2010, en la cual se establecieron “las condiciones regulatorias y reglas generales aplicables a la implementación y operación de la Portabilidad Numérica para la telefonía móvil en Colombia”. Las disposiciones establecidas en la presente resolución aplican a:
• Todos los PRST que sean asignatarios directos de recursos de numeración no geográfica de acuerdo con el Plan Nacional de Numeración;
• A los demás agentes involucrados en las comunicaciones con destino a números portados;
• A aquellos que sean responsables del enrutamiento de dichas comunicaciones; y
• A los usuarios de números portados, de acuerdo con el ámbito de aplicación contemplado en la referida resolución.
En esa determinación regulatoria, la CRC estableció el conjunto de reglas técnicas, comerciales, operativas y de protección a los usuarios para la implementación de la portabilidad numérica móvil en Colombia, la cual fue ordenada directamente en la Ley 1245 de 2008, además del procedimiento y plazos de implementación.
4.2. Antecedentes regulatorios para la implementación de la BDA y creación del ABD
Con el fin de guardar coherencia en la metodología de referentes, a continuación, se abordarán los siguientes aspectos estructurales del ABD, los cuales permiten extraer las experiencias relevantes: (i) definiciones, naturaleza y funciones; (ii) esquema de gobernanza; (ii) resolución de conflictos y reglas de relacionamiento; (iv) identificación de riesgos y (v) requisitos en materia de datos personales.
4.2.1. Definiciones, naturaleza y funciones
Bajo el referido marco normativo, los estudios efectuados para la implementación de la portabilidad numérica móvil abordaron la necesidad de garantizar la neutralidad tecnológica, la libre elección de los consumidores y las condiciones de sana competencia. Para tal fin, la CRC propuso que el ABD se entendiera como aquella “persona jurídica a cuyo cargo está la operación, gestión, seguridad, confidencialidad, e integridad de la [BDA], la intermediación de intercambio de informaciones entre proveedores durante el proceso de portación, y la coordinación de la sincronía de actualización de las bases de datos operacionales de los proveedores de telecomunicaciones” (Value Partners, 2009).
En el mismo sentido, la BDA debería entenderse como el “conjunto de datos con la información necesaria para el enrutamiento de comunicaciones hacia números portados”16 y las bases de datos operativas (BDO) como “el conjunto de datos que contienen la información necesaria para el enrutamiento de las comunicaciones, obtenidos a partir de la [BDA] y de propiedad de cada uno de los proveedores de telecomunicaciones” (Value Partners, 2009).
Bajo tal entendido, se propuso que el ABD fuera responsable por la operación, seguridad, mantenimiento e integridad de la BDA y de las especificaciones técnicas y operativas; mientras que la BDA contenía la información necesaria para garantizar el proceso de portación, siendo la misma de propiedad de la CRC. Una de las preguntas que surgió respecto a la definición y naturaleza propuesta del ABD, se relacionaba con si la empresa que desarrollara tal rol debía ser o no un PRST constituido como tal en el país. En su respuesta a comentarios, la CRC fue bastante clara en concluir lo siguiente:
“En la medida que la definición de portabilidad numérica no corresponde a un servicio de telecomunicaciones (…), es claro que el ABD no necesariamente debe constituirse como proveedor de redes y servicios de telecomunicaciones para el cumplimiento de sus funciones. No obstante, se recuerda que las condiciones asociadas al contrato que suscriba el ABD con los proveedores deberán contemplar el cumplimiento de aquellas condiciones que en materia de portabilidad numérica expida la CRC, así como la regulación que rige la prestación del servicio de telecomunicaciones afecto al referido contrato.” (Comisión de Regulación de Comunicaciones CRC, 2010).
Se propuso, en tal orden de ideas, que el ABD debiera cumplir los siguientes requisitos (Value Partners, 2009): (i) ser persona jurídica constituida en el país (no necesariamente se exigió que fuera un PRST constituido como tal ii); no estar inhabilitado, o con incompatibilidad o prohibición de orden constitucional o legal; (iii) tener sociedad constituida en Colombia; (iv) tener duración ilimitada; (v) ser independiente de los PRST en aspectos administrativos y financieros; (vi) los PRST en Colombia y sus vinculadas o controladas no debían poseer participación societaria en el ABD y; (vii) los empleados del ABD no debían proveer servicios o ser empleados de ninguno de los PRST en el país (i.e. para efectos de garantizar neutralidad decisoria)
Adicionalmente, se propuso que entendiendo que los PRST que sean asignatarios directos de numeración geográfica y los PRST nacionales e internacionales debían implementar el modelo de enrutamiento All Call Query (ACQ) utilizando una BDA de portabilidad numérica centralizada17, el ABD último debería cumplir con las siguientes funciones (i.e. obligaciones) (Value Partners, 2009).
• Ser responsable por el dimensionamiento, contratación, planeación de los equipos y sistemas necesarios para la implementación y operación de la BDA.
17 ACQ se define como esquema de enrutamiento en el que, previo al establecimiento de una comunicación, el proveedor que origina la misma debe consultar una base de datos operativa y obtener información que le permita enrutarla al proveedor destinatario (Resolución CRC 2355 de 2010, compilada en la Resolución CRC 5050 de 2016).
• Mantener la confidencialidad de las informaciones de los procesos de portación.
• Garantizar los intercambios de información entre los PRST por medio de interfaces abiertas, automáticas y protocolos comunes.
• Implementar la BDA de forma factible.
• Mantener la BDA actualizada, vigilando la precisión de la información contenida en ella.
• Controlar los procesos de portación.
• Proveer acceso a la BDA por parte de la CRC, cuando esta lo considere pertinente en el marco de sus funciones regulatorias.
Resulta importante subrayar que la PNM es una herramienta que pretende beneficiar a los usuarios de los servicios de telecomunicaciones y promover la competencia entre los PRST. Por lo que la potestad que ejerce la CRC, en cuanto al desarrollo regulatorio para su implementación, encuentra sustento en la función de promover la competencia y garantizar los derechos de los usuarios, conforme lo dispone la Ley 1341 de 2009 y la Ley 1978 de 2019.
Además de establecerse que fueran los PRST quienes debían suscribir un contrato para seleccionar al ABD, también se determinó que el ABD debía tratar con imparcialidad, racionalidad, neutralidad y trato no discriminatorio a los PRST involucrados en la operatividad de la portabilidad móvil. Para tales propósitos, la CRC planteó que en el contrato entre el ABD y los PRST no fueran permitidas acciones perjudiciales para el funcionamiento de la portabilidad, tales como la omisión de informaciones técnicas u operativas necesarias para el correcto funcionamiento del proceso de portación en el enrutamiento de llamadas y mensajes, la exigencia de condiciones abusivas en los contratos de uso de recursos de red o la obstrucción de las negociaciones de los acuerdos de interoperabilidad.
Así las cosas, la CRC consideró que la naturaleza de la obligación de implementar la portabilidad es privada y la misma se encuentra en cabeza de los PRST, quienes debían asumirla de acuerdo con la ley y la regulación que expidiera la CRC para el efecto (Comisión de Regulación de Comunicaciones CRC, 2010). Fue así como, para garantizar la neutralidad y las condiciones de sana competencia, se propuso que el ABD fuera contratado en conjunto por los PRST bajo el cumplimento de la regulación expedida por la CRC, y la base de datos que integraba el conjunto de la información relacionada con la portabilidad fuera una
instalación esencial. Por lo tanto, esta podría ser requerida al ABD cuando así ́ fuera considerado por la
CRC.
Asimismo, se propuso que cada PRST debía contar con una copia de dicha base de datos (i.e. BDA operativas) para diversificar el riesgo ante una posible falla en la BDA y evitar monopolios en la provisión de servicios de consulta a la BDA gestionada por el ABD. Así las cosas, los PRST deberían celebrar contratos con el ABD, en los cuales se observen los principios de imparcialidad, racionalidad y trato no discriminatorio.
Respecto de los aspectos generales del proceso de selección del ABD, la CRC sugirió a los PRST tener en cuenta los aspectos planteados en la siguiente tabla (Comisión de Regulación de Comunicaciones CRC, 2010).
Tema | Sugerencia |
Información mínima de las condiciones de selección del ABD | Se propuso una información mínima a ser tenida en cuenta dentro de sus términos de referencia tales como: (i) objeto del contrato; (ii) especificaciones técnicas y operativas; (iii) modalidad de contratación; (iv) proceso de selección; causales de rechazo de las propuestas o la declaratoria de desierto del proceso; (v) condiciones de celebración del contrato; (vi) condiciones económicas y forma de pago; (vi) garantías. |
Modalidad y mecanismo de contratación | Se aclaró que los PRST deberán determinar conjuntamente la modalidad y el mecanismo de contratación de conformidad con el Código de Comercio, y en el marco de la Ley 1245 de 2010 y la Resolución CRC 2355 de 2010. |
Elaboración y presentación de propuestas | Incluye la determinación de las condiciones en la que los proponentes o el eventual contratante debe elaborar y presentar para que su propuesta sea considerada como válida. |
Responsabilidad de la elaboración de la propuesta y efecto vinculante de las mismas | Se sugirió establecer claramente que la responsabilidad de elaborar la propuesta es enteramente de los proponentes, y que la presentación de la propuesta vincula al proponente. |
Régimen jurídico aplicable | Se sugirió determinar el ordenamiento jurídico aplicable en la elaboración de la propuesta y en la celebración, suscripción y ejecución del contrato. |
Modificación de las condiciones de selección del ABD | Se deja claro que las mismas no podrán vulnerar la regulación general aplicable en la materia. |
Procedimiento de selección | Se refiere a las diferentes etapas del proceso de selección, incluyendo por lo menos, las siguientes: (i) período de información previa y elaboración de los términos de referencia; (ii) preparación y presentación de las propuestas; (iii) evaluación de las propuestas y (iv) selección y adjudicación. |
4.2.3. Resolución de conflictos de interés y reglas de relacionamiento
Dentro del proceso de discusión y, entendiendo que las propuestas consistían en que los PRST, en conjunto, a través de un proceso objetivo seleccionaran al ABD que contrarían para administrar la BDA, quedó claro que los PRST deberían incluir en el contrato, conforme a lo estipulado en el citado artículo 39 de la Resolución CRC 2355 de 2010, mecanismos de solución de controversias para resolver los conflictos que pudieran surgir del relacionamiento contractual con el ABD. Por esta razón, durante el proceso de discusión del proyecto, la CRC explicó que los PRST podrían contemplar mecanismos de
autocomposición (conciliación, transacción) y/o de heterocomposición (amigable composición, arbitramento).
