COMISIÓN PARA PROMOVER LA COMPETENCIA

OPINIÓN COPROCOM 011-2023

COMISIÓN PARA PROMOVER LA COMPETENCIA AL SER LAS QUINCE HORAS CON DOS MINUTOS

DEL CUATRO DE OCTUBRE DE DOS MIL VEINTITRÉS.

I. INTRODUCCIÓN

A solicitud de los señores miembros del Órgano Superior de la Comisión para Promover la Competencia se realiza el siguiente análisis del Decreto Nº 44196-MSP-MICITT correspondiente al REGLAMENTO SOBRE MEDIDAS DE CIBERSEGURIDAD APLICABLES A LOS SERVICIOS DE TELECOMUNICACIONES BASADOS EN LA TECNOLOGÍA DE QUINTA GENERACIÓN MÓVIL (5G) Y SUPERIORES con el fin de determinar la posible existencia de barreras de entrada que afecten la competencia en el mercado.

El reglamento mencionado fue publicado en el Diario Oficial La Gaceta el pasado 31 de agosto de 2023 y rige a partir de dicha publicación.

II. REGULACIÓN EFICIENTE DE LAS ACTIVIDADES ECONÓMICAS

De previo al análisis del Decreto Nº 44196-MSP-MICITT se considera necesario repasar lo señalado por la Comisión para Promover la Competencia (COPROCOM) en relación con la regulación eficiente de las actividades económicas.

Como ya lo ha señalado esta autoridad de competencia en el pasado, en una economía de mercado como la costarricense, la intervención estatal resulta excepcional, justificada principalmente para lograr determinados objetivos de política pública y/o ante la presencia de fallos de mercado. El problema es que en ocasiones y bajo ciertas condiciones, estas intervenciones pueden llegar a distorsionar u obstaculizar el desarrollo de las actividades económicas, en mayor proporción a lo que sería estrictamente necesario para conseguir sus objetivos legítimos.

Desde la óptica del Derecho de Competencia, una regulación eficiente busca que la consecución del objetivo que la norma persigue se alcance mediante un ejercicio regulador que impone las mínimas restricciones posibles a la actividad económica. Para ello, la regulación debe respetar siempre una serie de principios que contribuyan a minimizar la carga para la actividad económica y el perjuicio desde la perspectiva del funcionamiento de la competencia en el mercado. Tales principios son:

1) Necesidad y proporcionalidad: En aquellos casos en que la consecución de los objetivos de la norma requiera introducir, directa o indirectamente, algún tipo de restricciones a la competencia, debería ser condición necesaria para su aprobación la justificación de la necesidad de tales restricciones. Lo anterior por cuanto si se va a restringir la libertad de empresa y el buen funcionamiento del mercado, objetivos a cuya defensa está obligada la Administración Pública, debe hacerse de manera motivada, de forma que sea posible discernir si el objetivo que se persigue justifica la restricción que se impone y la distorsión que ello conlleva. Igualmente es necesario reflexionar sobre la proporcionalidad de la restricción impuesta con el fin de evitar que la consecución de un objetivo que suponga sólo una mejora relativa o marginal en términos de bienestar social genere, en cambio, un serio detrimento al mismo por las serias restricciones a la actividad económica que impone.

Estos requisitos guardan a su vez relación con el principio de mínima distorsión.

2) Mínima distorsión: De entre los instrumentos posibles para conseguir de un objetivo dado, se debe emplear aquel que suponga la mínima distorsión para la competencia. "A menudo sucede que para la consecución de un determinado fin se pueden emplear distintos instrumentos regulatorios y que el impacto de los mismos sobre las condiciones de competencia no es indiferente. Una falta de reflexión al respecto puede llevarnos a que se impongan medidas excesivamente restrictivas desde el punto de vista de la competencia, cuando el objetivo que se persigue podría quedar igualmente salvaguardado con mecanismos menos restrictivos."

