Sutel recomienda acoger medida cautelar sobre reglamento 5G y pide suspenderlo
Sobre el Decreto Ejecutivo 44196-MSP-MICITT
La Superintendencia de Telecomunicaciones (Sutel) se manifestó nuevamente sobre el contenido del Decreto Ejecutivo 44196-MSP-MICITT, el cual en términos generales considera que contiene elementos contrarios al ordenamiento jurídico nacional por lo que pide que sea suspendido.
Esta vez hizo la aseveración como parte del recurso que se presentó ante el Tribunal Contencioso Administrativo (TCA), que dictó una medida cautelar provisionalísima en el expediente 24-001014-1027-CA, la cual suspende temporalmente los efectos de dicha normativa relacionada con el desarrollo de redes 5G.
"La Sutel, envió su opinión al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) del "Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores", en los cuales se deja claro que, ciertos aspectos de dicho reglamento son contrarios al ordenamiento jurídico", indica el oficio 03191-SUTEL-UJ-2024 del pasado 3 de mayo.
En el documento la entidad técnica considera procedentes los argumentos planteados por la parte actora, en este caso la Federación Frente Interno de Trabajadores del Instituto Costarricense de Electricidad y de la industria de telecomunicaciones y energía (FIT).
Además, enfatizó que como ente regulador de telecomunicaciones, debe velar por que se respeten los lineamientos nacionales e internacionales suscritos por el país con relación a la materia y se refirió a aspectos específicos, entre ellos el principio neutralidad tecnológica, las competencias de Sutel, exceso de la potestad reglamentaria y peligro de retrasos, entre otros.
"Se evidencia un grave daño para el interés general que se presenta en el eventual procedimiento concursal para licitar espectro radioeléctrico para el desarrollo de redes 5G que la Sutel está en proceso de emitir, a partir de la instrucción recibida por parte del Poder Ejecutivo, por cuanto sujetaría a los posibles adjudicatarios del proceso a las restricciones señaladas en cuanto a la selección de proveedores de equipos.
Debido a lo anterior, se solicita acoger la medida cautelar planteada, por concurrir los elementos indispensables establecidos en el Código Procesal Contencioso Administrativo, valorando el perjuicio a nivel del mercado de las telecomunicaciones, si se imponen restricciones a los operadores para participar libremente de la licitación de una red 5G", recomendó la Superintendencia, que insistió en que suspender el reglamento es necesario para el resguardo de los intereses públicos que, lejos de afectarse con la suspensión, se protegen y se garantizan.
Punto por punto
Sobre el tema de neutralidad tecnológica evoca la facultad de los operadores de redes y proveedores de servicios de telecomunicaciones para elegir las tecnologías por utilizar siempre que estas sean acordes a los estándares debidamente establecidos.
"En este sentido, el reglamento se direcciona a regular la materia de ciberseguridad únicamente para la tecnología 5G, dejando de lado las otras tecnologías (2G, 3G, 4G, entre otras) actualmente en funcionamiento, sobre las cuales igualmente pueden darse riesgos de seguridad", indica el documento firmado por María Marta Allen Chaves, abogada con condición de apoderada especial judicial de la Sutel.
De igual manera manifiesta que el reglamento propuesto debería apegarse al principio de neutralidad tecnológica y debe contemplar las tecnologías en uso y las que se vayan a desarrollar e implementar.
El oficio también hace referencia al reporte de la GSA (Global Mobile Suppliers Associaton) "October 2023 5G Standalone", el cual arroja que la transición más aplicada a nivel mundial hacia 5G implica inicialmente una red "Non-Stand Alone" (NSA) que se apoya en elementos de las redes 4G, siendo que el 79% de despliegues actuales al tercer trimestre del 2023 (121 operadores en 55 países) son NSA.
A diferencia del modelo "Stand Alone" (SA), que no aprovecha la infraestructura ya existente, NSA utiliza la base instalada del núcleo de la red lo que ahorra tiempo e inversiones.
Fuente: GSMA Latin America
Es por ello que la Superintendencia considera que el reglamento de ciberseguridad podría generar limitaciones importantes a aquellos operadores que hayan adquirido redes 4G basadas en fabricantes y proveedores cuyo país de origen no hayan suscrito el Convenio de Budapest.
Dicho acuerdo internacional que no tiene nada que ver con ciberseguridad, busca perseguir los delitos informáticos. El tratado fue incluido en el Decreto Ejecutivo 44196-MSP-MICITT, con lo que empresas basadas en países que no lo hayan firmado, quedan excluidas como proveedores de equipos de telecomunicaciones en territorio nacional, tal es el caso de la compañía Huawei, con sede en China, nación que no rubricó el convenio.
