ESTABLECE REQUISITOS MÍNIMOS DE VERIFICACIÓN Y PROCEDIMIENTOS DE SEGURIDAD APLICABLES CON MOTIVO DE LA ENTREGA, REPOSICIÓN O ACTIVACIÓN DE TARJETAS SIM POR LAS CONCESIONARIAS MÓVILES A LOS USUARIOS TITULARES DE LA NUMERACIÓN RESPECTIVA
Núm. 1.129 exenta.- Santiago, 1 de junio de 2021.
Vistos:
a) El decreto ley Nº 1.762, de 1977, que creó la Subsecretaría de Telecomunicaciones, en adelante la Subsecretaría;
b) La Ley Nº 18.168, General de Telecomunicaciones, en adelante la ley;
c) La Ley Nº 19.628, Sobre Protección de la Vida Privada;
d) El decreto supremo Nº 18, de 2014, del Ministerio de Transportes y Telecomunicaciones, Aprueba Reglamento de Servicios de Telecomunicaciones que Indica;
e) El decreto 379, de 2010, del Ministerio de Transportes y Telecomunicaciones, que Establece las Obligaciones para el Adecuado Funcionamiento del Sistema de Portabilidad de Números Telefónicos;
f) El decreto supremo Nº 157, de 2011, del Ministerio de Transportes y Telecomunicaciones, que Establece el Procedimiento que Regula el Bloqueo de Equipos Terminales Robados, Hurtados y Extraviados;
g) El oficio circular Nº 21 /DAP Nº75873, de 02.02.2021, que "Remite protocolo que resume las mejores prácticas de la industria en el proceso de autenticación cuando se solicita un cambio de sim card de la misma línea, que surge como resultado de la mesa de trabajo de la industria y otros actores relevantes para su análisis y discusión"; y
h) La resolución Nº 7, de 2019, de la Contraloría General de la República, que Fija Normas sobre Exención del Trámite de Toma de Razón;
Considerando:
a) Que, según lo disponen los artículos 6º y 7º de la ley, corresponde al Ministerio de Transportes y Telecomunicaciones, a través de esta Subsecretaría, tanto la interpretación técnica de las disposiciones legales y reglamentarias que rigen las telecomunicaciones, como también el control y supervigilancia del funcionamiento de los servicios públicos de telecomunicaciones y la protección de los derechos del usuario, sin perjuicio de las acciones judiciales y administrativas a que éstos tengan derecho.
b) Que, a su turno, el artículo 6º letra c) del DL Nº 1.762, citado en Vistos a), encomienda también a esta Subsecretaría "Velar por el cumplimiento de las leyes, reglamentos, normas técnicas y demás disposiciones internas, como, igualmente, de los tratados, convenios y acuerdos internacionales sobre telecomunicaciones vigentes en Chile y de las políticas nacionales de telecomunicaciones aprobadas por el Supremo Gobierno.
c) Que, por su parte, y en lo concerniente al material y equipamiento de telecomunicaciones, cabe tener presente que la letra j) del artículo 6º precedentemente citado, entrega a esta Subsecretaría la tarea de llevar adelante la coordinación con el Ministerio de Defensa y otros organismos o entidades competentes para efectos de la dictación de la normativa necesaria para controlar tanto el ingreso de dicho material y equipamiento al país, como su fabricación y uso dentro de él.
d) Que, tratándose de esto último, esto es, del uso del material y equipamiento de telecomunicaciones en el país, cabe tener presente que, si bien los usuarios de servicios de telecomunicaciones tienen libertad para adquirir los equipos terminales a la concesionaria que les provee el servicio, o bien, a terceros, en el caso particular de la telefonía e internet móviles, resulta indispensable para la ejecución del contrato de suministro y/o prestación de los servicios al usuario, la entrega a este último de la tarjeta sim respectiva y/o la activación de ella en sus redes por parte de la concesionaria. De lo contrario, y al menos hasta la fecha, no puede ejecutarse o seguir ejecutándose el contrato de suministro.
e) Que, por su lado, el artículo 15º del reglamento citado en Vistos d), señala que "La contratación, de uno o más de los servicios de telecomunicaciones regulados en el presente reglamento, deberá asegurar a los interesados y suscriptores, un procedimiento informado y transparente, debiendo observarse lo siguiente: (...) Para todos los actos conducentes a la celebración, modificación o término del contrato, los proveedores de servicios de telecomunicaciones deberán contemplar mecanismos que permitan garantizar la identidad de las partes.".