3) Eficacia: El diseño de las normas debe permitir su aplicación eficaz, esto es, la capacidad de lograr el efecto que se desea o espera. Un marco normativo eficaz es, por tanto, aquel que permite la consecución de los objetivos que persigue. De lo contrario, se pueden estar imponiendo cargas a las empresas y aceptando restricciones a la competencia para alcanzar ciertos objetivos cuyo logro, sin embargo, puede frustrarse por falta de eficacia de la norma.

4) Transparencia: La transparencia debe ser un principio que impregne el marco normativo y los procesos de elaboración del mismo. No obstante, diversos elementos pueden restar transparencia al marco normativo. Uno de ellos es la dispersión de las normas, como por ejemplo cuando han sido reiteradamente reformadas, a lo cual se suma un uso a veces intrincado de las disposiciones transitorias y las derogatorias. Todo ello suele operar como una barrera de entrada al mercado que protege a los ya establecidos en detrimento de los entrantes, menos conocedores del marco normativo, de sus lagunas y de sus peculiaridades.

La transparencia debe aplicarse en igual medida a la ejecución de la norma; en especial, en presencia de restricciones a la entrada y a la actividad los criterios que determinan qué operadores pueden o no pueden operar deben ser transparentes, así como su justificación.

5) Predictibilidad: El marco normativo debe ser estable y predecible su desarrollo, por cuanto es indispensable para la actividad económica disponer de un marco normativo sólido y estable. Cuando esto no sucede la regulación es causa de incertidumbre, que perjudica las decisiones de inversión de las empresas y puede tener además otros efectos perversos, como desincentivar la entrada de nuevos operadores.

III. SOBRE EL REGLAMENTO A ANALIZAR

El reglamento tiene por objeto establecer medidas de ciberseguridad para garantizar el uso y la explotación segura y con resguardo de la privacidad de las personas, de las redes y los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores. (Artículo 1º).

Está sometida a dicho reglamento la operación activa de redes y servicios basados en la tecnología de quinta generación móvil (5G) y superiores, por parte de las personas físicas o jurídicas, públicas o privadas, nacionales o extranjeras, que operen redes o presten servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores que se originen, terminen o transiten por el territorio nacional, exceptuando la operación de redes privadas de telecomunicaciones. (Artículo 2º-).

En el caso de procesos de compra pública que tengan por objeto la habilitación de redes y servicios basados en la tecnología de quinta generación móvil (5G) y superiores, así como de equipamiento tecnológico activo necesario para el despliegue de éstas, para el uso y explotación del espectro radioeléctrico, la Administración o entidad contratante debe adoptar los mecanismos idóneos para verificar que los potenciales oferentes han considerado todos los aspectos alusivos a la gestión y mitigación de riesgos contenidos en el reglamento, a la hora de planificar, diseñar e implementar su oferta técnica. Par los adjudicatarios, las disposiciones del reglamento son de acatamiento obligatorio durante la operación de las redes y prestación de los servicios basados en la tecnología de quinta generación móvil (5G) o superiores. (Artículo 2º)

En el capítulo segundo del reglamento se determinan los siguientes Riesgos Nacionales de Ciberseguridad en Redes 5G y Superiores:

. R1: Fallos de configuración de las redes.

. R2: Controles de acceso insuficientes.

. R3: Productos de baja calidad.

. R4: Dependencia de un único suministrador en determinadas redes o falta de diversidad a nivel nacional, cuando este se encarga de configurar e integrar todos los equipos activos y software de la solución, o si la red está compuesta por equipos activos y software de un único fabricante.

. R5: Intromisiones por parte de Estados a través de la cadena de suministro de la 5G, cuando esto pueda comprometer la seguridad, disponibilidad, integridad y privacidad de la información.

. R6: Aprovechamiento de las redes 5G por parte de grupos de delincuentes organizados para atacar a usuarios finales.

. R7: Daños significativos a infraestructuras o servicios críticos.

. R8: Caída general de las redes debido a la interrupción de suministro eléctrico u otros sistemas de soporte.

. R9: Utilización abusiva del Internet de las cosas, microteléfonos o dispositivos inteligentes.

