Reglamento de ciberseguridad impone competencias no asignadas por ley a Sutel
El decreto de ciberseguridad para redes 5G impone nuevas competencias a la Superintendencia de Telecomunicaciones (Sutel) que no están normadas por ley.
Así lo hizo saber Federico Chacón, presidente del Consejo Directivo de la Sutel, ante la Comisión Permanente Especial de Relaciones Internacionales y Comercio Exterior de la Asamblea Legislativa.
La diputada Monserrat Ruiz le preguntó a Chacón Loaiza cuál era la posición de la Superintendencia con relación a las nuevas responsabilidades que le está otorgando el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) mediante el Decreto Ejecutivo 44196-MSP-MICITT, "de manera arbitraria".
"¿Tiene Sutel la capacidad operativa y la potestad legal para ejercer funciones que le está otorgando este decreto?", consultó Ruiz Guevara, a lo que el jerarca respondió que "nuestras observaciones es que trascienden las competencias que tenemos claramente identificadas en el Artículo 59, 60 y 73 de la Ley 7593 que ahí claramente se detalla cuál es el alcance y se está extendiendo a la cadena de distribución y a otros ámbitos que están fuera de las competencias de la Sutel".
Chacón explicó que tendrían que analizar con más detalle cuál es el alcance puntual de la norma, para lo que se requerirá una curva de aprendizaje en ese proceso, ya que no son labores que están vinculadas a su quehacer diario.
Dos de las atribuciones que le establece la normativa a la Sutel son:
Artículo 9º- Análisis y Gestión del Riesgo en la Cadena de Suministro.
Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento, deberán solicitar a sus suministradores de hardware y software, que intervienen en el funcionamiento y operación de las redes 5G y superiores y sus servicios, la definición de los requisitos, controles y mediciones del sistema de gestión de ciberseguridad de la cadena de suministro para el diseño, desarrollo, producción, entrega, instalación y mantenimiento de hardware, software y servicios de conformidad con el estándar SCS 9001 "Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad".
Dicha información deberá de ser presentada atendiendo a las particularidades de los procesos dispuestos por el Poder Ejecutivo y la Superintendencia de Telecomunicaciones (Sutel), cada una de acuerdo con su ámbito de competencia, sin detrimento del ejercicio de las potestades de control y fiscalización superior para verificar el cumplimiento de estas disposiciones.
Artículo 11º. Medidas aplicables ante la identificación de riesgo alto.
Cuando alguno de los sujetos comprendidos en el ámbito de aplicación del artículo 2 del presente Reglamento identifique la presencia de alguno o varios de los parámetros de riesgo alto consignados en el artículo anterior, deberá informarlo a la Superintendencia de Telecomunicaciones (Sutel) de conformidad con las disposiciones del artículo 42 de la Ley General de Telecomunicaciones, Nº8642, dentro de los 3 (tres) días naturales siguientes a su identificación y adoptar las medidas técnicas y administrativas idóneas para garantizar la seguridad de sus redes y sus servicios.
Exceso de potestad reglamentaria
En la misma audiencia, la congresista verdiblanca les consultó a los miembros directivos de la Superintendencia si el Micitt cometió un exceso en el ejercicio de la potestad reglamentaria con respecto al decreto de ciberseguridad para redes de quinta generación.
"Nosotros hicimos nuestras recomendaciones y estábamos enmarcados en este tema del Artículo 42, pero esa valoración entiendo que más bien se debería hacer en otros foros, nosotros no es a un operador al que le estamos diciendo que hay una infracción puntual, nosotros le estamos diciendo al Poder Ejecutivo que desde la perspectiva técnica se hace un llamado de atención a esos señalamientos", respondió Chacón a la pregunta de la legisladora liberacionista.
Con anterioridad, el órgano regulador en materia de telecomunicaciones se había manifestado al respecto, a través del oficio 06900-SUTEL-CS-2023, una respuesta a la consulta de carácter confidencial que le hizo el Micitt.
En el documento, en el apartado VI. Del exceso de la potestad reglamentaria, señala:
La normativa que se pretende implementar roza con aspectos de legalidad y competencia, puesto que el artículo 2 de la propuesta reglamentaria impone obligaciones a sujetos que no califican como operadores de redes o prestadores de servicios de telecomunicaciones a pesar de que el artículo 1 de la Ley 8642 define dentro de su ámbito de aplicación que están sometidas a la misma "las personas físicas o jurídicas, públicas o privadas, nacionales o extrajeras que operen redes o presten servicio de telecomunicaciones que se originen, terminen o transiten por el territorio nacional".
Además de que, el artículo 42 de la Ley 8462 es enfático en señalar que los sujetos obligados a garantizar el secreto de las comunicaciones, el derecho a la intimidad y a la protección de datos de carácter personal de los abonados y usuarios finales, son los operadores y proveedores de servicios de telecomunicaciones, por lo que dicha obligación no puede hacerse extensiva a terceros no previstos por dicha ley, como lo sería los oferentes en procesos de contratación pública, los permisionarios o aquellos que habiliten redes y servicios o sean proveedores de equipos tecnológicos.
Es así como, partiendo de las anteriores consideraciones doctrinales y jurisprudenciales, y toda vez que se presente en la especie una incompatibilidad de contenidos entre una norma de rango legal y otra de carácter reglamentario, es que nos encontraríamos ante un exceso en el ejercicio de la potestad reglamentaria, por lo que procedería desaplicar toda aquella normativa reglamentaria que modifique y contradiga los contenidos de la norma de rango legal, derivado de la jerarquía normativa. En este sentido se ha pronunciado la Procuraduría en los dictámenes N° C-129-96 del 6 de agosto de 1996 y C-111-2000 de 17 de mayo del 2000, indicando en esa oportunidad lo siguiente: "Es preciso indicar que ante el supuesto de contradicción o exceso de la potestad reglamentaria, es claro que la ley debe privar como consecuencia del principio de jerarquía normativa, con lo cual debe desaplicarse la norma reglamentaria que exceda los límites que se le imponen".
Así las cosas, la referencia al artículo 42 de la Ley General de Telecomunicaciones y la asignación de competencias o funciones a la Sutel en la propuesta de Reglamento de Ciberseguridad, podría constituir un exceso en la potestad reglamentaria por parte del Poder Ejecutivo, siendo lo regulado en el reglamento, carece de base legal que le ampare.
Micitt respondió a la Sutel en el documento MICITT-DGDCFD-INF-007-2023 que dio pie al Reglamento sobre Medidas de Ciberseguridad Aplicables a los Servicios de Telecomunicaciones Basados en la Tecnología de Quinta Generación Móvil (5G) e indicó que "se atiende la observación y se modifica integralmente el artículo 2, para precisar quiénes son los sujetos regulados en el reglamento".