En el seguimiento de la ejecución contractual, así ́como para la solución de controversias, igualmente se consideraron mecanismos que operen de manera permanente, a través del establecimiento de panelistas expertos, cuyas decisiones pueden tener efecto vinculante entre las partes. Para los asuntos técnicos propios del desarrollo e implementación de la base de datos, se planteó que los proveedores de redes y servicios y el ABD, de mutuo acuerdo en un plazo corto, pudieran definir que dichas controversias sean resueltas por especialistas en la materia.
Adicionalmente, y con el fin de crear una instancia temporal de carácter consultivo cuyo propósito sería el de promover la cooperación entre los agentes del sector involucrados en la implementación y posterior operación de la portabilidad numérica en Colombia, la CRC planteó la creación del Comité Técnico de Portabilidad (CTP) el cual estaría compuesto por representantes de la CRC, representantes de cada uno de los PRST y representantes del ABD (cuando este fuera seleccionado).
Asimismo, la CRC y cada PRST tendrían derecho a un voto para la definición de las proposiciones que serían presentadas a la CRC, teniendo esos votos la misma ponderación en las decisiones del CTP. Así, las proposiciones que fueran discutidas en el ámbito del CTP y que obtuvieran la mayoría de los votos (i.e. 50% más uno), serían consideradas formalmente como las proposiciones oficiales del CTP; las cuales serían sometidas al análisis y aprobación por parte de la CRC.
Respecto de su naturaleza, la CRC explicó que el CTP “es un órgano consultivo, cuyas decisiones no son vinculantes para la CRC (…) Dado lo anterior, el CTP será́ conformado por los [PRSTs] (…), y podrá́ dar sus recomendaciones para la implementación y puesta en marcha de la portabilidad a la CRC. Adicionalmente,
teniendo en cuenta que el CTP es la instancia que promueve la cooperación entre operadores (…) se considera que éste sería un escenario propicio para que los proveedores adopten las decisiones para el cumplimiento de su obligación legal de implementar la [portabilidad numérica]” (Comisión de Regulación de Comunicaciones CRC, 2010).
Así ́las cosas, el CTP fue concebido como un órgano consultivo, que emitiría conceptos no vinculantes, en relación con los aspectos y medidas necesarias para adoptar la portabilidad numérica que sean puestas a su consideración por la CRC y en los términos definidos por esta. Al respecto, la CRC fue clara al explicar que “sería contrario a la ley darle un carácter decisorio a los acuerdos alcanzados al interior del mismo, en lo que a las funciones de la CRC se refieren. No obstante lo anterior, los [PRST] pueden acordar que las
decisiones relativas a las obligaciones que recaen sobre estos sean discutidas al interior del CTP, y que los acuerdos que allí ́se alcancen sean de obligatorio cumplimiento por parte de sus miembros.”
4.2.4. Identificación de riesgos
Los riesgos identificados por la CRC, frente a los cuales sugirió que debían ser tenidos en cuenta tanto por el ABD como por los PRST, correspondieron, sin limitarse a ello, a los siguientes:
• Cumplimiento y responsabilidades respecto de las especificaciones técnicas y operativas.
• Cumplimiento y responsabilidades respecto de los niveles de calidad y disponibilidad.
• Cumplimiento y responsabilidades respecto de los mecanismos de seguridad.
• Cumplimiento y responsabilidades respecto del procedimiento de intercambio de información.
• Cumplimiento y responsabilidades respecto de los servicios de atención y soporte.
• Cumplimiento y responsabilidades respecto del esquema de remuneración
• Cumplimiento y responsabilidades respecto de la constitución de garantías.
• Cumplimiento y responsabilidades respecto de los mecanismos de solución de controversias entre los Proveedores y el ABD.
• Cumplimiento y responsabilidades respecto de las multas y sanciones.
• Cumplimiento y responsabilidad respecto de la forma de pago.
Al respecto, la CRC propuso que toda acción u omisión que transgrediera o violara las normas legales o regulatorias a las que están sujetos los PRST, constituirían infracciones susceptibles de ser sancionadas. Por ello la CRC, que no es el órgano de vigilancia y control del sector, daría traslado a la autoridad competente de cualquier conducta que llegare a su conocimiento y que pueda constituir una infracción o violación de las normas en la materia. En la etapa de respuesta a comentarios, la CRC abordó de manera dispersa estos riesgos identificados y concluyó que “como parte de sus funciones regulatorias, monitorea constantemente el comportamiento xxx xxxxxxx con el fin de detectar fallas en cuanto al correcto
funcionamiento en relación con los niveles de competencia de los mismos, así ́ como para establecer el
régimen de protección de los derechos de los usuarios” (Comisión de Regulación de Comunicaciones CRC, 2010).
Respecto a comentarios que se relacionaban con el alcance del nivel de intervención por parte de la CRC para promover la competencia, la Comisión explicó lo siguiente:
“la Ley 1245 de 2008 claramente no obliga a que la implementación de la portabilidad numérica se sujete a la determinación previa de la existencia de una falla en el mercado. Adicionalmente, respecto del numeral 2 del artículo 22 de la Ley 1341 de 2009, cabe reiterar que el mismo establece la determinación previa de la existencia de una falla en el mercado en caso de ser necesario el establecimiento de reglas de comportamiento diferenciales entre proveedores, y no se refiere, como se expresa en el comentario, al ejercicio general de la facultad de regular de carácter general o particular en las materias relacionadas con el régimen de competencia por parte de la CRC. Por lo anterior, el pretender sujetar de manera integral el actuar regulatorio de la CRC a la previa
determinación de la existencia de una falla en el mercado equivaldría a hacer nugatorio el ejercicio de las facultades legales a cargo de la Comisión”.
Debe tenerse en cuenta que, para el momento de la implementación de la portabilidad numérica móvil en Colombia, la ley en materia de protección de datos personales no había sido promulgada por el Congreso de la República. Por lo que, para ese entonces, la principal referencia sobre la materia era la jurisprudencia de la Corte Constitucional.
Teniendo en cuenta lo anterior, resulta importante entender el flujo de datos que se planteaba en el proyecto de intervención regulatoria, el cual se puede clasificar en las siguientes cuatro categorías:
Tipo de Información | Descripción |
Información requerida a los suscriptores para la solicitud de portación. El proyecto proponía que los PRST debían verificar la presentación de documentos con el fin de confirmar la identidad de los suscriptores solicitados. | Personas Naturales: • Nombre completo • Número de documento de identidad y copia del documento • Domicilio • Número(s) telefónico(s) de portación solicitada • Proveedor donante |
Suscriptores Corporativos: • Nombre completo del representante del suscriptor corporativo • Número de documento de identidad del representante • Razón social de la empresa con certificación xx xxxxxx y comercio, donde conste la representación legal de empresas • Número de identificación tributaria (NIT) • Domicilio de la sede corporativa • Número(s) telefónico(s) de portación solicitada • Proveedor donante | |
Información del formulario de solicitud de portación. Una vez recibida por el ABD, éste tiene la responsabilidad de adicionar a la solicitud de portación un número de protocolo para identificación (Número de Identificación Personal -NIP), que es único y emitido de manera secuenciada. | El proveedor receptor debería preparar la solicitud y enviarla al proveedor donante por intermedio del ABD. Para ello, la información mínima de la solicitud de portación que debe ser incluida por el proveedor receptor es: • Información del suscriptor • Número(s) telefónico(s) de portación solicitada • Fecha y hora de la creación de la solicitud • Código de identificación el proveedor donante (código estándar para identificar los proveedores a ser designado por el CTP) • Informaciones de contacto del responsable en el proveedor receptor por la solicitud de portación |
Información del ABD sobre números portados. El ABD también debe poner a disposición la BDA para solicitudes específicas de las autoridades regulatorias. | La CRC le solicitaría al ABD informes con frecuencia mensual, para control y monitoreo de los procesos de portación, entre las que se encuentran: • Número de solicitudes de portación ingresadas por proveedor receptor y clasificadas según ciertos criterios. • Número de solicitudes de portación rechazadas por el proveedor donante con la clasificación por causa. • Listado de procesos de portación no concluidos dentro del plazo regulado. • Listado de procesos de portación con ventanas de cambio con duración superior a 2 horas. • Listado de procesos de portación exitosos con ventanas de cambio con duración inferior a 2 horas. • Número y descripción de incidencias técnicas y operativas |
Información de los PRST | Los PRST deberían informar mensualmente las estadísticas de portabilidad. Esta información podría adquirirse directamente del ABD, pero tal proceso serviría para verificar directamente el resultado competitivo de la portabilidad (i.e. identificando proveedores que están ganando más suscriptores y cuales pierden). Adicionalmente, y teniendo en cuenta que uno de los principios que se planteó como guía de la portabilidad numérica corresponde al de transparencia, el proyecto regulatorio publicado para discusión contempló obligaciones de divulgación por parte de los PRST para efectos de lograr el efecto de transparencia respecto, entre otras cosas, de la información recabada y el acceso a la misma. |
Además de lo anterior, dentro del proyecto regulatorio se imprimió bastante importancia a la confidencialidad de la información, respecto de la cual la CRC explicó lo siguiente:
“Al respecto, debe mencionarse que acerca de la confidencialidad de la información, la X. Xxxxx Constitucional, en Sentencia T-473 de julio 28 de 1992, manifestó́ lo siguiente: ...En consecuencia, los funcionarios están autorizados para no permitir el acceso a aquellos documentos cuya consulta o comunicación pueda atentar contra secretos protegidos por la
ley, tales como los concernientes a la defensa y seguridad nacionales, a investigaciones de carácter penal, fiscal, aduanero o cambiario, así ́ como a los secretos comerciales e industriales. Por razones obvias, el acceso no es tampoco permitido cuando el contenido de los documentos vulnere el derecho a la intimidad consagrado en el artículo 15 de la Carta
vigente...” (SFT)
Teniendo en cuenta lo anterior, la CRC como garante de la confidencialidad de la información antes mencionada, debe señalar que los archivos del modelo solo pueden ser entregados al público de manera agregada y general, y no de manera discriminada considerando la información de cada operador tal como se solicitó́ en los comentarios. En
consecuencia, la Comisión debe abstenerse de hacer pública dicha información ya sea total o parcialmente, en los términos previstos en el artículo 19 del Código Contencioso Administrativo, que señala que “[t]oda persona tiene derecho a consultar los documentos que reposen en las oficinas públicas y a que se le expida copia de los mismos, siempre que dichos documentos no tengan carácter reservado conforme a la Constitución o a la ley, (...)”