Todos los sujetos comprendidos en el ámbito de aplicación del reglamento deben acatar las medidas de mitigación de los riesgos nacionales contenidas en el reglamento. (Artículo 5º). Además, el Poder Ejecutivo podrá actualizar tales medidas conforme con los avances tecnológicos, la emisión de nuevos estándares, y demás criterios que resulten pertinentes.

Precisamente para mitigar algunos de los riesgos se establece la obligación para los sujetos comprendidos en el ámbito de aplicación de adoptar, implementar, y mantener estándares y/o marcos de referencia sobre ciberseguridad, incluyendo los siguientes:

. ISO/IEC 27001:2022 Seguridad de la Información, Ciberseguridad y Protección de la

Privacidad - Sistemas de Gestión de la Seguridad de la Información - Requerimientos.

. ISO/IEC 27002:2022 Seguridad de la Información, Ciberseguridad y Protección de la Privacidad - Controles de seguridad de la información.

. ISO/IEC 27003:2017 Tecnologías de la información -Técnicas de seguridad - Sistemas de Gestión de la Seguridad de la Información -Guía.

. ISO/IEC 27011:2016 Tecnologías de la información -Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.

. SCS 9001 Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad.

Además, los sujetos comprendidos en el ámbito de aplicación del reglamento, deben analizar los riesgos de ciberseguridad de sus redes detectando vulnerabilidades y amenazas. Análisis que debe realizarse de oficio una vez identificado el riesgo alto de conformidad con los parámetros definidos en el artículo 10 del presente Reglamento (Artículo 7º). La norma incluye el detalle de los elementos que debe abarcar el análisis de riesgo. Adicionalmente, deben adoptarse las medidas adecuadas para gestionar los riesgos identificados, para lo cual el reglamento establece aquellas que deben incluirse para ello (Artículo 8).

Igualmente, los sujetos comprendidos en el ámbito de aplicación del Reglamento, deben solicitar a sus suministradores de hardware y software, que intervienen en el funcionamiento y operación de las redes 5G y superiores y sus servicios, la definición de los requisitos, controles y mediciones del sistema de gestión de ciberseguridad de la cadena de suministro para el diseño, desarrollo, producción, entrega, instalación y mantenimiento de hardware, software y servicios de conformidad con el estándar SCS 9001 "Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad".

Por otra parte, el artículo 10 del Reglamento establece los que se consideran parámetros de alto riesgo:

"Artículo 10º- Parámetros de riesgo alto. Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento, deberán considerar los siguientes parámetros de riesgo alto para la operación de redes de telecomunicaciones 5G o superiores y la prestación de sus servicios:

a) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento cuenten con un único suministrador de hardware y software en su cadena de suministro, cuando este se encarga de configurar e integrar todos los equipos activos y software de la solución, o si la red está compuesta por equipos activos y software de un único fabricante.

b) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software tengan algún informe de incidente publicado por el CSIRT-CR sobre brechas en la ciberseguridad de sus sistemas que no han sido atendidas y por ende implican un riesgo para la seguridad, disponibilidad, integridad o privacidad de la información de los usuarios finales.

c) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software sean susceptibles de presión por parte de un gobierno extranjero por disposición normativa o política pública oficial de dicho gobierno extranjero, en relación con la ubicación o ejecución de sus operaciones.

d) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software tienen su base en un país, o, de alguna manera, están sujetos a la dirección de un gobierno extranjero con leyes o prácticas establecidas que les puedan requerir que compartan la información de los usuarios finales de servicios de telecomunicaciones en ausencia de un proceso legal transparente que proteja adecuadamente sus derechos e intereses.

e) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento utilizan suministradores de hardware y software que tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia (Convenio de Budapest).

f) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este reglamento utilizan suministradores de hardware y software que no cumplen con los estándares de ciberseguridad dispuestos en el artículo 6 de este Reglamento."

En caso de identificar la presencia de alguno o varios de los parámetros de riesgo alto antes consignados, los sujetos comprendidos en el ámbito de aplicación deberán informarlo a la Superintendencia de Telecomunicaciones (Sutel) de conformidad con las disposiciones del artículo 42 de la Ley General de Telecomunicaciones dentro de los 3 (tres) días naturales siguientes a su identificación y adoptar las medidas técnicas y administrativas idóneas para garantizar la seguridad de sus redes y sus servicios. Además, se deberán adoptar las siguientes medidas:

"Artículo 11º. Medidas aplicables ante la identificación de riesgo alto. (.)

