:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/BVLJUUKYRRBHBAKZBOVTI7NPC4.jpg)
Especialista en Derecho del Consumidor y Protección de Datos Personales de Aguirre Abogados & Asesores
El sistema financiero en el Perú recibe alrededor de 5,000 quejas al día, según reportes de la Asociación de Bancos del Perú. Parte de ellas están relacionadas a fraudes electrónicos, escenario que se vuelve más vulnerable ante la actual necesidad del teletrabajo, generándose así un aumento en las brechas de seguridad de los clientes y los usuarios de la banca.
En respuesta a esto, la Superintendencia de Banca y Seguros (SBS) creó el “Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad”, dirigido a las entidades financieras, cooperativas de ahorro y crédito, cajas, empresas corredoras de seguros, así como las Administradoras Privadas de Fondos de Pensiones, entre otras. Este desarrolla un conjunto de políticas, procesos, procedimientos y recursos que deberían ser utilizados por las empresas de dicho sector para proteger los activos de información mediante la prevención, detección, respuesta y recuperación ante incidentes en el ciberespacio.
Un aspecto importante de este proyecto son las responsabilidades, dentro de tales instituciones, ante la implementación de estos mecanismos de seguridad. Según el reglamento, el Directorio será el responsable de aprobar y facilitar las acciones requeridas para contar con un sistema de seguridad informático apropiado a las necesidades de la empresa y su perfil de riesgo, y la gerencia se encargará de tomar las medidas necesariaspara implementarlo. Entre otros puntos, recomienda también la creación de un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC).
Si bien este proyecto es crucial para el sector financiero, bajo mi punto de vista, todas las empresas, cualquiera sea su rubro, deberían implementar medidas de seguridad para evitar el acceso y el uso inadecuado a los datos personales y/o datos sensibles, no solo de sus clientes, sino también de sus trabajadores, colaboradores, socios y demás integrantes de la organización. Este tema no es nuevo: la Ley de Protección de Datos Personales (LPDP) se encarga, desde el 2011, de designar las directrices mínimas que deben seguir las empresas para proteger esta clase de información, así como las sanciones que conlleva el no adoptarlas (multas de S/. 2,150 a S/. 430,000).
Un caso conocido —cuya investigación aún se encuentra en curso— es el de Cineplanet que, en enero de este año, tuvo una filtración de números de DNI, números de tarjeta parcial, detalles sobre el estado civil, entre otra información sensible de sus clientes.
Es recomendable que las empresas cumplan con revisar los procedimientos y políticas internas, ayudando a conocer las fuentes de recopilación de datos, el tipo de información que maneja cada área y el tratamiento que actualmente estas realizan con los datos personales a la hora de realizar sus actividades comerciales.
Luego, se deberá evaluar si tal información se encuentra dentro del alcance de la norma y si califica como personales o sensible. El siguiente paso, será conocer cuáles son los tiposde almacenamiento que emplea la empresa y cuáles son los bancos de datos personales, los mismos que deben ser reportados y consignados ante el Registro Nacional de Protección de Datos Personales.
En conclusión, la necesidad de proteger la información que puede poner en una situación de vulnerabilidad tanto al público consumidor como a los integrantes de una empresa no es exclusiva del sector financiero, aunque este sea, en efecto, uno de los más sensibles.
Todas las empresas se encuentran en la obligación de adoptar medidas organizativas, jurídicas y técnicas para proteger a su público externo e interno, y cumplir con la normativa señalada, implementando, como mínimo: un Código de Conducta de Tratamiento y Protección de los Datos Personales, una Política Interna de Tratamiento yProtección de dicha información y designando un responsable de la Administración y Tratamiento de los Bancos de Datos Personales; sin olvidar comprometer y capacitar a todo el personal de la empresa respecto de los principios de la LPDP.