"El reglamento de ciberseguridad hace amplia referencia y justifica su emisión en el Convenio de Budapest, sin considerar el principio de neutralidad tecnológica, restringiendo de esta manera, la participación de empresas cuyo país de origen no hayan suscrito dicho convenio. Lo anterior, violenta el Cafta y la libertad de comercio que establece el artículo 46 de la Constitución Política.
Así las cosas, la propuesta reglamentaria no cumple con el principio citado, siendo que está direccionada únicamente a un tipo de tecnología, incluso dejando de lado que las redes 5G pueden operar de forma interconectada con otras tecnologías como lo es el modo "Non-Stand Alone", dada la facultad que ostentan los operadores de desarrollar y diseñar sus propias redes", señala la respuesta.
Por otro lado, acerca de las competencias de Superintendencia en la materia, indica que "es claro que la normativa legal e infra legal de telecomunicaciones, en lo que respecta a las competencias de la Sutel, regula expresamente el régimen de protección de los derechos de los usuarios finales, y no contempla dentro de su amplio ámbito de regulación lo relativo a las medidas de ciberseguridad y cadena de valor aplicables a los servicios de telecomunicaciones, tal como se propone en el reglamento sobre medidas de ciberseguridad".
Asimismo complementa que en lo que respecta la reglamentación propuesta, en los artículos 9 (Análisis y gestión del riesgo en la cadena de suministros) y 11 (Medidas aplicables ante la identificación de riesgo alto), se cita a la Superintendencia y se le otorgan competencias puntuales, sin que las mismas provengan de la normativa legal que regula la materia de telecomunicaciones y que le resulta aplicable (Ley N°7593 y Ley N° 8642 y su reglamento), razón por la cual se debe valorar excluir a la Sutel de las funciones que en los citados numerales se pretenden endilgarle.
También establece que no debe confundirse lo que es la regulación de la tutela de los derechos de los usuarios finales, con las redes de comunicación de los operadores de los servicios de telecomunicaciones.
"Los objetivos de la Ley N° 8642, sobre la protección de los derechos de los usuarios (Capítulo II, Ley N°8642) no están relacionados con temas de ciberseguridad en las redes, sino con el régimen de protección a la intimidad y derechos de estos, por lo que es conveniente realizar la distinción entre uno y otro régimen, con el fin de delimitar la materia regulatoria y las entidades a cargo de su fiscalización y cumplimiento", respondió la Sutel al TCA.
Sobre la normativa que se pretende implementar, la entidad reguladora estima que roza con aspectos de legalidad y competencia, puesto que el artículo 2 de la propuesta reglamentaria impone obligaciones a sujetos que no califican como operadores de redes o prestadores de servicios de telecomunicaciones a pesar de que el artículo 1 de la Ley General de Telecomunicaciones (N° 8642) define dentro de su ámbito de aplicación que están sometidas a la misma "las personas físicas o jurídicas, públicas o privadas, nacionales o extrajeras que operen redes o presten servicio de telecomunicaciones que se originen, terminen o transiten por el territorio nacional".
"Es así como, partiendo de las anteriores consideraciones doctrinales y jurisprudenciales, y toda vez que se presente en la especie una incompatibilidad de contenidos entre una norma de rango legal y otra de carácter reglamentario, es que nos encontraríamos ante un exceso en el ejercicio de la potestad reglamentaria, por lo que procedería desaplicar toda aquella normativa reglamentaria que modifique y contradiga los contenidos de la norma de rango legal, derivado de la jerarquía normativa", considera la Sutel sobre el exceso de potestad reglamentaria.
Además de que, el artículo 42 de la Ley 8462 es enfático en señalar que los sujetos obligados a garantizar el secreto de las comunicaciones, el derecho a la intimidad y a la protección de datos de carácter personal de los abonados y usuarios finales, son los operadores y proveedores de servicios de telecomunicaciones, por lo que dicha obligación no puede hacerse extensiva a terceros no previstos por dicha ley, como lo sería los oferentes en procesos de contratación pública, los permisionarios o aquellos que habiliten redes y servicios o sean proveedores de equipos tecnológicos.
Mientras, la Superintendencia estima que con relación a la emisión de reglamentos que correspondan a temas de ciberseguridad, debe necesariamente correlacionarse con las disposiciones legales que se aprueben sobre esta materia.
"En el caso del reglamento en contra del cual se planteó la medida cautelar, se observa la ausencia de respaldo normativo que permita su desarrollo de una forma clara, precisa y uniforme, según lo establece la guía para el establecimiento de reglamentos técnicos de la Dirección de Mejora Regulatoria del Ministerio de Economía, Industria y Comercio (MEIC).
El reglamento bajo estudio establece una serie de disposiciones de ciberseguridad que trascienden incluso, el ámbito de aplicación de la Ley General de Telecomunicaciones, dado que, impone restricciones que aplican a los proveedores de equipos que puedan contratar los operadores de servicios de telecomunicaciones para el desarrollo de sus redes y, define funciones a la Sutel que no encuentran respaldo en las leyes vigentes", manifiesta el escrito con fecha del pasado 3 de mayo.
