PROPUESTA DEL MTC SOBRE CONTROL FACIAL PARA REFORZAR SEGURIDAD DE LINEAS MOVILES.

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

En una reciente Nota de Prensa publicada el 29 de octubre de 2025, el Ministerio de Transportes y Comunicaciones (MTC) propuso en la sexta sesión de la Mesa Técnica, presidida por el viceministro de Comunicaciones, Carlo de los Santos La Serna, una iniciativa para la reducción de la brecha en la conectividad. Esta Mesa congregó a representantes del sector público, empresas operadoras y gremios empresariales a fin de evaluar, entre otras: la implementación de un mecanismo de control facial como requisito para la activación de nuevas líneas telefónicas, mediante un trabajo coordinado y con la información del RENIEC y Migraciones.

La “originalidad” de esta propuesta reposa sobre el refuerzo de la seguridad en la contratación de servicios móviles, reduciendo los riesgos de uso indebido de chips prepago. Se pretende así analizar la viabilidad de establecer un plazo de 30 días para que las líneas pasen por dicho control facial, como acciones de fiscalización y seguridad del sector.

Lo que no ignoran los aludidos representantes es que los datos personales y particularmente la imagen facial, es un dato personal sensible, asociado a datos biométricos y cuya regulación europea como nacional prohíbe su tratamiento, incluyéndola como infracción grave y muy grave pasible de sanciones.

Una segunda reflexión es que RENIEC y MIGRACIONES son responsables de los bancos de datos donde se encuentran registradas las imágenes faciales de nacionales como de extranjeros, es decir, titulares de los bancos de datos que asumen el resguardo y la responsabilidad de la seguridad de los mismos para las finalidades de identidad, identificación del titular del dato. Además, los datos sensibles requieren de consentimiento escrito del titular del dato, y que estos datos deben ser inscritos en documentos de seguridad.

Un tercer análisis reenvía a los veintisiete países que forman la Union Europea, quienes, entre otros países, han optado por exigir el cumplimiento de los principios de extraterritorialidad de sus normas reguladoras de protección de datos personales de sus nacionales, incluida la imagen facial, incluyendo severas sanciones pecuniarias a aquellas personas naturales o jurídicas que las infrinjan.

Cuarto, existen múltiples y variados instrumentos técnicos, administrativos, legales, organizativos, policiales menos intrusivos para el desarrollo de acciones de fiscalización y seguridad que debieran asumir el MTC, las empresas operadoras y gremios empresariales.

Finalmente, se adjuntan algunos considerandos, principios, artículos relacionados a las imágenes faciales, datos biométricos y su consideración como datos sensibles en el RGPD, y la Ley N°29733 y su Reglamento que prohíben y sancionan estas prácticas.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:  cferreyros@ferreyros-ferreyros.com

________________________________________________________

 

CONSIDERANDOS, PRINCIPIOS, ARTICULOS SOBRE IMAGEN FACIAL, DATOS BIOMETRICOS Y DATO SENSIBLES.

1. REGLAMENTO EUROPEO DE PROTECCION DE DATOS, RGPD.

El Considerando 51 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/ce (Reglamento General de Protección de Datos) se refiere a la:

Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales.

En lo relativo al tratamiento de fotografias, afirma:

El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

 

El Considerando (53) se refiere indirectamente a la fotografias incluidas entre los datos biometricos:

Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. No obstante, esto no ha de suponer un obstáculo para la libre circulación de datos personales dentro de la Unión cuando tales condiciones se apliquen al tratamiento transfronterizo de esos datos.

El Considerando (91), relativo a la evaluacion de impacto en el caso de tratamiento de los datos biometricos, indica que:

La evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas.

El articulo 4 Definiciones del Reglamento, define en el niumeral 14)  los  «datos biométricos», e incluye entre ellos las imágenes faciales:

datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

El articulo 9 Tratamiento de categorías especiales de datos personales del Reglamento, en el numera 1. prohibe el tratamiento de los datos biometrricos, ergo, las imágenes faciales, dirigidos a identificar de manera univoca a una persona fisica.

1.   Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

 

2. LEY N° 29733 LEY DE PROTECCION DE DATOS

El articulo 2 Definiciones de la Ley N° 29733, en el numeral 5, hace referencia, entre los datos sensibles, a los datos biometricos:

 5. Datos sensibles. Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

3. REGLAMENTO DE LA LEY DE PROTECCION DE DATOS LEY N° 29733 - D.S. N° 016-2024-JUS

El Artículo III. Definiciones, numeral 6. Datos sensibles, del Reglamento de la Ley N° 29733, precisa que:

Es aquella información relativa a datos genéticos o biométricos de la persona natural, datos neuronales, datos morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la afiliación sindical, salud física o mental u otras análogas que afecten su intimidad.

El Artículo 8. Consentimiento y datos sensibles, del mismo Reglamento de la Ley N° 29733, sobre su otorgamiento, exige como condicion:

Tratándose de datos sensibles, además del cumplimiento de los requisitos para el consentimiento válido, este debe ser otorgado por escrito, a través de su firma manuscrita, digital, electrónica o cualquier otra modalidad que garantice la voluntad del titular de los datos personales

El Artículo 37. Designación del Oficial de Datos Personales, una de las obligaciones del mismo Reglamento de la Ley N° 29733 establece la obligacion de designar este Oficial, en el caso de tratamiento de datos personales senisbles:

37.1 El titular del banco de datos personales o responsable y el encargado de tratamiento deben designar a un Oficial de Datos Personales cuando:

1. El tratamiento lo lleve a cabo una entidad pública, de conformidad con lo establecido en el párrafo 68.6 del artículo 68 del Reglamento del Decreto Legislativo N° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, aprobado por Decreto Supremo N.° 029-2021-PCM.