f) Que, en este contexto, la entrega o reposición y/o la activación de la tarjeta sim al titular de la numeración correspondiente constituye una actividad inherente a la ejecución del contrato y prestación del servicio, cuya responsabilidad recae directamente en la concesionaria, siendo esta última la encargada de verificar la identidad del solicitante y/o correspondencia de éste con el titular de la línea para efectos de la entrega o reposición de la tarjeta referida y/o de su adecuada activación en la red.
g) Que, sin perjuicio de lo anterior, y atendido a que esta Subsecretaria tomó conocimiento de una serie de denuncias asociadas a la concurrencia de una creciente cantidad de delitos económicos asociados al acceso y utilización ilegítima de tarjetas sim por personas distintas a los titulares de la numeración respectiva, sea con motivo de portabilidades fraudulentas o, lisa y llanamente, a causa de la entrega por las mismas concesionarias de dichas tarjetas a terceros, esto último bajo modalidad de reposición o sustitución por presunto robo, hurto, pérdida del equipo o motivos de orden tecnológico, se advierte la necesidad de fortalecer los sistemas y procesos de las concesionarias destinados al efecto.
h) Que, si bien en los hechos denunciados concurren de forma preliminar también otras acciones, conducentes a la obtención por los delincuentes de credenciales de seguridad iniciales de los afectados para así acceder a sus aplicaciones bancarias y a otras típicamente transaccionales, la ejecución de los mismos sólo resulta posible mediante el acceso y/o activación de las tarjetas sim a nombre del usuario del servicio en las redes móviles, cuyo procedimiento de entrega, reposición y/o activación está bajo el control operativo y logístico directo y exclusivo de la concesionaria, independientemente que ésta tenga externalizados tales procesos, no pudiendo desentenderse del control que al respecto debe mantener.
i) Que, con motivo de la prestación de sus servicios, y tal como las mismas cocesionarias lo hacen presente de forma reiterada, ellas son responsables de la seguridad de los datos personales de los clientes a los cuales tienen acceso en virtud de lo anterior y de conformidad a la ley Nº 19.628, Sobre Protección de la Vida Privada, salvo en lo concerniente a dar cumplimiento al artículo 20º de dicho cuerpo legal, y en uso de mis facultades;
Resuelvo:
Título I.- Ámbito de aplicación
Artículo 1º.- La presente norma aplicará respecto de todos los procesos llevados a cabo por las concesionarias de servicio público telefónico móvil e internet móvil que comprendan la entrega y/o activación de una tarjeta sim física a sus suscriptores o usuarios de pre y post pago, según corresponda, sea ello con motivo de la reposición o sustitución de aquélla durante la vigencia del contrato o prestación de los servicios, sea con motivo de su entrega a raíz de la portabilidad del número telefónico.
La externalización o subcontratación de actividades a terceros no será excusa para eludir las responsabilidades derivadas de la presente normativa respecto de sus suscriptores o usuarios ni respecto de esta Subsecretaría, así como tampoco aquellas que correspondan en el ámbito civil o penal, de ser el caso.
Artículo 2º.- Tratándose de la entrega o reposición y/o activación de tarjetas sim corporativas o que sean parte de contratos con empresas o instituciones, se estará a los mecanismos de seguridad que establezcan los contratos respectivos para la entrega y activación de dichas tarjetas en las redes. En ausencia de tales estipulaciones, se aplicará lo aquí previsto.
Título II.- Obligaciones de las concesionarias
Capítulo I.- Obligaciones generales
Artículo 3º.- Las concesionarias de servicios público telefónico móvil e internet móvil son directa y exclusivamente responsables de establecer mecanismos que permitan asegurar o garantizar la identidad de sus suscriptores y/o la efectiva correspondencia del titular de la línea telefónica o de la numeración respectiva con el solicitante que requiere la entrega y/o activación de una tarjeta sim asociada a dicha línea o a dicha numeración, sea esto con motivo de la reposición y/o activación de tarjetas sim efectuada por la concesionaria proveedora del servicio a su cliente durante la vigencia del contrato, sea con motivo de la entrega y/o activación por parte de la concesionaria receptora de una nueva tarjeta sim al requirente, una vez cursada la portabilidad.