Vale mencionar que para este momento no había sido expedida la Ley 1712 de 2014, conocida como la Ley de Transparencia y del Derecho a la Información Pública.
A lo largo de esta sección se ha hecho referencia al proceso a través del cual se implementó la PNM en el país, así como a los aspectos estructurales que se tuvieron en cuenta para el diseño del ABD como gestor de los datos. Esto con el fin de encontrar situaciones o retos similares enfrentados en su momento, que
puedan ser identificados en el diseño xxx XXXX. A continuación, se describirá el funcionamiento actual del sistema para conocer aquellos elementos que han sido exitosos y que permiten algún tipo de aprendizaje en el ejercicio que se pretende hacer.
En la actualidad, y luego del desarrollo regulatorio descrito, la BDA fue implementada para la portabilidad numérica móvil y es actualmente administrada por la empresa Informática El Corte Inglés S.A. Esta tiene a su cargo la administración, gestión e integridad de la mencionada base de datos, la mediación de los cambios de PRST móviles y la coordinación y sincronización de la actualización de las bases de datos operativas involucradas en la portabilidad numérica móvil.
Para comprender el estado actual del funcionamiento del ABD y de la BDA, a continuación, procedemos a identificar las definiciones, naturaleza y funciones, esquema de gobernanza, la forma como resuelven conflictos de interés y sus reglas de relacionamiento, la identificación de riesgos, los requisitos en materia de protección de datos personales y sus relaciones de titularidad sobre la información que el ABD administra frente a su rol con la BDA.
4.3.1. Requisitos en materia de datos y relaciones de titularidad sobre la información
El numeral 3.1. artículo 3 de la Resolución 2355 de 2010 (compilada en la Resolución CRC 5050 de 2016), define al ABD como la “persona jurídica que tiene a su cargo la administración, gestión e integridad de la Base de Datos Administrativa, la mediación de los cambios de Proveedor de Servicios de Telecomunicaciones y la coordinación de la sincronía de la actualización de las Bases de Datos Operativas involucradas en la Portabilidad Numérica”; mientras que entiende por BDA aquella “base de datos administrada por el ABD, que contiene como mínimo la información necesaria para el enrutamiento de comunicaciones hacia números portados, y que se actualiza de conformidad con el Proceso de Portación”.
Por su parte, el artículo 4.1.5.2 de la Resolución CRC 5050 del 2016, considera como instalación esencial a la BDA requerida para el correcto enrutamiento de comunicaciones para la portabilidad numérica móvil. Bajo tal entendido, el artículo 2.6.7.1 de la Resolución CRC 5050 de 2016, dispone que el ABD deberá ser un tercero neutral e independiente de los PRST y estará encargado de la implementación, operación, seguridad, mantenimiento e integridad de la BDA, la comunicación de los cambios de PRST por parte de los usuarios; la coordinación de la sincronía para la actualización de las BDO y el cumplimiento de las especificaciones técnicas y operativas detalladas definidas por la CRC.
El artículo 2.6.7.2 de la norma mencionada, plantea como requisitos mínimos para el ABD: (i) ser persona jurídica constituida en el país; (ii) sin participación accionaria o de capital de los PRST responsables de implementar la portabilidad numérica en el país, o de sus vinculadas, controladas, matrices y subordinadas. Estas mismas condiciones aplicarán para cualquier empresa que pueda llegar a contratar
el ABD para la operación de la BDA; y (iii) sus empleados no deben proveer servicios o tener vínculo laboral con ninguno de los PRST responsables de implementar la portabilidad numérica móvil. El artículo 2.6.7.3., por su parte, establece entre otras, las siguientes obligaciones para el ABD:
Obligaciones a cargo del ABD de acuerdo con el artículo 2.6.7.3 de la Resolución CRC 5050 de 2016 |
Responsable por el dimensionamiento, contratación, planeación de los equipos y sistemas necesarios para la implementación y operación de la Base de Datos Administrativa, de conformidad con las especificaciones técnicas y operativas definidas por la CRC. |
Mantener la confidencialidad de las informaciones de los procesos de portación, cuando dicha información por disposición legal tenga carácter confidencial o reservado. |
Garantizar en todo momento la reserva de la información de la BDA. Dicha información sólo podrá ser utilizada para los fines específicos asociados a la PNM. |
Garantizar los intercambios de informaciones entre los Proveedores de Redes y Servicios de Telecomunicaciones por medio de interfaces abiertas y protocolos comunes. |
Mantener el registro histórico de números portados por un período no inferior a cinco (5) años, y una vez finalizado el (los) contrato(s), hacer entrega de dicho registro a los respectivos Proveedores de Redes y/o Servicios de Telecomunicaciones, teniendo en cuenta para el efecto las condiciones de confidencialidad aplicables |
Asignar el NIP a Usuarios de servicios móviles y realizar la verificación de la Solicitud de Portación. |
Disponer en la BDA de mecanismos de redundancia y contingencia para garantizar la operación continua de la Portabilidad Numérica. |
Proveer en tiempo real la información requerida por la CRC, incluyendo entre otros los siguientes elementos: (i) solicitudes de portación iniciadas y finalizadas; (ii) solicitudes de portación rechazadas y discriminadas por proveedor y; (iii) registro xx xxxxxx. |
De lo anterior, se observa que es posible encontrar elementos comunes de análisis entre las obligaciones adquiridas por el ABD y las posibles funciones que debería asumir el GIDI, especialmente en lo relacionado con el manejo de la información. Finalmente, vale la pena traer x xxxxxxxx los principios de la PNM, plasmados en el artículo 4 de la Resolución CRC 2355 de 2010 compilada en el artículo 2.6.2.1 de la Resolución CRC 5050 de 2016:
• Eficiencia
• Igualdad
• Neutralidad tecnológica
• Transparencia
• No discriminación
• Promoción de la competencia
• Eficacia
Al igual que ocurre con las obligaciones del ABD, en el caso de los principios es claro que pueden regir de manera integral el propósito y alcance xxx XXXX.
Conforme a lo ya expuesto, la regulación de la CRC requiere que el ABD sea seleccionado conjuntamente por los PRST, teniendo en cuenta criterios de eficiencia y maximización del beneficio para los usuarios. Como ya se mencionó, la Ley 1245 de 2009 hizo que la naturaleza de la obligación de implementar la portabilidad numérica sea privada, encontrándose la misma en cabeza de los PRST. Por esta razón, la selección del ABD es una responsabilidad que recae sobre estos y, la misma debe ser asumida de acuerdo con la ley y la regulación que expida la CRC para tal efecto.
Debe tenerse en cuenta que dentro del proceso de selección del ABD (que desde el inicio de la implementación de la portabilidad móvil y hasta la actualidad ha sido Informática El Corte Inglés S.A), se incluirá un modelo de contrato a ser suscrito entre este y los PRST. La regulación dispone que dicho modelo deberá contemplar, entre otras, las obligaciones mencionadas en la sección anterior. Es así como la CRC, para garantizar una actividad regulatoria que garantice tanto el derecho de portabilidad como el acceso a la instalación esencial de la BDA, dispone en el artículo 2.6.7.4. de la Resolución 5050 de 2016 los requisitos de contenido mínimos que debe incluir el contrato del ABD.