Cuando se identifique la presencia de alguno o varios de los parámetros de riesgo alto por parte de los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento, quedará sujeto a la adopción inmediata de las siguientes medidas técnicas de ciberseguridad:

1) No podrán ser utilizados en elementos críticos de la red, equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales por representar un alto riesgo de ciberseguridad para las redes 5G y superiores, y la seguridad nacional. Para tal efecto, se declaran elementos críticos de la red 5G y superiores los siguientes:

i. Los relativos a las funciones del núcleo de la red.

ii. Los sistemas de control y gestión y los servicios de apoyo.

iii. La red de acceso en aquellas zonas geográficas y ubicaciones que proporcionen cobertura a centros vinculados con la seguridad nacional y la provisión de servicios públicos esenciales.

2) Llevar a cabo la sustitución de los equipos, productos y servicios de la red 5G y superiores cuando ello fuera necesario, para lo cual, deberá tener en cuenta la situación del mercado de los suministradores de hardware y software, las alternativas de suministro de equipos y productos sustitutivos viables, la implantación de esos equipos y productos en la red 5G y superiores, especialmente en los elementos críticos de la red, la dificultad intrínseca para llevar a cabo la sustitución de equipos, los ciclos de actualización de equipos, así como su impacto económico. En ningún caso, el plazo de sustitución de los equipos podrá ser superior a cinco años, contados a partir de la clasificación como de alto riesgo.

El cumplimiento de las presentes disposiciones reglamentarias deberá ser consideradas para la operación de redes 5G y superiores y sus servicios, de conformidad con las disposiciones del artículo 49 numerales 1 y 3 de la Ley N°8642, Ley General de Telecomunicaciones."

Las disposiciones finales del reglamento se relacionan con la confidencialidad de la información, las sanciones e infracciones -que se rigen por la Ley General de Telecomunicaciones- y la declaratoria de interés público del establecimiento de medidas de ciberseguridad para garantizar la operación segura de redes de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores y sus servicios.

IV. ANÁLISIS DEL PROYECTO DESDE LA ÓPTICA DEL DERECHO DE COMPETENCIA

A. Sobre la posible existencia de barreras de entrada

De lo antes expuesto, se aprecia que las disposiciones contenidas en el artículo 10, pueden excluir a empresas de varios países, de participar --directa o indirectamente- en el despliegue de la red 5G en el país. El parámetro más relevantes el establecido en el inciso e) que establece como de alto riesgo el que se utilicen suministradores de hardware y software que tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio de Europa sobre Ciberdelincuencia (Convenio de Budapest).

Este convenio es considerado un instrumento jurídico fundamental en la lucha contra la ciberdelincuencia, cuyo propósito principal es prevenir, investigar y sancionar los delitos cibernéticos, fortalecer la seguridad de los sistemas de información y fomentar la cooperación internacional en esta materia. Cabe señalar que mediante la Ley N°9452 de 26 de mayo de 2017 se aprobó, en cada una de sus partes, la adhesión de nuestro país a dicho convenio.

A la fecha se han adherido al Convenio de Europa sobre Ciberdelincuencia 68 países. Sin embargo, naciones con empresas con un alto desarrollo en tecnología de telecomunicaciones, como China o Corea del Sur aún no lo han suscrito, lo cual, evidentemente, les impediría a esas empresas la posibilidad de ofrecer sus productos para el despliegue de redes 5G.

Sin embargo, otros parámetros igualmente pueden llegar a constituirse en una barrera de entrada al despliegue de redes 5G, tales son los casos de los incisos a), c) o d) del artículo 10, sin embargo, su aceptación por parte de la empresa que encuadre en este inciso, o su demostración para terceros, puede llevar a que sea difícil y complicada su aplicación.