De esta forma, el reglamento objeto de la medida cautelar, no respeta aspectos esenciales como el principio de neutralidad tecnológica. Además, le atribuye a la Sutel funciones que no están dadas por ley, precisamente, porque hay un exceso en la potestad reglamentaria.
"Lo anterior, partiendo de que se crea un reglamento sin una ley precedente, así mismo, se imponen limitaciones a los operadores de telecomunicaciones, para participar libremente de un procedimiento licitatorio, lo cual es violatorio al principio de igualdad y libre concurrencia que establece el artículo 8 inciso f) de la Ley General de Contratación Pública, Ley 9986", añade en sus explicaciones.
Acerca de las eventuales atrasos que puedan generarse por la aplicación del reglamento, la Sutel señala que en su criterio existe un peligro de daño grave e irreparable en la demora, tanto por los intereses lesionados como por la inminencia e irreversibilidad del agravio.
Lo anterior se ve materializado, en razón de la eventual adjudicación de la licitación pública N° 2023XE-000023-0000400001, asociada al suministro de equipo y servicios de 5G, a un determinado proveedor de equipos, sin posibilidad de que ciertos proveedores de equipos participen del procedimiento por la forma en que está redactado el reglamento que excluye a empresas del mercado de proveedores disponibles (de equipos de redes de telecomunicaciones), reduce la oferta y la competencia, aumentando los costos de inversión y operación, así mismo, se hace caso omiso a términos como eficiencia técnica y económica para un proyecto de enorme trascendencia e interés público, cual es la implementación de la tecnología de quinta generación, dice literalmente el oficio.
Según la Superintendencia, el reglamento objeto de esta medida cautelar constituye una limitante para la participación de potenciales oferentes y de terceros interesados en el mercado de telecomunicaciones en el país, tanto en el procedimiento de contratación que requiere la parte accionante suspender, como también, genera impactos negativos en el procedimiento concursal que la Superintendencia instruye en la actualidad.
"En este orden de ideas, en cumplimiento de la instrucción emanada por el Micitt, y en atención con lo dispuesto en el borrador de pliego de condiciones del concurso IMT 5G, la Sutel, incorporó en el apartado "21.3.17. Requisitos mínimos de seguridad", donde entre otras cosas "El Concesionario debe cumplir con los protocolos de seguridad 3GPP", que es la regulación de referencia para este tipo de redes. En virtud de lo anterior, debe valorarse la utilidad y necesidad de dicho reglamento en los términos planteados, siendo que organizaciones como la 3GPP (The 3rd Generation Partnership Project), ya han definido las condiciones de seguridad.
Así las cosas, el mismo sector de telecomunicaciones móviles internacionales (IMT) a través de distintos cuerpos de estandarización internacionales como el 3GPP y la GSMA (conocido por sus siglas en inglés GSM Association), ha dispuesto mecanismos propios del mercado para garantizar la ciberseguridad de sus despliegues", explica la institución sobre los estándares que dejó por fuera la normativa.
En este sentido, el reglamento en estudio no incorpora los estándares de la industria móvil internacional (IMT – telecomunicaciones móviles internacionales) dispuestos por la 3GPP o la GSMA, entidades encargadas de la estandarización de la industria que agrupan a los operadores y fabricantes de redes móviles a nivel mundial y han generado los estándares de seguridad para el desarrollo de las redes 3G, 4G y 5G.
Esos estándares no excluyen a oferentes por su lugar o país de procedencia, y siempre garantizan la seguridad de las redes de telecomunicaciones móviles.
En tanto, el esquema denominado Nesas (que tampoco se incluyeron en el decreto) permite alcanzar niveles de resiliencia para resistir ciberataques, ciberamenazas y sus consecuencias, considerando los requerimientos de todo el ecosistema móvil mediante un esquema global de seguridad, respaldado por estándares de la misma 3GPP entidad que diseña y establece los estándares y lanzamientos que definen el desarrollo de las distintas generaciones de telecomunicaciones móviles.
Sobre el tema de aumento de costos, Sutel considera que está suficientemente acreditada la presencia de perjuicios graves, ciertos e inminentes para la red pública y el interés general, de mantenerse la aplicación del reglamento citado, concretamente, en cuanto a que, viola principios de ley y coarta la participación de proveedores internacionales de primer orden, en el despliegue de infraestructura 5G.
Lo que, a su vez tiene el efecto de incrementar los costos y retrasar el despliegue de dicha tecnología en el país, en perjuicio de los intereses de los usuarios finales de los servicios de telecomunicaciones, de las empresas ubicadas en el país que la requieren para aplicar innovaciones tecnológicas y en última instancia, de la competitividad país.