ARTÍCULO 2.6.7.4. CONTENIDO DEL CONTRATO DEL ADMINISTRADOR DE LA BASE DE DATOS.” El modelo
de contrato a ser suscrito entre el ABD y los Proveedores de Redes y Servicios de Telecomunicaciones que en los términos del CAPÍTULO 6 del TÍTULO II implementen el esquema de enrutamiento ACQ, deberá contener como mínimo lo siguiente: • Especificaciones técnicas y operativas. • Nivel de calidad y disponibilidad. • Mecanismos de seguridad. • Garantías. • Duración del contrato. • Esquemas de remuneración, incluyendo la discriminación de los componentes relativos a inversiones iniciales de implementación y los correspondientes a gastos recurrentes derivados de la operación. • Procedimientos de intercambio de información. • Servicio de atención y soporte. • Mecanismos de solución de controversias entre los Proveedores y el ABD. • Multas y sanciones”
En la siguiente imagen se puede visualizar el esquema de gobernanza y responsabilidad de los actores del proceso de portación.
Figura 11
Esquema de gobernanza y responsabilidades de los actores del proceso de portación
Fuente: Construcción propia
4.3.3. Resolución de conflictos de interés y reglas de relacionamiento
Bajo el esquema planteado, es el contrato suscrito entre los PRST y el ABD seleccionado el que debe contener los mecanismos de solución de controversias. Por lo que, actualmente se siguen las pautas explicadas por la CRC en el proceso de discusión sobre el punto arriba descrito. Respecto de los conflictos que puedan surgir en sus funciones como administrador de la BDA, la cual como observamos es una instalación esencial regulada por la CRC, se observa la importancia del establecimiento del Comité Técnico de Portabilidad (CTP).
Tal como se ha mencionado a lo largo de esta sección, la CRC estableció las condiciones para la implementación y operación de la portabilidad numérica para telefonía móvil en Colombia, mediante la expedición de la Resolución CRC 2355 de 2010 en cuyo Título IV se previeron las reglas que establecen la naturaleza, constitución y organización del CTP, como instancia consultiva de la CRC en el proceso de implementación de la portabilidad numérica.
De manera consecuente, a través de la Resolución CRC 2475 de 2010, la CRC adoptó el reglamento interno del CTP en donde se estableció que su conformación se compondría de los PRST y el ABD, mientras que el rol de la CRC sería el de presidir el comité y el MinTIC contaría con un delegado en su función de organismo de control y vigilancia. El derecho a asistir a las sesiones y a votar en ellos se le confirió a los PRST asignatarios directos de recursos de Numeración no Geográfica, mientras que otros PRST, sin tal condición, podrían asistir como invitados por sugerencia de los miembros del CTP o por decisión del presidente. Dentro de las funciones que tenía el CTP y su presidencia, se destacan las siguientes:
Funciones del CTP | |
Presidente CTP | CTP |
• Convocar a las sesiones del CTP. • Presidir las sesiones del CTP. • Proponer el orden del día a la sesión del CTP. • Dar por terminada la discusión de los temas tratados en las sesiones de CTP. • Proponer al CTP la integración de mesas de trabajo. • Invitar a participar en estas sesiones a cualquier otro agente, para efectos de tratar diferentes asuntos de interés del CTP. Igualmente, podrá acoger las propuestas que en ese sentido hagan los miembros del CTP. Las demás que de acuerdo con su naturaleza le otorgue la CRC, o los miembros del CTP. | • Emitir conceptos no vinculantes respecto de la implementación y operación de la portabilidad numérica, entre otros aspectos, en relación con las especificaciones técnicas y operativas del ABD. • Promover la cooperación entre los agentes del sector. • Facilitar el cumplimiento de las obligaciones a cargo de los PRST respecto de la implementación y operación de la portabilidad numérica, • Las demás que de acuerdo con su naturaleza le otorgue la CRC, o los miembros del CTP. |
Dos aspectos adicionales resultan de relevancia respecto del CTP. Por una parte, la publicidad que se daba respecto de sus deliberaciones y decisiones; se dispuso que las actas y documentos de las sesiones de dicho Comité serían publicadas en la página web de la CRC. Por la otra, la no vocación de permanencia del comité, la cual se plasmó en el artículo 13 de la Resolución 2475 de 2010. Frente a este punto, el reglamento dispuso que el CTP estaría constituido: (i) durante el proceso de implementación de la portabilidad numérica; (ii) un (1) año más contado a partir de la fecha de inicio de implementación de la portabilidad numérica.
4.3.4. Identificación de riesgos
Tal y como ya se explicó, en el proceso de diseño y planeación del ABD, la CRC identificó una serie de riesgos a ser tenidos en cuenta. Al respecto, la entidad aclaró que, como parte de sus funciones regulatorias, monitorea constantemente el comportamiento xxx xxxxxxx con el fin de detectar fallas en cuanto al correcto funcionamiento en relación con los niveles de competencia de estos, así ́ como para
establecer el régimen de protección de los derechos de los usuarios.
Por lo cual, y dado que la implementación de la PMM no estaba sujeta a la determinación previa de la existencia de una falla en el mercado, no podía pretenderse que, por la identificación de los riesgos referidos, se sujetara de manera integral el actuar regulatorio de la CRC a la previa determinación de la existencia de una falla en el mercado; lo cual equivaldría a hacer nugatorio el ejercicio de las facultades legales a cargo de la Comisión. De esta manera, bajo un modelo de co-regulación, la CRC permitió que el ABD y los PRST buscaran la forma de mitigar los riesgos identificados a través del contrato de selección del primero. Situación que no iba en contra de sus facultades para detectar y corregir fallas en cuanto al correcto funcionamiento en relación con los niveles de competencia o de protección del consumidor.
4.3.5. Respecto a la información que se intercambia en el procedimiento de portación
En el proceso de portación no toda la información que hace parte del flujo de datos guarda la misma naturaleza. Existe información de acceso público, así como información restringida por disposición legal o constitucional y, por supuesto, datos personales de los usuarios. Al respecto, y conforme a lo dispuesto por el principio de transparencia que rige la portabilidad numérica móvil, debe tenerse en cuenta que la información referente a la portabilidad numérica, y en especial los actos derivados de la implementación y gestión de esta, tienen carácter público, salvo que se trate de información que por disposición legal tenga el carácter de confidencial o reservada.
Debe primero verificarse la naturaleza de la información que se requiere frente a las especificaciones operativas de la portabilidad numérica móvil, para luego, analizar la naturaleza de la información que se involucra dentro del flujo de la misma. Una vez identificado lo anterior, explicaremos los requisitos que en materia de protección de datos personales y de acceso a la información se tienen en cuenta durante el proceso.
La PNM comprende 6 etapas principales: (i) generación del NIP de confirmación, (ii) solicitud de portación,
(iii) verificación de la solicitud por parte del ABD, (iv) aceptación o rechazo de la solicitud de portación por parte del proveedor donante, (v) planeación de la ventana de cambio, y (vi) activación del número Portado.
Figura 12
Proceso del trámite de portación móvil y sus especificaciones operativas
Fuente: Construcción propia
• Generación del NIP de confirmación:
Respecto de personas naturales que sean usuarios de servicios móviles, el proveedor receptor deberá solicitar al ABD el NIP de confirmación. Este es un requisito indispensable para autenticar la condición de usuario del número a ser portado. El ABD deberá enviar el NIP de confirmación al usuario a través de un
SMS, en un lapso no mayor a cinco (5) minutos desde el momento en que se ha solicitado su envío en el noventa y cinco por ciento (95%) de los casos, y en ningún evento podrá ser superior a diez (10) minutos. El ABD deberá mantener, al menos por seis (6) meses a partir de su emisión, un registro de los NIP de
confirmación enviados y sus correspondientes números asociados.
• Solicitud de portación
En la solicitud de portación, el usuario deberá proveer únicamente la siguiente información:
Información – solicitud de portación | |
Personas naturales | Clientes corporativos |
• Nombre completo. • Número del documento de identidad. • Autorización del suscriptor del contrato de servicios de telecomunicaciones tratándose de servicios en la modalidad de pospago, y copia del documento de identidad, en caso de que la solicitud no sea presentada por el mismo. • Número(s) telefónico(s) asociado(s) a la portación solicitada. • Proveedor Donante. NIP de Confirmación para los Usuarios de Servicios Móviles, el cual ha sido enviado previamente por el ABD al Usuario a través de un mensaje corto de texto (SMS). | • Razón social. • Número de Identificación Tributaria (NIT). • Copia del Certificado xx Xxxxxx de Comercio con fecha de expedición no superior a treinta (30) días. • Tratándose de servicios en la modalidad de pospago requiere autorización del representante legal y copia del documento de identidad, en caso de que la solicitud no sea presentada por él mismo. • Número(s) telefónico(s) asociado(s) a la portación solicitada. • Proveedor Donante. |
• Verificación de la solicitud por parte del ABD
El intercambio de información entre los proveedores donante y receptor y, el ABD, debe ser automatizado mediante sistemas informáticos y a través de medios electrónicos, de forma tal que se garantice rapidez, integridad y seguridad en desarrollo del proceso de portación. Una vez recibida la solicitud de portación, el ABD deberá validar el NIP de confirmación para personas naturales que sean usuarios del servicio móvil, y su concordancia con el número no geográfico de redes objeto de portación, la existencia de solicitudes de portación previas en trámite para el número a portarse y la correspondencia del (los) número(s) telefónico(s) con los bloques de numeración asignados al proveedor donante.