Dicha responsabilidad resulta aplicable a cada una de la etapas o subprocesos comprendidos en el proceso de entrega de tarjetas sim, desde la validación inicial de la identidad del suscriptor solicitante o su correspondencia con el número de la especie, en el caso de post pago y pre pago respectivamente, hasta la activación de la tarjeta en las redes de la compañía, una vez entregada.
Artículo 4º.- El procedimiento de entrega o reposición de tarjetas sim para un mismo número, podrá contemplar dentro de sus etapas o subprocesos cualquiera de las siguientes modalidades de interacción concesionaria - suscriptor/usuario: modalidad presencial, modalidad vía telefónica y modalidad vía canales virtuales o remotos, identificándose, para efectos de la presente norma, los siguientes subprocesos:
a) Etapa inicial: Requerimiento o solicitud de entrega o reposición de la tarjeta sim, que exige validación de identidad y/o correspondencia con el titular de la línea. Tratándose de interacción presencial, el proceso completo, incluyendo las etapas siguientes, puede concluir en la sucursal. De lo contrario, se generará agendamiento para entrega o reposición material y oportuna de la tarjeta, en coordinación con el requirente.
b) Etapa de entrega o reposición material de la tarjeta: Recepción de la tarjeta, aún no activada en la red, en una sucursal o en el domicilio del suscriptor o usuario. Excepcionalmente, y sólo cumpliendo medidas de seguridad adicionales, podrá recibirse la tarjeta en un lugar distinto al domicilio que el suscriptor o usuario ha definido con motivo de la celebración del contrato o sus modificaciones. Puede prescindirse de esta etapa cuando la tarjeta sim se adquiera en algún comercio para su configuración y habilitación posterior por la concesionaria en su red.
c) Etapa de activación de la tarjeta sim en la red de la concesionaria: Insertada la tarjeta sim en el equipo del suscriptor o usuario, la concesionaria procede a la habilitación funcional en su red, de conformidad a una configuración comercial determinada.
Artículo 5º.- Las obligaciones establecidas en la presente norma serán exigibles independientemente de la externalización de sus servicios por la concesionaria respectiva.
El entrenamiento a los encargados de los distintos canales de atención de la concesionaria durante las distintas etapas del proceso, deberá contemplar herramientas para evitar la entrega de información personal de suscriptores o usuarios.
Capítulo II.- De los suscriptores de post pago
Artículo 6º.- Para la validación de identidad en la etapa a), e independientemente de que la solicitud se efectúe en modalidad presencial, telefónica o a través de canales remotos, la concesionaria deberá siempre:
i. Verificar la vigencia de la cédula de identidad en línea con el Servicio de Registro Civil e Identificación, o la exhibición de cualquier medio de identificación válido y;
ii. Exigir la respuesta conforme de determinadas preguntas de seguridad asociadas a información pública del Registro Civil e Identificación.
Cuando esta etapa sea vía telefónica o a través de canales remotos, además de dar cumplimiento a los puntos i. y ii., deberá asignarse un código único de requerimiento que deberá remitirse al correo electrónico registrado del titular o a aquel que indique en esta etapa el solicitante en el caso de una portación, con la leyenda: "Usted está iniciando el proceso de cambio/entrega de tarjeta sim, con Número de Requerimiento XXXX...", un código QR o similar, digitalmente verificable, enviado al referido correo, u otro mecanismo dinámico de validación, los que deberá confirmar el titular, de modo de permitir dar curso a la solicitud y la trazabilidad de la misma para la entrega de la tarjeta y activación de la misma. Asimismo, deberá grabarse el requerimiento y, en el caso de la reposición de la tarjeta a un suscriptor existente, obtenerse la respuesta de preguntas adicionales concernientes al uso del plan respectivo, o bien, concernientes a información personal entregada a la concesionaria en su oportunidad con motivo de la contratación o alta de la línea.
Cuando esta etapa sea presencial y coincida con la etapa b), la concesionaria deberá, además de dar cumplimiento a los puntos i. y ii., proceder a algún tipo de validación biométrica del solicitante, sea éste el titular de la línea, sea un tercero que concurra en representación de este último y al cual, en el caso del tercero, deberán aplicarse las mismas exigencias establecidas en i. y ii. En caso de presentar problemas la validación biométrica, sea con el titular o su representante, deberá reemplazarse ésta por el envío del código único de requerimiento, código QR o similar, al correo del titular, o bien, otro mecanismo dinámico de validación, salvo cuando corresponda a una portación, en cuyo caso la validación biométrica será siempre obligatoria y nunca podrá prescindirse de ella. El tercero deberá acompañar poder notarial general o especial, además de fotocopia autorizada de ambas cédulas de identidad, debiendo siempre quedar registrada su identidad. También podrá reemplazarse la exigencia del poder notarial cuando se presente por el representante un código único de requerimiento, código QR o similar, digitalmente verificable, remitido al correo electrónico del titular o se aplique otro mecanismo dinámico de validación, del que solo podría disponer previamente al proceso el titular de la numeración. Siempre deberá exigirse la firma del documento de recepción de la tarjeta sim, con nombre y número cédula de identidad.
