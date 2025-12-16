La Superintendencia Nacional de Fiscalización Laboral - SUNAFIL ha comunicado que enfrentó un incidente de ciberseguridad atribuido a una variante de ransomware que afectó sus sistemas. Como parte de su respuesta, activó un plan de contingencia, adoptando medidas de seguridad y habilitando excepcionalmente correos institucionales para la recepción de documentos mientras se restablecía la Mesa de Partes Virtual. La entidad aseguró no haber registrado pérdida de información y anunció una evaluación forense para identificar el origen y el alcance del ataque.

Este suceso pone en evidencia un riesgo claro: en los procesos inspectivos se remite información altamente sensible de trabajadores y de la gestión interna de las empresas, cuya exposición podría tener impactos reputacionales, legales y humanos. Este episodio no es el primer incidente de ciberseguridad en el sector público, lo que exige reforzar estándares de seguridad y gobernanza de los datos.

El plan de acción no se debe limitar a contratar más software de seguridad, sino que debe contemplar una cultura de cumplimiento sostenida. (Foto: iStock)

La normativa peruana de protección de datos impone obligaciones claras para el sector público y privado. La Ley N.º 29733 y su nuevo Reglamento (D.S. N.º 016-2024-JUS) establecen principios como minimización, proporcionalidad, finalidad, entre otros. Dichos principios exigen que solo se recojan y traten los datos personales estrictamente necesarios para un propósito legítimo y específico; que las medidas de tratamiento —recolección, acceso, transferencia y conservación— sean las menos intrusivas y equilibradas frente al impacto en la privacidad; y que los datos no se utilicen ni se conserven para fines distintos o incompatibles con el originalmente informado. En conjunto, estos principios exigen pedir menos, proteger mejor y usar solo para lo que corresponde.

En términos sencillos: en datos personales, menos es más. Se debe tratar la menor cantidad de datos posible y limitar su acceso solo a quienes lo necesitan conocer por la naturaleza de sus funciones. Esto refleja los principios de minimización, proporcionalidad y finalidad: pedir lo estrictamente necesario, hacerlo con el menor impacto posible y usarlo solo para el fin declarado.

En virtud de ello, la autoridad debería rediseñar la manera en que se requieren los datos de los administrados: solicitar tan solo la documentación estrictamente relevante para el fin inspectivo específico, para evitar el traslado de datos innecesarios y, cada vez que sea viable, promover versiones de documentos disociados o anonimizados que cumplan el objetivo probatorio sin exponer datos adicionales.

Nada de esto ocurre hoy en día y, muchas de las veces (pero no siempre), los requerimientos de información están desenfocados de la materia que se desea inspeccionar o son excesivos en la documentación que se requiere.

De igual manera, resulta crucial definir plazos de conservación de la información y/o suprimir o anonimizar los documentos una vez cumplida la finalidad de la inspección o el plazo legal. Todo ello debe realizarse a través de canales y repositorios seguros con cifrado, control de accesos y trazabilidad.

Estas aproximaciones reducirían significativamente la superficie de ataque, limitaría el impacto de eventuales nuevos incidentes y fortalecería la confianza institucional, sin debilitar la capacidad fiscalizadora.

Otro asunto de gran relevancia que ha surgido a propósito de este incidente es si las empresas que entregaron documentación a SUNAFIL debían notificar a la Autoridad de Protección de Datos de lo ocurrido, como se ha venido planteando, sin ningún sustento legal. Claramente, la respuesta es que no, como les aclaramos a continuación.

Específicamente, frente a un incidente de seguridad que implique exposición de grandes volúmenes o datos sensibles, o potencial afectación a derechos, el titular del banco de datos o responsable del tratamiento debe notificar a la Autoridad Nacional de Protección de Datos Personales dentro de 48 horas y, cuando exista el riesgo de vulneración de derechos -casos de fraude, suplantación de identidad, etc.-, comunicar también a los titulares afectados.

Sin embargo, se debe tener en cuenta que, cuando una empresa entrega información a una autoridad en el marco de una función pública, la autoridad actúa como responsable del tratamiento respecto de los bancos y sistemas que administra. Por tanto, las obligaciones de preservar la seguridad y confidencialidad, así como la gestión y notificación de incidentes que afecten dichos bancos recaen en la propia autoridad.

Es importante recordar que los incidentes en ciberseguridad son un riesgo real para cualquier institución o empresa en la actualidad. El plan de acción no se debe limitar a contratar más software de seguridad, sino que debe contemplar una cultura de cumplimiento sostenida. Esto implica planes de capacitación por roles, simulaciones periódicas, protocolos claros para clasificar y manejar información sensible, verificación de identidad, protocolos para la gestión de incidentes y auditorías regulares.