El ABD informará al proveedor receptor el rechazo de la solicitud de portación, indicando la causa respectiva, en un tiempo máximo de sesenta (60) minutos a partir de la presentación de la solicitud. Si la solicitud de portación es aceptada por parte del ABD, este enviará al proveedor donante la solicitud de portación, y simultáneamente informará al proveedor receptor que la misma fue aceptada.
• Aceptación o rechazo de la solicitud de portación por parte del proveedor donante
El proveedor donante solamente rechazará la solicitud conforme a una serie de casos que van desde detección de fraude hasta impagos del servicio que se pretende portar. Las pruebas deberá remitirlas al ABD, el cual a su vez las reenviará al proveedor receptor.
• Planeación de la ventana de cambio
Los proveedores donante y receptor, a través del ABD, deben acordar la fecha y hora de la ventana de cambio en la cual se dará de baja el número portado en el proveedor donante y se activará el mismo en el proveedor receptor. Durante este período el usuario no tendrá servicio.
• Activación del número Portado
Con la activación del servicio por parte del proveedor receptor se da inicio a la nueva relación contractual con el usuario, dando con ello por terminado el contrato con el proveedor donante.
4.4. Aplicación del régimen de protección de datos a la PNM
Teniendo en cuenta el proceso del trámite de portación móvil y sus especificaciones operativas, observamos que en diferentes instancias se involucran datos personales de los suscriptores, entendiendo aquellos como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.” (LEY ESTATUTARIA 1581 DE 2012, 2012).
Las leyes colombianas en materia protección de datos se centran en los requisitos de consentimiento expreso. De acuerdo con la normativa de protección de datos, el tratamiento de los datos personales, no solo los sensibles, requiere el consentimiento previo, expreso e informado del titular de estos, el cual debe obtenerse por medios que puedan ser consultados posteriormente. En cumplimiento de esta disposición, la regulación secundaria emitida por el gobierno colombiano establece que el interesado puede otorgar un consentimiento válido a través de comportamientos inequívocos que lleven a la conclusión razonable de que se otorgó la autorización.
Otro aspecto que probablemente resultará en un aumento de las acciones de aplicación es la obligación de los responsables de datos de registrar las bases de datos en el Registro Nacional de Bases de Datos (RNBD). La información incluida en dicho registro debe proporcionar a la Superintendencia de Industria y Comercio (SIC) información que le permita monitorear el procesamiento de datos personales. Dicho registro es también el mecanismo a través del cual se deben reportar las violaciones de datos a la SIC en Colombia.
Para identificar los roles del ABD y de los PRST en el proceso operativo de portación de cara a la Ley 1581, el artículo 3 de la misma define:
• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
Así las cosas, observamos que el ABD es un encargado del tratamiento por cuenta de los PRST, quienes a su vez serían los responsables del tratamiento de datos personales de sus usuarios, en atención a que son quienes deciden sobre la base de datos y/o el tratamiento de tales datos personales. Siendo el ABD un encargado en el tratamiento de datos personales, el mismo debe realizarse de acuerdo con las obligaciones que los responsables y encargados del tratamiento tienen en virtud de la ley colombiana (LEY ESTATUTARIA 1581 DE 2012).
Figura 13
Identificación del responsable y encargado en el marco de la PNM
Fuente: Construcción propia
En suma, toda la información que el ABD tenga, recolecte, reciba y obtenga de los PRST y/o de los clientes de los PRST o de terceros, de la que sean titulares los clientes de los PRST, sus empleados y en general terceros, y que de los PRST tengan en calidad de operador/fuente de tal información en los términos de la Ley 1266 de 2008, y/o responsable del tratamiento de la información en los términos de la Ley 1581 de 2012, deberá́ ser tratada por el ABD, en calidad de encargado del tratamiento, de conformidad con el
alcance del artículo 25 del Decreto 1377 del 27 xx xxxxx de 2013. Así, una vez cumplida la prestación
contractual entre los PRST y el ABD de la BDA, los datos de carácter personal deberán ser devueltos a los PRST, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
5. CUADRO COMPARATIVO BASADO EN LOS REFERENTES
Teniendo en cuenta el ejercicio realizado, en el cual se analizaron experiencias internacionales en la materia y se quiso presentar un caso nacional en donde se creó un gestor de datos con características similares a las xxx XXXX, se considera pertinente en aras de la claridad, presentar una comparación de los elementos comunes e idóneos que puedan ser tenidos en cuenta en el ejercicio de diseño propio de la segunda etapa de la consultoría. En los siguientes cuadros se pueden visualizar, desde el punto de vista de estructura y funcionalidad, dichos elementos.
Figura 14
Cuadro comparativo - Estructura
Fuente: Elaboración propia
Figura 15
Cuadro comparativo - Funcionalidad
Fuente: Elaboración propia
6. RESOLUCIÓN CREG 131 DE 2020
Luego de la contextualización realizada, así como del análisis de referentes de 3 casos internacionales y del ABD, como un esquema desarrollado en Colombia que comparte características con el GIDI, se hace necesario realizar una aproximación a la Resolución CREG 131 de 2020, en lo que tiene que ver con la creación y funcionamiento del agente independiente de datos. Para tal efecto, en primer lugar, se enunciarán y describirán los comentarios generales y coincidentes del sector, para con base en ellos, abordar los temas que guardan relación con el diseño, estructuración y responsabilidades xxx XXXX. Al realizar este análisis se incluirán, cuando sea el caso, aquellos comentarios específicos sobre el articulado de la resolución.
Finalmente, luego de recorrer los respectivos comentarios, se mencionarán las recomendaciones de ajuste a la resolución por parte del equipo de la consultoría.
6.1. Comentarios estructurales por parte de los agentes del sector
De los documentos de comentarios estudiados, es posible extraer los siguientes 6 ejes temáticos estructurales planteados por los distintos agentes que participaron en el proceso: (i) estructuración del proyecto; (ii) análisis de costo beneficio y suficiencia económica; (iii) financiación y remuneración del esquema; (iv) políticas de prevención y cumplimiento; (v) norma técnica NTC 6079 y; (vi) gestor independiente de datos e información.
En la siguiente tabla, se observan los principales argumentos en cada uno de los ejes planteados:
Eje Temático | Comentarios Principales |
Estructuración del proyecto | ASOCODIS solicita la realización de un Análisis de Impacto Normativo (AIN), ya que considera inconveniente de la forma en que está planteado, especialmente, por el esquema de financiación y remuneración del sistema AMI. En opinión de la asociación, no se definió el problema a resolver y eso hace que toda la propuesta tenga deficiencias. En virtud de dichas posturas, solicita otra ronda regulatoria. Para EPM, es necesario analizar la opción 4 del documento CREG 103 de 2020 pues la estructuración financiera y de remuneración no son adecuadas ni sostenibles. XXXXXX, por su parte, aporta un estudio de la consultora Xxxxx & Xxxxx (E&Y) en donde se realiza un análisis de costos y beneficios del proyecto y se concluye que no es viable desde el punto de vista financiero. Adicionalmente solicita una revisión de la metodología aplicada en el estudio de la Universidad Tecnológica xx Xxxxxxx (UTP), principalmente debido a que, en opinión de la compañía, dicho estudio no cuenta con elementos de análisis cuantitativos suficientes. De acuerdo con Xxxxxx es necesario realizar ajustes regulatorios paralelos a la implementación del AMI, como puede ser el fortalecimiento del ambiente de competencia en minoristas, entre otros. Para ENEL, el proyecto no está alineado con el Pacto por el crecimiento y para la generación de empleo del sector de energía eléctrica, suscrito con la Vicepresidencia de la República, ni con la política pública para la medición avanzada, razón por la que solicita que sea publicado un segundo proyecto durante el semestre que cumpla con las necesidades del sector. |
Análisis de costo beneficio y suficiencia económica | Según ASOCODIS, no se está realizando una asignación simétrica de los costos basada en los beneficios que se obtienen con el AMI. Debería compartirse el costo de la estructuración y funcionamiento junto con los usuarios y el Estado. Para este gremio, la propuesta no garantiza el principio de suficiencia financiera al no permitir al OR la recuperación de sus inversiones y gastos por el despliegue de la AMI. Cita para sustentar su posición, el estudio Carbon Trust de la UPME relacionado con el costo beneficio en diferentes escenarios de implementación. Este documento también es citado por EPM para argumentar la necesidad de realizar de manera rápida un nuevo estudio de redistribución de costos, en donde se tengan en cuenta los beneficios que tienen los usuarios. Este agente también considera que la gradualidad en la implementación debería ser un tema únicamente manejado por los OR. Frente a este punto, XXXXXX cita el estudio de E&Y, según el cual, el 92% de los beneficios del AMI son para los clientes y solo el 8% para el OR. Por esta razón, se solicita revisión de la metodología utilizada ya que el proyecto no es viable, al comparar los beneficios vs. las inversiones que hay que realizar. En opinión de este agente, el estudio de la UTP no es un referente pues no cuenta con análisis cuantitativos suficientes. Por su parte, ENEL menciona que no se está cumpliendo con el principio de suficiencia económica ni se realiza un análisis costo-beneficio desde la óptica del usuario, lo que muestra, de acuerdo con el escrito presentado, un desbalance en donde para el Operador de Red, la remuneración es marginal respecto del costo. |