No obstante, es claro que las preocupaciones de las autoridades costarricenses -como las de muchos otros países-- están orientadas hacia empresas de origen chino. De allí que deba señalarse que la exclusión de empresas chinas en los despliegues de redes 5G no es una decisión que haya adoptado exclusivamente Costa Rica, por lo que en el siguiente apartado se realiza un resumen de las decisiones adoptadas por otros países.

B. Exclusión de empresas chinas de participar en el despliegue de redes 5G en otros países.

En años recientes, muchos países se han preparado para pasar de redes móviles 4G a 5G, más avanzadas. Las velocidades de descarga 10 veces más rápida que las actuales cambiarán radicalmente la forma en que se trabaja, se comunican las personas y se transmiten videos. En teoría, controlar la tecnología en el corazón de estas redes podría darle a una empresa la capacidad de espiar o interrumpir las comunicaciones durante cualquier disputa futura.

Por otro lado, los fabricantes chinos (Huawei, ZTE) han venido posicionándose en todo el mundo - en el que están extensamente presentes- por la patente orientación gubernamental al desarrollo de las tecnologías punta de uso masivo, la intensidad de su esfuerzo innovador, la adopción más temprana de 5G en China y las ventajas de escala de los operadores de ese gran país, con precios imbatibles.

Japón

Las principales firmas niponas de telecomunicaciones decidieron desde el año 2018 no emplear equipamiento de empresas chinas para desarrollar redes de telefonía móvil 5G, después de que Tokio anunciase un veto a las mismas por las dudas sobre su seguridad. El bloqueo del sector privado nipón a empresas chinas está en línea con la exclusión de las mismas de contratos públicos por parte del Ejecutivo, una medida que fue confirmada por el primer ministro japonés, Shinzo Abe. «Es extremadamente importante que evitemos comprar equipamiento que incluya funciones maliciosas, como el robo o la destrucción de datos o la suspensión de los sistemas», afirmó Abe en declaraciones a los medios, después de que el Gobierno aprobara esta medida en una reunión sobre ciberseguridad.1

1 Ver: https://www.elpais.cr/2018/12/10/firmas-de-telecomunicaciones-japonesas-vetaran-a-las-chinas-desus-redes-5g/

Reino Unido

El gobierno británico anunció en julio de 2020 una serie de medidas para eliminar al fabricante chino Huawei de las redes móviles 5G del país. Se anunció que se prohibiría a los proveedores de telefonía móvil del país comprar nuevos equipos Huawei 5G después de finales de ese año y tendrían que haber desinstalado todo su kit 5G de sus redes para 2027. "El gobierno había dicho en enero pasado que Huawei podía ser parte del proyecto del 5G, pero cambió de opinión después de las crecientes preocupaciones de seguridad sobre la empresa y China."2

2 Ver en: https://www.bbc.com/mundo/noticias-53413017

Pese a que Reino Unido afirmaba a comienzos de 2020 que Huawei sería proveedor de la red 5G, aunque con grandes limitaciones, el gobierno da un giro en su postura y pasa de aceptar el despliegue de Huawei para buena parte de la infraestructura del 5G a vetarla por completo del país. La compra de cualquier equipo 5G queda bloqueada a partir del 31 de diciembre de este 2020 y se cierra para 2027 la eliminación de cualquier equipo 5G de la empresa.3

3 Ver en: https://www.xataka.com/empresas-y-economia/huawei-eliminado-5g-reino-unido-gobiernoprohibe-completo-utilizacion-sus-equipos

Unión Europea

La UE tiene una agenda de identificación, calificación y gestión de riesgos tecnológicos externos, específicamente en el ámbito de 5G, que se inició con la recomendación de la Comisión de marzo de 2019, seguida del mapa de riesgos 5G de la agencia de ciberseguridad de la UE (ENISA) de noviembre de ese mismo año y que se plasmó en la llamada "caja de herramientas" para redes 5G seguras de enero de 2020.