2. El titular del banco de datos o responsable del tratamiento o el encargado de tratamiento realicen tratamientos de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal.

Como en lo previsto en el Considerando (91) del Reglamento europeo N° 679/2016, aunque de forma facultativa, el numeral 40.1 del articulo del  Artículo 40. Evaluación de impacto del Reglamento de la Ley N° 29733, relativo a la protección de datos personales, determina:

 40.1 De manera facultativa y previa al tratamiento de datos personales, el titular del banco de datos o responsable del tratamiento puede realizar la Evaluación de impacto relativa a la protección de datos personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad como niños, niñas y adolescentes, personas pertenecientes a pueblos indígenas en situación de aislamiento y/o contacto inicial o personas con discapacidad; o cuando se realice tratamiento de grandes volúmenes de datos u otros supuestos determinados por la Autoridad Nacional de Protección de Datos Personales.

 

El Artículo 47. Documento de Seguridad, numeral 47.3 del Reglamento de la Ley N° 29733, exige la elaboracion de un inventario de datos personales y de los sistemas empleados, especificando sí se trata de datos sensibles:

47.3 El documento de seguridad debe contener políticas internas para la gestión y el tratamiento de los datos personales que tomen en cuenta el contexto y el ciclo de vida de los datos personales, es decir su obtención, uso y posterior supresión. Asimismo, debe elaborar un inventario de datos personales y de los sistemas empleados para el tratamiento debiendo especificar si se trata datos sensibles.

El numeral 50.1, inciso 5.  del Artículo 50. Controles para mantener los equipos seguros dentro y fuera de las instalaciones del Reglamento de la Ley N° 29733, debe asegurarse, que antes de disponer o reutilizar los equipos que tengan medios de almacenamiento de datos sensibles, hayan sido eliminados o sobre escritos:

50.1. Los controles para mantener los equipos seguros dentro y fuera de las instalaciones son los siguientes:

5. Asegurar, antes de su disposición o reutilización, que los equipos que contengan medios
de almacenamiento de datos sensibles, hayan sido eliminados o sobre escritos.

Son consideradas infracciones graves, las relativas a los datos sensibles, según los incisos 5 y 6 del Artículo 133. Infracciones graves del Reglamento de la Ley N° 29733, las siguientes:

5. Realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia.

6. Realizar tratamiento de datos personales sensibles que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas, explícitas y lícitas para las que requieren ser obtenidos.

Son consideradas infracciones muy graves, las relativas a los datos sensibles, según el incisos 4 del Artículo 134. Infracciones mu graves del Reglamento de la Ley N° 29733, la siguiente:

 4. Realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia, y generando con ello un perjuicio al titular del dato personal sensible o una exposición no autorizada de sus datos personales sensibles.

 ___________________________________________________________

https://lnkd.in/eRR_vibe

https://www.gob.pe/institucion/mtc/noticias/1276339-mtc-plantea-mecanismo-de-control-facial-para-reforzar-la-seguridad-en-la-activacion-de-lineas-moviles

Ministerio de Transportes y Comunicaciones

MTC plantea mecanismo de control facial para reforzar la seguridad en la activación de líneas móviles

Nota de prensa

Propuesta apunta a fortalecer la seguridad ciudadana y la transparencia en la contratación de servicios de telecomunicaciones.

Fotos: MTC

MTC

29 de octubre de 2025 - 9:14 a. m.

El Ministerio de Transportes y Comunicaciones (MTC) propuso evaluar la implementación de un mecanismo de control facial como requisito para la activación de nuevas líneas telefónicas, mediante un trabajo coordinado y con la información del RENIEC y Migraciones.

Esta propuesta busca reforzar la seguridad en la contratación de servicios móviles, reduciendo los riesgos de uso indebido de chips prepago. En este marco, se propuso analizar la viabilidad de establecer un plazo de 30 días para que las líneas pasen por dicho control facial, como de las acciones de fiscalización y seguridad del sector.

Este planteamiento fue expuesto en la sexta sesión de la Mesa Técnica para la Reducción de la Brecha en la Conectividad, que congrega a representantes del sector público, empresas operadoras y gremios empresariales, con el objetivo de promover la expansión y modernización de las telecomunicaciones en el país. Esta reunión fue presidida por el viceministro de Comunicaciones, Carlo de los Santos La Serna.

Asimismo, los participantes abordaron temas relacionados con la actualización tecnológica y la transición progresiva de las redes 2G hacia tecnologías más avanzadas, garantizando la continuidad del servicio para los usuarios. También se discutió la actualización de la metodología para la renovación de concesiones, a partir de una propuesta del OSIPTEL, orientada a fortalecer los compromisos de inversión y expansión de servicios mediante la presentación de un “Plan de Inversiones” ante el MTC.

De igual manera, se revisó la metodología de cálculo del Canon Móvil, presentada por los gremios empresariales, que será evaluada por el MTC; y se expusieron los resultados del diagnóstico de monitoreo de radiaciones no ionizantes, que permitirá actualizar la periodicidad de las mediciones sobre infraestructura de telecomunicaciones.

El viceministro De los Santos destacó los avances alcanzados en las seis semanas de trabajo de la mesa técnica y reafirmó el compromiso del MTC de continuar impulsando políticas que mejoren la conectividad, fortalezcan la seguridad del sistema móvil y promuevan el acceso equitativo a los servicios de telecomunicaciones en todo el país.