Financiación y remuneración del esquema | ASOCODIS defiende la idea de autorizar la inclusión de las inversiones para el AMI en los planes de inversión ya autorizados a los operadores por parte de la CREG. Cita el estudio Carbon Trust en la recomendación relacionada con que el costo de los medidores y de toda la infraestructura asociada, debe ser recuperado a través de las tarifas reguladas de distribución las cuales, si bien pueden tener un incremento inicial, este sería neutralizado e incluso superado ampliamente por todos los beneficios que trae el sistema al usuario. Para EPM, al estar aprobados los costos AOM hasta el año 2025, las nuevas inversiones para implementar el sistema AMI no pueden ser reconocidas. De acuerdo con su postura, se requiere una remuneración adicional a la del artículo 34 del proyecto, pues las ganancias del sistema para los OR son a largo plazo. En opinión de CELSIA, debe implementarse un esquema de remuneración mixto en donde los usuarios asuman parte de costo y se apoye el proyecto por parte del Gobierno Nacional, a través de beneficios tributarios y recursos públicos. ENEL reitera su argumento sobre la no aplicación del criterio de suficiencia financiera y, específicamente, menciona que la propuesta no aborda la financiación del mantenimiento, reposición del activo al final de su vida útil ni el costo de capital requerido para realizar las inversiones durante el tiempo de despliegue. |
Políticas de prevención y cumplimiento | Frente al manejo de la información, ASOCODIS propone que dentro de los primeros años de implementación deben ser los OR los encargados de su manejo y, por lo tanto, asumir las funciones planteadas para el GIDI. La asociación aporta un estudio sobre protección de datos en AMI, en el que propone un esquema de gobernanza para determinar qué tipo de datos e información es la que se recolecta y procesa y cuáles deben ser las responsabilidades para cada uno de los agentes. Asimismo, cita la Misión de Transformación Energética, para sustentar que el manejo de la información debe estar a cargo de los distribuidores, para que luego, cuando esté consolidado el esquema, se evalúe un esquema como el planteado por la CREG a través xxx XXXX, siempre y cuando se demuestre un beneficio/costo positivo para toda la sociedad. |
EPM igualmente propone que xxxx los OR los encargados de los datos y no el GIDI y que exista un portal similar al “Xxxxx Button” de Estados Unidos, en donde se consolide la información del sistema. Del mismo modo, considera que es necesaria una definición más precisa sobre los datos de energía que encuadran como datos personales y plantea que los datos para la prestación del servicio NO requieren autorización para su tratamiento. La solicitud relacionada con que sean los OR quienes asuman las funciones xxx XXXX en una primera etapa. ENEL, por su parte, solicita una revisión del modelo de disponibilidad pública de datos desde el punto de vista de protección de la competencia y protección de datos personales. La Superintendencia de Industria y Comercio (SIC) considera que se deben establecer de manera clara y precisa los roles y responsabilidades de cada uno de los agentes dentro del sistema, respecto del cumplimiento de los principios, derechos y deberes establecidos en la Ley 1581 de 2012 y sus decretos reglamentarios. En opinión de la autoridad, esto permitirá, entre otras cosas, que los titulares de los datos conozcan quién trata su información personal y ante quién puede ejercer sus derechos. Adicionalmente, la SIC considera que hace falta establecer lineamientos de ciberseguridad, así como los requisitos y procedimientos para acceso a la información del AMI. | |
Norma técnica NTC 6079 | ENEL y EPM coinciden en que debe revisarse la Norma Técnica NTC 6079 y vincular a la discusión a la SIC-Delegatura de Metrología Legal. Por su parte, XXXXXX considera que un tema importante para abordar es el de conectividad, porque se propone interactuar con los operadores de telecomunicaciones. |
GIDI | Específicamente frente a la existencia o no xxx XXXX, ASOCODIS, EPM y CELSIS coinciden en que debe eliminarse esta figura del proyecto. Para la asociación, la gestión de datos debe iniciar en los OR tal y como lo dice la Misión de Transformación Energética en sus focos 3 y 5. Para EPM, se trata de un agente que genera reprocesos y hace más costosa la prestación del servicio, debido a la duplicación de infraestructura Hardware y Software. Concluye que los OR deben ser los encargados. Una posición similar es planteada por XXXXXX al afirmar que el GIDI genera redundancia en la infraestructura y personal entre XM, OR y el GIDI. En opinión de este agente, la competencia se logra con regulación y no con la existencia de un agente como el propuesto. Cita igualmente el documento de la Misión de Transformación Energética. Para ENEL, aunque se entiende la figura, es necesaria una reformulación de actividades. No obstante, lo primero en su opinión es conocer explícitamente los costos xxx XXXX. Propone además que el pago del OR al GIDI debe ser un “pass througth” en la tarifa al usuario final. Finalmente, para ANDESCO es importante que la CREG efectúe un mayor análisis para identificar la forma de remuneración xxx XXXX. Esto, dado que el proceso e información que este administrará trae beneficios para los diferentes actores de la cadena de prestación del servicio y para los usuarios. Sugiere revisar los costos y esquema de remuneración, así como la forma en la cual se asumirán los mismos. |
De la anterior referencia a los comentarios presentados y teniendo en cuenta el objeto de la presente consultoría, es posible extraer 2 temas estructurales para el diseño y constitución de un gestor independiente de datos.
6.2. Protección de la Competencia
Como se mencionó en el acápite anterior, algunos agentes plantearon su preocupación respecto de los efectos que el uso de los datos a los que se accedería con el GIDI puede generar sobre la competencia en el sector. En consecuencia, resulta importante revisar ciertos lineamientos sobre el régimen de competencia vigente en Colombia, así como algunas consideraciones sobre la expedición de regulación respecto de redes inteligentes hace unos años, en países como Xxxxx Unido, Estados Unidos de América y Francia de conformidad con el informe “Electricity: Renewables and Smart Grids” realizado por el Comité de Competencia de la Organización para la Cooperación y el Desarrollo Económicos (2011).
Sea lo primero advertir que la inclusión de redes inteligentes en la provisión del servicio de electricidad genera cambios importantes en la medición y comunicación del servicio que permiten generar electricidad de una forma más distribuida y a pequeña escala que, a su vez, promueve la toma de decisiones de forma más eficiente por parte de los consumidores y el uso eficiente de los recursos de la red. De esta manera, para países como Estados Unidos de América una red inteligente o Smart grid es la "superposición de un sistema unificado de comunicaciones y control sobre la infraestructura de suministro de energía existente para proporcionar la información correcta a la entidad correcta... en el momento adecuado para tomar la acción correcta " y, en consecuencia, “es un sistema que optimiza el suministro y la entrega de energía, minimiza las pérdidas, es autocurativo y permite aplicaciones de respuesta a la demanda y eficiencia energética de próxima generación". Esto, sin contar que este tipo de redes inteligentes permitiría el flujo de información de forma bidireccional, en especial, aquella relacionada con el mercado, el comportamiento de los usuarios y sus preferencias de consumo y los patrones de demanda de los operadores de la red18.
Por lo anterior, la OCDE previó en ese momento que este tipo de desarrollos en la industria eléctrica podrían originar algunos problemas sobre la política de competencia, como situaciones relativas al acceso discriminatorio de redes y la fijación de estándares para los servicios de medición.
Respecto a situaciones de acceso discriminatorio de redes, algunos países pusieron de presente en el mencionado informe que la separación vertical de la infraestructura de transmisión y la de distribución de los segmentos de generación y venta minorista, que son potencialmente competitivos, desincentiva al propietario de la red a discriminar a favor de sus afiliados en los segmentos de generación o venta al por menor. Sin embargo, en muchos de estos países el propietario de la red también participa en dichos segmentos, por cuanto se pueden generar situaciones en las que este agente evite conectar a un competidor dado el impacto negativo que se podría generar en sus ventas. Ahora bien, según el informe de la OCDE, esta posible restricción se puede materializar de diferentes maneras, por ejemplo: (i) demorar para completar los arreglos de conexión; (ii) fallas en realizar mejoras; (iii) reserva de capacidad para sus propias filiales; (iv) favorecer la generación de sus propias filiales en el proceso de despacho; etc.19.
Por su parte, en lo relacionado con la fijación de estándares para los medidores inteligentes, algunos países de la OCDE previeron que un aspecto relevante del análisis en materia de competencia se relaciona con las características o funcionalidades que deben tener estos. Al respecto, Nueva Zelanda trae x xxxxxxxx
18 Ibid., Págs., 12-13.
19 Ibid., Pág. 15.
que en su historia se han visto casos en los que un medidor inteligente en uso es cambiado por uno nuevo cuando el usuario cambia de proveedor. Para este país este tipo de situaciones solo deberían ocurrir cuando existan requisitos técnicos que exijan el reemplazo y no que se origine por impedir el acceso a la información o por incompatibilidades en los formatos de datos de los proveedores minoristas20.
En similar sentido, las autoridades de competencia del mundo advierten que se pueden generar restricciones u obstáculos en el mercado minorista como consecuencia del derecho de patentes que podrían existir sobre la creación de los dispositivos de medición inteligentes. Sobre este punto, Estados Unidos de América puso de presente que, en su experiencia con los organismos de estandarización, existe el riesgo de que se promueva un tipo de tecnología específica dejando por fuera algunos competidores en la fabricación de este tipo de dispositivos. Por lo que llama la atención en que este tipo de estandarizaciones sean amplias y que no sean costosos con el fin de que se creen barreras a la entrada21.