El pasado 2 de junio de 2023 el Comisario del Mercado Interno Thierry Breton recordó a los Ministros del ramo de telecomunicaciones de la UE que tan sólo Dinamarca, Suecia, Estonia, Latvia y Lituania habían decidido la exclusión del equipamiento de países ajenos a la OCDE de las redes de sus respectivos operadores. En un discurso pronunciado por el mismo Comisario el pasado 15 de junio resultaban ser ya diez los Estados miembros que habrían decidido la exclusión de equipamientos de los fabricantes Huawei y ZTE de sus redes 5G y se instaba con contundencia a Gobiernos y operadores a tener en cuenta la "caja de herramientas" de ciberseguridad 5G de la UE para proceder a tal exclusión.4

4 Ver: https://www.eleconomista.es/telecomunicaciones/noticias/12327697/06/23/5g-y-geopolitica-latecnologia-china-descalificada.html

Es más, en esa última fecha, la Comisión Europea anunció que vetará en sus instalaciones el uso de servicios equipados con material de los gigantes chinos por cuanto considera que empresas como Huawei y ZTE, constituyen un "riesgo" para la seguridad de la Unión Europea lo suficientemente grave como para "justificar absolutamente" su exclusión del despliegue de la red 5G.5

5 Ver: Bruselas considera a Huawei y ZTE un "riesgo" para la seguridad europea y ve "justificado" su exclusiónde la red 5G | Economía | EL PAÍS (elpais.com)

 "Hemos sido capaces de reducir o eliminar nuestras dependencias en sectores como la energía en un tiempo récord, a pesar de que muchos pensaban que era imposible. La situación con la 5G no debería ser diferente", declaró Breton tras la publicación de una comunicación del Ejecutivo europeo en la que se constata que "Huawei y ZTE representan riesgos materialmente más elevados que otros proveedores de 5G". Por ello, agrega el análisis de Bruselas, "las decisiones adoptadas por los Estados miembros que han restringido o excluido a Huawei y ZTE están justificadas y cumplen la 'caja de herramientas' del 5G", unas directrices estrictas para contrarrestar un posible peligro a la seguridad emanado de proveedores poco fiables de una tecnología crítica.6

6 IDEM.

A mayor abundamiento, cabe señalar que recientemente:

o Un tribunal de apelaciones de Suecia avaló la exclusión de Huawei de la licitación 5G.7

7 Ver: https://www.infobae.com/america/mundo/2020/12/18/un-tribunal-de-apelaciones-sueco-avalo-laexclusion-de-huawei-en-la-licitacion-del-5g/

o La Comisión de Evaluación de Seguridad de Portugal consideró el pasado 25 de mayo, que suponía un "alto riesgo" el uso de equipos y servicios sobre la red 5G que "proviniesen de un proveedor o prestador" que no formase parte de la Unión Europea, la OTAN y la OCDE. Aunque no mencionaba ninguna empresa, China, de donde procede Huawei, no cumple estas condiciones.8

8 Ver: https://www.swissinfo.ch/spa/portugal-china_huawei-acude-a-la-justicia-para-impugnar-suexclusi%C3%B3n-de-la-red-5g-de-portugal/48785604

o Alemania anunció que planea prohibir el uso de piezas fabricadas por los constructores chinos Huawei y ZTE en sus redes 5G desde 2026. Según las proposiciones del gobierno, los componentes chinos serían excluidos del "corazón de la red" a partir del 1 de enero de 2026, prohibición que incluiría también las piezas ya instaladas. Lo anterior debido a la necesidad de "reducir los riesgos" ante China, por lo que las infraestructuras críticas, de las que hacen parte las redes de telefonía, están muy involucradas en esta política de seguridad y reducción de dependencias unilaterales.9

9 Ver: https://www.france24.com/es/minuto-a-minuto/20230920-alemania-planea-prohibir-loscomponentes-chinos-en-las-redes-5g

Según un estudio del año 2022, casi el 60% de las redes 5G que se han desplegado al día de hoy en Europa cuentan con presencia de componentes hechos por Huawei o por ZTE. El país que lidera este ranking es Chipre, que al tener su infraestructura 5G completamente montada con equipos chinos.

