Recientemente se publicó el reglamento de la ley de protección de datos personales. En lo que atañe al sistema financiero, una de sus principales disposiciones es la obligación de reportar en máximo 48 horas, después de haber tomado conocimiento de ello, cualquier incidente de seguridad de datos personales que ocasione exposición de los mismos a terceros y cree perjuicio.
Según la norma, los bancos deberán comunicar, por un lado, al titular de los datos personales sobre el incidente que vulneró su información, “en un lenguaje sencillo y claro para su comprensión”, así como las medidas tomadas para mitigar sus efectos.
LEA TAMBIÉN: Ciberataques: si tiene estos dispositivos en casa puede ser víctima de hackers
“Cuando el incidente de seguridad de datos personales no produjo la afectación antes descrita y fue superado totalmente por las medidas adoptadas, no subsiste la obligación de comunicar dicho incidente al titular”, precisa la norma.
“Solo se debe notificar al usuario si hay afectación de derechos, es decir, solo a los perjudicados (no al público general). Esta obligación es nueva, así como la de informar a la autoridad”, señaló María del Carmen Yuta, partner de Vodanovic Legal.
Investigación
El reglamento indica que también existe un plazo máximo de 48 horas para que los bancos reporten a la Autoridad Nacional de Protección de Datos Personales sobre cualquier evento como un hackeo a sus sistemas. Sin embargo, en este caso, a diferencia de lo establecido para los usuarios, persiste el mandato de notificar aunque se haya resuelto el problema.
“La obligación de informar a la autoridad es para que esta pueda iniciar una investigación. Cuando se da una situación de este tipo, (la entidad atacada) primero tiene que entender el problema, ver su dimensión y otros aspectos”, explicó Yuta.
“También se debe comunicar (sobre el incidente) a la SBS porque es el supervisor financiero. Incluso se debe informar al centro nacional de seguridad digital. La carga regulatoria es importante sobre este punto porque un mismo hecho, conducta o circunstancia puede generar la obligación de notificar a más de uno”, añadió la experta.
Estas disposiciones rigen no solo para los bancos, sino para todas las entidades que manejan datos personales.
Detalles a informar
De acuerdo con el propio reglamento, la notificación del incidente debe señalar y describir, en primer lugar, la naturaleza del evento. Así, cuando sea posible, deberán detallarse los tipos de datos y el número aproximado de titulares afectados.
El informe, en segundo lugar, deberá indicar el nombre y los datos de contacto del oficial de datos personales o de otra persona con la que pueda obtenerse más información. A su vez, es imperativo consignar las posibles consecuencias del ataque, así como las medidas adoptadas o propuestas para poner remedio a estas vulneraciones.
Además, si procede, será imperativo explicar las acciones adoptadas para mitigar los posibles efectos negativos de la vulneración.
Oficial de datos personales
“Si dicha notificación demora más (de 48 horas), debe acompañarse con los sustentos probatorios de tal dilación. Además, la obligación (de informar a la autoridad) permanece aun cuando el responsable del tratamiento considere que el incidente haya sido superado”, precisó en noviembre, ante el Congreso, el director general de la Autoridad Nacional de Protección de Datos Personales, Eduardo Luna.
Otra disposición que se ha establecido en el reglamento es la obligación de incluir un oficial de datos personales. “Aquellas entidades que manejen grandes volúmenes de datos o datos sensibles (deben cumplir con esta disposición)”, acotó Yuta.
“Un banco que maneja grandes volúmenes de datos, por el efecto sistémico que puede generar (una vulneración), debe tener un oficial de datos personales. Los cuatro bancos más grandes, por ejemplo (estarán obligados)”, recalcó.
LEA TAMBIÉN: BCRP sufriría ciberataques en 2025, ¿por qué sería blanco de hackers?
Fintech también deberán tener sistemas de protección
El reglamento establece un criterio de responsabilidad proactiva por parte de las empresas. Según Vodanovic Legal, ello tiene impacto, sobre todo, en aquellas entidades que no están sujetas a supervisión actualmente pero que brindan servicios financieros, como las fintech.
“Una fintech de lending o que ofrece activos virtuales va a tener que establecer metodologías y criterios de evaluación de riesgo para cumplir con la protección de datos personales. Ese es un aspecto que de alguna manera va a permitir tener la cancha pareja porque esas fintech no tiene una infraestructura de cumplimiento que ahora ya (desde la SBS) se les exige a las entidades supervisadas”, explicó María del Carmen Yuta, partner de la firma.
“Las entidades financieras reguladas están sujetas a criterios de seguridad robustos, de autenticación, de uso de doble factor, y en determinadas operaciones incluso piden códigos de verificación. Entonces, existía una cierta incertidumbre en el caso de las fintech”, añadió.
Economista con trayectoria en periodismo y medios digitales.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
TAMBIÉN TE PUEDE INTERESAR:
- El 50% del consumo de familias ahora es sin cash, ¿qué ganan a cambio?
- El 70% de los que invierten en plataformas online pierde, ¿por qué fracasan?
- Bitcoin toca US$ 100,000 y atrae a más peruanos mayores de 30 años