Adicional a lo anterior, algunos países también mostraron su preocupación sobre la privacidad de la información que recaban a través de este tipo de dispositivos, los problemas de seguridad que pueden conllevar y el acceso a la información en sí mismo por parte de ciertos agentes que pueden generar distorsiones en el mercado, ventajas competitivas y, en últimas, otorgarles poder xx xxxxxxx.
Aparte de lo relacionado con los medidores, otro factor fundamental de competencia que debe ser cuidadosamente evaluado es la información como activo. En esta categoría se incluye no solo aquella relacionada con los datos personales de los usuarios sino la que es compartida por las empresas y la que podrías ser creada como producto por parte xxx XXXX, a través de herramientas como la anonimización, por ejemplo.
Recientes casos relacionados con conductas anticompetitivas a través de plataformas digitales muestran que el big data, entendido como “conjuntos de datos cuyo tamaño está más allá de las capacidades con las que el software tradicionales cuentan para su recolección, almacenamiento y manejo de análisis”22 es un activo esencial en las dinámicas de competencia dentro de la economía digital (Decision under Section 32(1) German Competition Act (GWB), 2019). Por esta razón, quienes tienen el control de este cúmulo de datos pueden convertirse en dominantes de un mercado específico y, por supuesto, pueden eventualmente ejercer conductas anticompetitivas de abuso.
Otro posible riesgo para dimensionar, lo constituye el intercambio de información entre competidores que se puede generar en el sistema. En materia de competencia, la interacción entre agentes que participan en un mismo mercado debe ser cuidadosamente estructurada en el desarrollo de dicha interacción porque pueden generarse dinámicas anticompetitivas como la de intercambiar información no permitida o intentar bloquear el acceso a un nuevo agente, ente otras.
Teniendo en consideración todo lo anterior, a la luz del régimen general de protección de la competencia colombiano, es factible inferir, de forma preliminar, que este tipo de situaciones en Colombia también
20 Ibid., Pág. 15.
21 Ibid., Pág. 15.
22 Definición realizada por parte del Grupo de Trabajo del Artículo 29. Órgano consultivo independiente integrado por las autoridades de protección de datos de los estados de la Unión Europea.
son del resorte de esta materia, la cual se fundamenta en el concepto de libre competencia plasmado en el artículo 333 de la Constitución Política de Colombia y, entre otras cosas, se materializa en las prácticas comerciales restrictivas, esto es: (i) los acuerdos contrarios a la libre competencia, donde se proscriben aquellos que tengan como objeto o como efecto determinar condiciones de venta o comercialización discriminatoria para con terceros, la asignación de cuotas de producción o de suministro, entre otros; (ii) los actos contrarios a la libre competencia, dentro de los que se encuentra negarse a vender o prestar servicios a una empresa o discriminar en contra de la misma como retaliación a su política de precios; y
(iii) el abuso de posición dominante, la cual se puede constituir por situaciones como la aplicación de condiciones discriminatorias para operaciones equivalente que genere una desventaja a un consumidor o proveedor respecto de otros en situaciones similares23.
La existencia de un gestor independiente de datos permite abordar los riesgos planteados respecto al régimen de competencia de una manera más eficiente. En primer lugar, las posibles restricciones verticales relacionadas con el no acceso a la información o la demora en su entrega se ven limitadas con la presencia de un agente que no tenga intereses económicos en los mercados conexos. Un segundo aspecto lo representa el hecho de que nuevos entrantes, especialmente en la comercialización, van a encontrar en ese gestor independiente a un agente sin incentivos para crear de manera directa o indirecta barreras de entrada, específicamente relacionadas con el acceso a la información. Otro beneficio del gestor independiente tiene que ver con la eficiencia en la unificación de la información en un solo agente, pues en caso de una estructura más diseminada, el acceso a la misma podría ser mucho más complejo y convertirse en una barrera económica a la entrada. Finalmente, la independencia también permite un mayor control frente a los posibles riesgos relacionados con el intercambio indebido de información entre competidores, bajo el entendido que dicho agente que administra los datos no tiene incentivos para propiciar conductas horizontales anticompetitivas y, por el contrario, debe tener entre sus funciones principales la de prevenirlas de manera activa.
6.3. Protección de datos personales y transparencia de la información
En lo que respecta a protección de datos personales, y transparencia de la información, como ya se mencionó, se recibieron propuestas por parte de algunos agentes interesados sobre la administración de la información que será transmitida y almacenada en los dispositivos inteligentes que se instalen en los hogares. Básicamente sugieren que, en una fase inicial, sean los OR los que la administren, antes de ser asumida por el GIDI. Adicionalmente, ASOCODIS presentó un estudio sobre protección de datos en AMI, en donde se propone un esquema de gobernanza para determinar qué tipo de datos e información es la que se recolecta y procesa y cuáles deben ser las responsabilidades para cada uno de los agentes involucrados.
Bajo este contexto, a continuación, se realiza una breve descripción del documento mencionado y las principales conclusiones planteadas y, posteriormente, se realizan algunas aproximaciones sobre el principio de máxima publicidad de la información que custodian las entidades públicas en Colombia y la
23 Congreso de la República de Colombia. Diario Oficial 51456 del 3 octubre de 2020. Artículos 47, 48 y 50.
protección de los datos personales, temas que serán analizados de fondo en el desarrollo de esta consultoría.
De conformidad con la propuesta para definir la política de tratamiento de datos personales para la masificación de la medición avanzada presentada por ASOCODIS, en la medida en que el AMI genera diversos tipos de datos, consideran necesario definir cuáles deben ser sujeto de protección especial por tratarse de datos personales. Sobre este particular, el estudio advierte que del AMI se generan cinco (5) tipos de datos, a saber: (i) datos de red, (ii) datos propios del MA (iii) datos de funcionamiento (iv) datos de facturación, y (v) datos diferenciados; de estos, asegura que los tres (3) primeros tipos no constituyen información personal y, en consecuencia, no se requiere autorización del titular para su tratamiento. Sobre los tipos de datos de facturación, el estudio informa que como los de facturación son indispensables para el conocimiento, medición y facturación del consumo de energía pueden ser accedidos por parte del OR y comercializador sin autorización; mientras que, respecto a los tipos de datos diferenciados, el estudio sí reconoce que deben ser tratados con una autorización previa, expresa y exigible porque el procesamiento de la información puede permitir la identificación de los titulares.
Por otro lado, respecto a la naturaleza del titular de la información personal, relacionada con el usuario del servicio de energía, aduce el estudio que, con base en la Ley 1581 de 2012 y sus decretos reglamentarios, los datos personales solo pueden predicarse de personas naturales, no jurídicas, por cuanto será a aquellas a las que ampara dicha ley estatutaria. Respecto a las personas jurídicas, proponen que se guíen por las normas de reserva de la información comercial.
Teniendo en cuenta lo anterior, plantean una propuesta de reglamentación del tratamiento de datos personales específicamente sobre el AMI, adicional a lo establecido en la Ley estatutaria 1581de 2012. Los puntos más relevantes de la propuesta son: (i) que se definan los cinco (5) tipos de datos que se generan en el AMI mencionados anteriormente; (ii) que se definan los usos y finalidades del tratamiento de la información obtenida del AMI; (iii) ampliar el ámbito de aplicación de la regulación a todos los agentes del sector eléctrico, usuarios y terceros; (iv) incluir una obligación a cargo de los OR, en caso de que sean establecidos como responsables de la información personal, que para el tratamiento de datos de facturación y diferenciados, soliciten autorización a los titulares de datos personales en la cual se deberá incluir la finalidad de compartir a todos los comercializadores, tengan o no contrato vigente con el usuario; (vi) el que se establezca como responsable de datos personales deberá cumplir todas las normas en materia de protección de datos personales vigentes.
Finalmente, en la propuesta se plantearon dos (2) escenarios en los cuales se propone una distribución de responsabilidades en materia de protección de datos personales para cada uno de los agentes involucrados en la implementación del AMI en Colombia. El primero, donde la CREG atribuye a los OR la instalación, administración, operación y mantenimiento del AMI y la administración de la información; y el segundo, donde la CREG atribuye a los OR la instalación, administración, operación y mantenimiento del AMI, pero la administración de la información se la otorga a un “Gestor Tercero”.
Con todo lo anterior, y teniendo en cuenta que el manejo de la información ha sido desde un inicio, uno de los temas estructurales para el sistema y, por ende para el GIDI, será necesario durante el diseño de
este tener en cuenta distintos principios y elementos propios de los regímenes de protección de datos y transparencia de la información.
6.3.1. Protección de Datos Personales
Las raíces de la protección de datos se en encuentran en Europa en los años 70, junto con la consolidación de la informática como herramienta de gestión, la cual solo estaba disponible para los Estados y grandes corporaciones. España24 y Portugal25 lideran la preocupación sobre la utilización y el manejo de los datos de los ciudadanos. Esta tendencia es recogida por el Consejo de Europa, que expidió diversas resoluciones relacionadas con la protección de datos en los sectores público y xxxxxxx00.
A partir de estos primeros avances se inició una aproximación de los Estados miembros, específicamente sobre dos elementos: (i) la existencia de autoridades que velaran por la protección de los derechos de los ciudadanos en este tema y (ii) la extensión de la aplicación xx xxxxx de protección de datos tanto al sector público como al privado. Igualmente, las normas del Consejo de Europa mencionadas dieron camino al Convenio del Consejo de Europa de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio No. 108), en donde se definió el contexto de protección de los datos personales respecto a las tecnologías de la información y las comunicaciones. Como objeto y finalidad del Convenio 108, se estableció:
“El fin del presente Xxxxxxxx es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»)”.