Le sigue Rumanía, que todavía alcanza el 79% de equipos a pesar de tener aprobada desde 2021 una ley para prohibir completamente equipos de Huawei en ese país de Europa del Este. Le siguen otros como Países Bajos (72%), Bulgaria (62%) o Austria (61%). Entre las grandes economías del euro, Alemania es la que aparece con un índice más alto (59%). Italia registra un 51% y España, un 38%, en línea con Polonia.10

10 Ver: https://www.elconfidencial.com/tecnologia/2022-12-21/huawei-medula-redes-europeasoperadoras_3543416/

Estados Unidos

La Comisión Federal de Comunicaciones de Estados Unidos (la FCC, por sus siglas en inglés) anunció a finales del año 2022 un veto a productos y equipos de telecomunicaciones de fabricantes chinos, incluidos los gigantes Huawei y ZTE, alegando "un riesgo inaceptable para la seguridad nacional".

Otros países como Canadá y Australia también han impuesto vetos a Huawei, principalmente, relacionados con el despliegue de las redes 5G.

C. Sobre los límites al Derecho de Competencia

La Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, Nº7472, vigente desde el año 1995, eliminó todas las restricciones al comercio que existieron durante años en el país.

Específicamente, el artículo 6 "Eliminación de restricciones al comercio", eliminó las licencias y toda otra autorización para el ejercicio del comercio, así como las restricciones para ejercer actividades comerciales. Asimismo, eliminó todas las restricciones que no sean arancelarias y cualesquiera otras limitaciones cuantitativas y cualitativas a las importaciones y exportaciones de productos.

La única salvedad que hace esta norma para permitir que permanezcan, o que se creen, barreras al comercio, se encuentra contenida en el artículo 3 en el cual se señala que "La administración pública debe revisar, analizar y eliminar, cuando corresponda, esos trámites y requisitos para proteger el ejercicio de la libertad de empresa y garantizar la defensa de la productividad, siempre y cuando se cumpla con las exigencias necesarias para proteger la salud humana, animal o vegetal, la seguridad, el ambiente y el cumplimiento de los estándares de calidad."

De tal manera que si bien el derecho a la libertad de empresa, a la competencia y libre concurrencia en el mercado se encuentran protegidos constitucionalmente, lo cierto es que estos derechos ceden ante la protección de la seguridad (nacional y de las telecomunicaciones) valores que pretende proteger el reglamento que se analiza.

Indudablemente, la seguridad en el ámbito de las telecomunicaciones es un tema que reviste importancia y tiene un impacto tanto en la competencia como en la ciudadanía, dado que se trata de un servicio esencial en la actualidad. En el mercado de las telecomunicaciones intervienen gran cantidad de agentes económicos como fabricantes de hardware y software que participan en la cadena de suministros, y que están dentro del alcance regulatorio de la COPROCOM. En este contexto, se considera fundamental para esta Comisión aportar desde la perspectiva de la competencia a la discusión que actualmente se está llevando a cabo, especialmente después de la publicación del reglamento.

Es claro que existe en el mundo una amplia discusión en relación con la ciberseguridad, especialmente ante el despliegue de redes 5G, que podrían ser susceptibles a ataques; así como los problemas que podría acarrear la dependencia de un único suministrador que se encargara de configurar e integrar todos los equipos activos y software de la solución, o si la red está compuesta por equipos activos y software de un único fabricante.

Si bien tales riesgos podrían justificar el establecimiento de limitaciones a la competencia para determinados proveedores, tales restricciones deberían ser ampliamente justificadas, tal y como lo establecen lo señalan los principios de necesidad y proporcionalidad que deben aplicarse en la regulación de las actividades económicas. Igualmente, debería haberse analizado que, entre los instrumentos posibles para conseguir de un objetivo dado, se utilizó aquel que supone la mínima distorsión para la competencia, de manera que sea claro para la ciudadanía que el objetivo que se persigue justifica la restricción que se impone, con sus posibles consecuencias.

