Bancos deben reportar ciberataques en 48 horas con nuevo reglamento de protección de datos

La reciente publicación del reglamento de la ley de protección de datos personales ha traído consigo un cambio significativo en la manera en que las entidades financieras, especialmente los bancos, deben manejar la seguridad de la información de sus clientes. Una de las disposiciones más relevantes es la obligación de reportar cualquier ciberataque que afecte la seguridad de datos personales en un plazo máximo de 48 horas. Esta medida busca garantizar la transparencia y la protección de los derechos de los usuarios en un entorno cada vez más vulnerable a las amenazas digitales.

El reglamento establece que, en caso de que un incidente de seguridad exponga los datos personales de un cliente y cause perjuicio, los bancos no solo deben comunicarlo a los afectados, sino que también deben hacerlo de manera clara y comprensible. Este nuevo enfoque no solo refuerza la protección de los consumidores, sino que también establece un marco de responsabilidad para las instituciones financieras, que ahora deben ser más proactivas en la gestión de riesgos relacionados con la seguridad de datos.

María del Carmen Yuta, partner de Vodanovic Legal, señala que la obligación de notificar a los titulares de los datos solo aplica cuando hay una afectación real a sus derechos. Esto significa que si el incidente se resuelve sin que haya un impacto negativo en los usuarios, la entidad no está obligada a informar. Sin embargo, cuando se trata de la notificación a la Autoridad Nacional de Protección de Datos Personales, la situación es diferente; la obligación de reportar se mantiene independientemente de si el problema fue solucionado o no. Esto permitirá a las autoridades investigar y tomar las medidas necesarias para prevenir futuros incidentes.

El reglamento también especifica que, en caso de un ciberataque, los bancos deben notificar a la Superintendencia de Banca, Seguros y AFP (SBS) y al centro nacional de seguridad digital. Esta carga regulatoria se presenta como una medida esencial para asegurar una respuesta coordinada ante incidentes de seguridad, permitiendo que las autoridades pertinentes actúen rápidamente y con la información necesaria para proteger a los consumidores.

Además, el informe que se presente tras un ataque debe incluir información detallada sobre la naturaleza del evento, los tipos de datos afectados y el número estimado de titulares perjudicados. También se exige que las entidades proporcionen los datos de contacto de un oficial de datos personales, quien actuará como punto de contacto para cualquier consulta adicional sobre el incidente. Esta exigencia busca no solo aumentar la transparencia, sino también mejorar la comunicación entre las entidades y los usuarios.

Por otro lado, el reglamento enfatiza la importancia de la responsabilidad proactiva. Las instituciones que manejan grandes volúmenes de datos o datos sensibles deben designar un oficial de datos personales. Esta medida es particularmente relevante para los bancos más grandes, pero también se extiende a otras entidades del sector financiero, incluidas las fintech, que deben establecer protocolos adecuados para gestionar la protección de datos.

La inclusión de un oficial de datos también se presenta como una respuesta a la creciente preocupación por la seguridad en el sector financiero, especialmente ante la proliferación de nuevos actores como las fintechs. Estas plataformas, que a menudo carecen de la infraestructura de cumplimiento requerida para las entidades supervisadas, ahora deberán adaptarse a las exigencias del nuevo reglamento, lo que permitirá un entorno de competencia más equitativo.

“Las fintech que ofrecen servicios financieros, como créditos o activos virtuales, deberán cumplir con metodologías y criterios de evaluación de riesgo para proteger los datos personales de sus clientes”, aclara Yuta. Este cambio en la normativa no solo mejora la seguridad, sino que también establece un estándar más alto en la industria, beneficiando a los consumidores al garantizar que todas las entidades, independientemente de su tamaño o tipo de servicio, operen bajo criterios de seguridad robustos.

Sin duda, la implementación de estas disposiciones representa un avance significativo en la protección de datos personales en el sector financiero. A medida que la digitalización continúa transformando la forma en que las personas interactúan con las instituciones bancarias, resulta fundamental que estas últimas adopten un enfoque responsable y proactivo para salvaguardar la información de sus usuarios.

Con la entrada en vigor de este reglamento, los bancos y otras entidades financieras deben prepararse para una nueva era en la que la gestión de riesgos y la protección de datos serán pilares fundamentales de su operación. La confianza del consumidor dependerá en gran medida de su capacidad para adaptarse a estos cambios y garantizar que la información de los clientes esté protegida frente a las amenazas cibernéticas que, día a día, se vuelven más sofisticadas y comunes.