Artículo 8º.- Para la validación de la identidad en la etapa c), y salvo que ésta sea coincidente con la etapa a), la concesionaria deberá siempre:
i. Confirmar con el titular la solicitud de entrega o cambio de tarjeta sim.
ii. Verificar la vigencia de la cédula de identidad en línea con el Servicio de Registro Civil e Identificación.
iii. Solicitar el código único de requerimiento, código QR o similar, enviado en su oportunidad al correo electrónico del titular de la línea, o bien, mecanismo dinámico de validación al que sólo podría acceder dicho titular.
iv. Salvo que corresponda a una reposición o sustitución de tarjeta sim por robo, hurto o extravío del equipo, o bien, entrega de tarjeta sim producto de una portación, solicitar al titular informar/registrar el número de IMEI del equipo terminal en uso, el que debe coincidir con la información contenida en los sistemas de la concesionaria.
Adicionalmente, en el caso de la activación de una tarjeta sim de un suscriptor ya existente y no producto de una portación, la concesionaria deberá -incluso en la etapa a)- validar previamente la operatividad de la línea y el estado de la misma, llamando antes de ello al número correspondiente y asegurándose, salvo en caso de bloqueo, que efectivamente no hay respuesta del titular.
Artículo 9º.- Aquellas concesionarias que, dados sus procedimientos de reposición, sustitución o entrega de tarjetas sim para activación en sus redes, contemplen etapas o subprocesos adicionales a los antes señalados, deberán aplicar en aquéllos mecanismos de seguridad equiparables según corresponda.
Por su parte, serán aplicables las exigencias previstas en este Título a aquellos suscriptores de pre pago que las concesionarias tengan registrados en sus sistemas.
Capítulo III.- De los suscriptores de pre pago
Capítulo IV.- De la información de suscriptores
Artículo 13º.- En el tratamiento de datos personales de sus suscriptores, las concesionarias deberán dar siempre cumplimiento a la Ley Nº 19.628, Sobre Protección de la Vida Privada.
Con todo, no existiendo denuncias específicas por delitos cometidos a través del acceso ilegítimo a las tarjetas sim de sus suscriptores ante las policías, efectuadas por aquéllos para su investigación, la información que proporcionen las concesionarias a dichos organismos con motivo de la advertencia de cambios inusuales de IMEIs para una tarjeta sim determinada, deberá entregarse anonimizada.
Artículo 14º.- Para efectos de la adecuada coordinación con las policías y organismos de seguridad, las concesionarias deberán crear y mantener una dirección de correo electrónico con el siguiente formato: SIMswapping@(nombre de empresa).cl.
Título III.- Disposiciones generales
Artículo 15º.- Validación de identidad de usuario sin cédula (por robo documentos) o extranjero reciente, deberá realizarse con la exhibición de cualquier medio de identificación válido.
Artículo 16º.- Sin perjuicio de las responsabilidades civiles o penales que sean procedentes, al incumplimiento de las obligaciones establecidas en la presente resolución le será aplicable lo previsto en el Título VII de la ley.
ARTÍCULOS TRANSITORIOS
Artículo primero transitorio.- La presente resolución entrará en vigor transcurridos 90 días hábiles a contar de su publicación en el Diario Oficial.
Las concesionarias que no dispongan a esta fecha del correo electrónico de sus suscriptores de post pago o de pre pago registrados, deberán adoptar las medidas conducentes a su obtención dentro del plazo antes indicado.
Artículo segundo transitorio.- Transcurrido el plazo antes indicado deberá encontrarse habilitada la dirección de correo señalada en el artículo 14º de la presente resolución.
Anótese y publíquese en el Diario Oficial.- Pamela Gidi Masías, Subsecretaria de Telecomunicaciones.
Transcribo para su conocimiento.- Eduardo Gálvez López, Jefe División Fiscalización (S).