Lo anterior por cuanto diversos estudios demuestran que una exclusión de los fabricantes chinos como Huawei o ZTE de los despliegues de las redes de 5G podría tener un fuerte impacto negativo en la economía, ya que para las operadoras de redes la restricción de proveedores clave en infraestructuras 5G, supondría un incremento en sus gastos en la implantación de sus redes de quinta generación. En Europa, los cálculos señalan un incremento de hasta un 30%, aproximadamente.11 Impacto que no incluye los importantes costos para los operadores derivados de tener que sustituir en sus redes los equipos fabricados por los proveedores sobre los que se impusieron restricciones.

11 Ver: https://www.elespanol.com/invertia/empresas/tecnologia/20230619/excluir-huaweipodria-restar-millones-pib-europa/772673093_0.html

Junto a las consecuencias financieras, también se subraya la ralentización en la innovación y los retrasos en el despliegue de la red que llevaría consigo una restricción a la competencia en el campo 5G, lo que también tendría como consecuencia la limitación del acceso a estas tecnologías a millones de personas en los próximos años.12

12 IBID.

Por otra parte, las empresas que ven restringida su participación en el despliegue de redes 5G harán uso de sus derechos procesales y sustanciales, lo que puede llevar a una onerosa y prolongada discusión, que eventualmente puede restringir el despliegue de las esperadas redes 5G.

V. CONCLUSIÓN Y RECOMENDACIÓN

En razón de lo expuesto, la discusión en torno a la ciberseguridad y la dependencia de proveedores en las redes 5G pone de manifiesto la crucial necesidad de encontrar un equilibrio preciso entre la seguridad y la promoción efectiva de la competencia y la innovación. Si bien, algunas veces se requiere imponer restricciones, estas deben estar rigurosamente respaldadas y sopesar minuciosamente el impacto económico y en la competitividad del mercado. La exclusión de proveedores clave puede generar costos significativos y retardar la adopción de tecnologías esenciales, afectando así a la competencia en el campo 5G. En última instancia, se hace imperativo establecer una regulación que, desde la perspectiva de la competencia, concilie la seguridad sin introducir restricciones excesivas a la innovación y al entorno competitivo. Este enfoque se fundamenta en la premisa de que tanto la innovación como la competencia desempeñan roles esenciales en el contexto económico. Es importante subrayar que la presencia de un mayor número de proveedores en el mercado no solo promueve la diversidad de opciones, sino que también estimula la selección informada y fomenta un dinamismo en la competencia.

Se dispone al Poder Ejecutivo la revisión del Decreto Nº 44196-MSP-MICITT, que aborda el Reglamento sobre Medidas de Ciberseguridad Aplicables a los Servicios de Telecomunicaciones basados en la Tecnología de Quinta Generación Móvil (5G) y Superiores, con el propósito fundamental de asegurar que la regulación no se convierta en una barrera que limite la participación de determinados operadores o proveedores de telecomunicaciones para prestar sus servicios.

Esta revisión debe ser realizada a la luz de lo manifestado anteriormente, con el propósito de equilibrar de manera adecuada los objetivos de seguridad cibernética y protección de datos con la necesidad de fomentar un ambiente de competencia y libre concurrencia en el mercado de telecomunicaciones. La COPROCOM reconoce la importancia de preservar la integridad de la red y la seguridad de la información en el marco de la tecnología 5G. Sin embargo, es fundamental resaltar la necesidad de asegurar que las restricciones establecidas no sean discriminatorias y no menoscaben la sana competencia. De igual manera, estas medidas no deben convertirse en obstáculos para la innovación y el progreso económico en un sector de vital importancia.

Con fundamento en el numeral 21 de la Ley de Fortalecimiento de las Autoridades de Competencia de Costa Rica, Ley N°9736, se le indica al señor Rodrigo Chaves Robles, Presidente de la República, Ministro de Seguridad Pública, Mario Zamora Cordero y la Ministra de Ciencia, Innovación, Tecnología y Telecomunicaciones, Paula Bogantes Zamora que, en caso de apartarse de la presente opinión y recomendaciones, deberá informar a esta Autoridad de Competencia, sobre sus motivaciones, en un plazo no mayor a treinta días naturales.

EXPEDIENTE N°63-2023-C. Notifíquese