El Convenio está compuesto por tres partes claramente diferenciadas: (i) las disposiciones de derecho sustantivo en forma de principios básicos; (ii) las reglas especiales referentes a los flujos internacionales de datos; y (iii) los mecanismos de auxilio mutuo y consulta de las partes. Así mismo, establece un modelo de regulación basado en unos principios básicos que deben regir el tratamiento de datos personales, como son la calidad (este incluye legitimación y legalidad del tratamiento, adecuación y veracidad de los datos, uso limitado a la finalidad y proporcionalidad de los tratamientos) y la seguridad. Adicionalmente, incluye definiciones fundamentales para este tipo de regímenes, entre las que sobresale la de “datos de carácter personal”, entendidos como cualquier información relativa a una persona física identificada o identificable.
Los principios planteados en el Coxxxxxx Xx. 000, han venido siendo materializados en el ámbito europeo a través de varias directivas. La primera de ellas fue la Directiva 95/46/CE del Parlamento Europeo y del Consejo en julio de 1995, en donde se hizo referencia especialmente a la tutela de la intimidad y de los demás derechos fundamentales y la garantía del flujo de datos entre los Estados Miembros, en busca de unificación en lo que respecta al tratamiento de datos personales. Como eje fundamental de esta Directiva se encuentra el concepto de “consentimiento”, que es la formalización de la garantía de
24 Artículo 18.4 de la Constitución Española (1978).
25 Artículo 35 de la Constitución Portuguesa (1976).
26 Resolución No. 509 del Consejo de Europa sobre Los Derechos Humanos de 1968 y Resoluciones 73 y 74 del Comité de Ministros.
autodeterminación individual en cabeza del Titular de los datos para que los mismos sean recolectados y tratados siempre con su aprobación. El desarrollo obtenido logró consolidar en Europa la protección de datos personales como la garantía de protección a un derecho fundamental de los ciudadanos. Además, esta evolución fue tomada como ejemplo por otros países que, como Colombia27, incluyeron en sus legislaciones internas disposiciones relacionadas con este derecho.
La evolución de las tecnologías de la información planteó nuevos retos al régimen establecido basados en las características especiales con las que se recolectan y tratan los datos personales, entre los cuales se encuentran la existencia de un escenario global basado en transacciones transnacionales; las redes sociales; la penetración de los dispositivos móviles inteligentes; la presencia del “Big Data” y el Internet de las cosas.
Teniendo en cuenta los aspectos anotados y muchos otros relacionados con el tema, en abril de 2016 fue expedido el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, (“RGPD”), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). En sus considerandos y respecto a los retos anotados, este documento dispone:
“La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales”.
El RGPD entró en vigor el 25 xx xxxx de 2018 y se distingue de las directivas en que se aplica en toda Europa sin requerir incorporación individual en cada país. Busca proteger los derechos y las libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, ya sean tratados por entidades privadas o públicas. Además de reconocer los derechos tradicionales de acceso, rectificación cancelación y oposición, introduce dos nuevos derechos, como son el “derecho al olvido”, relativo a la posibilidad efectiva de supresión de datos en la Internet, y el derecho a la portabilidad de datos, como elemento fundamental para incentivar la competencia en ciertos mercados, especialmente en donde existen agentes con posición dominante que pueden tener el incentivo de impedir dicha portación para mantener la estructura del mercado28.
27 En Colombia, el Régimen General de Protección de Datos fue incluido al mundo jurídico a través de la Ley 1581 de 2012.
28 En Colombia, la empresa COMCEL fue sancionada en el 2013 por abuso de posición dominante en el mercado de voz saliente móvil, por estructurar y aplicar estrategias dirigidas a impedir la portación de usuarios utilizando su mismo número celular. Ver Resolución No. 53403 del 3 de septiembre de 2013, confirmada por la Resolución No. 66934 del 19 de noviembre del mismo año. Ambas fueron proferidas por la Superintendencia de Industria y Comercio.
Igualmente, se crea la obligación de designar en ciertos casos a un delegado de protección de datos (DPO) para garantizar el cumplimiento de las disposiciones previstas en el régimen. El DPO deberá ser designado en atención a sus cualidades profesionales y conocimientos normativos y prácticos especializados, debidamente acreditados.
Por último, sobresale la inclusión del concepto de “interés legítimo”, según el cual es posible la reutilización de datos personales sin consentimiento del Titular cuando exista una base jurídica distinta a la de la recolección y que propenda por el bien público, como por ejemplo con fines de investigación científica e histórica o fines estadísticos29. El “interés legítimo” cobra gran importancia para la reutilización masiva de datos (“Big Data”) y será el eje de las discusiones por parte de los Responsables (Congreso de la República de Colombia, 2012) de la información para demostrar el tratamiento que hacen de los datos personales recolectados.
6.3.1.2. Principios orientadores de la protección de datos personales
De conformidad con lo plasmado en el artículo 5 del RGPD, los datos personales deben ser:
“a) tratados de manera lícita, xxxx y transparente en relación con el interesado («licitud,
lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida,
29 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, 9.
destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas
apropiadas («integridad y confidencialidad»).”
Los principios anotados se replican en la legislación colombiana de una manera más fraccionada. El artículo 4 de la Ley 1581 de 2012 se refiere a los principios de: legalidad en materia de tratamiento de datos, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida; y seguridad y confidencialidad. A continuación, una breve descripción de cada uno de ellos:
• Principio de legalidad en materia de tratamiento de datos
De conformidad con la norma, el tratamiento de datos es una actividad reglada que debe obedecer lo dispuesto en la ley y en las reglamentaciones correspondientes. A pesar de la simpleza de este principio, su significado es mayúsculo, ya que en la vida práctica y desde un punto de vista histórico, la recolección y tratamiento de datos se ha visto como una actividad no solo común sino casi que inofensiva, cuando en realidad los Responsables del Tratamiento y, por supuesto, los ciudadanos, tienen que conocer y entender acerca de las normas que marcan los límites en procura de los derechos individuales constitucionales de estos últimos.
• Principio de finalidad
Este principio representa uno de los ejes principales de la protección de datos personales. Consistente en la delimitación que al momento del suministro de la información debe existir respecto al uso que se le va a dar. En otras palabras, se concreta en el deber del Responsable de informar en forma clara, suficiente y previa a la recolección para qué se realiza y qué se va a hacer con los datos. Una vez que se obtengan los datos, según este principio, no podrán ser utilizados con fines diferentes a los que motivaron la recolección.
Se encuentra íntimamente conectado con el principio de utilidad, hasta el punto de que el cumplimiento del segundo implica necesariamente el respeto al primero, ya que los datos han de ser adecuados para una finalidad concreta. Al respecto, la Corte Constitucional ha señalado que tanto el acopio como el procesamiento y la divulgación de datos personales “(…) debe cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara o determinable”30.
• Principio de libertad
La libertad está directamente relacionada con el consentimiento de los Titulares para el tratamiento de sus datos, en donde sin la obtención del primero no es posible proceder con el segundo. El consentimiento se entiende como la manifestación de voluntad del Titular de los datos para su tratamiento por parte del Responsable, la cual debe ser libre (ausencia de coacción), inequívoca (que no dé lugar a interpretaciones), específica (no genérica) e informada (conocimiento previo de las condiciones en la que se manifiesta la voluntad).
30 Corte Constitucional de Colombia (5 de septiembre de 2002). Sentencia T-729/02, Expediente T-467467. [M.P. Xxxxxxx Xxxxxxxxxxx Xxxxxx].
Para que la autorización o consentimiento para un determinado tratamiento tenga validez, es crucial el cumplimiento del principio de finalidad y debe haber además una disposición total y detallada de la información necesaria para la toma de decisión por parte de los Titulares de los datos. De no cumplirse con este deber, el consentimiento otorgado resultaría viciado y no sería válido.
• Principio de veracidad o calidad
Los datos personales recolectados deben estar actualizados y reflejar con veracidad la realidad de la información. Por lo tanto, cualquier inexactitud frente a la misma debe entenderse como una infracción al régimen. Además, durante el tiempo que se almacene y utilice la información, el Responsable no debe utilizar los datos recolectados más allá de lo necesario para el cumplimiento de los fines que justificaron su tratamiento. Cuando se cumpla íntegramente la finalidad para la cual se proporcionaron los datos, el tratamiento deja de ser necesario.
• Principio de transparencia
En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del tratamiento o del Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
• Principio de acceso y circulación restringida
El tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la ley.
• Principio de seguridad y confidencialidad
La seguridad de los datos personales se concreta en la obligación del Responsable o Encargado del tratamiento de adoptar medidas de índole técnico para proteger la integralidad, confidencialidad y disponibilidad de la información. Las medidas de seguridad se establecen teniendo en cuenta la naturaleza de los datos, las finalidades para las que son tratados y el estado de la tecnología. Adicionalmente, deben garantizar el control sobre los diferentes entornos en los que se encuentre la información y deben formar parte del ciclo de vida de los sistemas de información.
6.3.1.3. Decreto 1377 de 2013
En 2013 se promulgó el Decreto 1377, reglamentario de la Ley 1581 de 2012, el cual contiene importantes reglas para la protección de datos en el país y concreta varias de las obligaciones que deben cumplirse para la correcta recolección y tratamiento de los datos personales.