Los recientes ciberataques que comprometieron información sensible en el Perú han puesto de manifiesto las deficiencias en la seguridad de los sistemas tecnológicos, resaltando la necesidad urgente de robustecer la protección de datos personales.
Mientras el país se prepara para la entrada en vigor del nuevo reglamento de protección de datos en marzo de 2025, los eventos del año pasado sirven como un recordatorio de las consecuencias de no contar con medidas adecuadas de ciberseguridad.
Este reglamento busca responder a las debilidades identificadas y ofrecer un marco normativo que impulse mejores prácticas en la gestión de la información.
LEA TAMBIÉN: Celular y computadora del trabajo: ¿puede la empresa monitorearlos?
Ciberataques mas relevantes del año pasado
Durante el año, varios ataques cibernéticos pusieron en evidencia la fragilidad de las infraestructuras tecnológicas en diversas instituciones.
Ricardo Elías, abogado penalista especializado en cibercrimen y socio de Estudio Elías Puelles, recuerda que en agosto del año pasado, la Municipalidad de Miraflores sufrió una filtración de datos personales de 82,000 vecinos, que incluyó información sensible como nombres, números de DNI y detalles de contacto.
Para el abogado, este caso refleja una posible negligencia en la protección de información sensible debido a vulnerabilidades en los sistemas utilizados.
Meses después, en octubre, un ataque dirigido a Interbank expuso datos sensibles de más de tres millones de clientes, comprometiendo detalles bancarios y personales mediante el uso indebido de credenciales internas administradas por terceros. Elías subrayó que estos incidentes demuestran la necesidad de implementar controles más estrictos en el acceso a sistemas críticos.
Este incidente, también atribuido al grupo ExKase20, incluyó nombres, correos electrónicos y fotos de identificación estudiantil. Adicionalmente, un segundo ataque alteró el contenido de la revista estudiantil de la institución. Elías destacó la importancia de establecer sistemas de respaldo y monitoreo constante como medidas preventivas frente a estas amenazas.
LEA TAMBIÉN: Criptomonedas: ¿pueden ser aporte de capital social? Lo que se debe considerar
Reglamento de protección de datos
Giancarlo Baella, socio del estudio Hernández & Cía, explicó que una de las principales novedades es la obligación de notificar incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales dentro de un plazo máximo de 48 horas (como regla general).
Además, cuando el incidente afecte otros derechos o libertades de los titulares, estos deberán ser informados en el mismo plazo. “Se trata de una obligación estándar en el plano comparado y cuya inclusión implicará que las empresas deban contar con protocolos para atenderlos oportunamente”.
Otra medida clave es la introducción de la figura del Oficial de Datos Personales (ODP), quien será responsable de supervisar el cumplimiento normativo en las organizaciones. Su designación será obligatoria -entre otros supuestos- para empresas que gestionen grandes volúmenes de datos, un cambio que, según Baella, busca mitigar riesgos de incumplimiento al velar por la efectiva aplicación de las políticas y procedimientos aplicables.
El reglamento establece el derecho a la portabilidad, permitiendo a los titulares solicitar la transferencia de sus datos entre responsables de tratamiento, promoviendo un mayor control sobre su información personal.
El régimen sancionador también ha sido actualizado. Se incorporan nuevas infracciones, como la falta de notificación de incidentes de seguridad o la no designación de un ODP cuando sea requerido. Al mismo tiempo, se contemplan factores atenuantes, como la implementación de códigos de conducta, para fomentar un cumplimiento más proactivo de la normativa.
Por último, el reglamento regula el uso de datos para fines publicitarios. Permite un único contacto inicial para obtener el consentimiento del titular, prohibiendo cualquier tratamiento posterior si este no es otorgado. Según Baella, esta medida otorga predictibilidad al mercado en lo que se refiere a actividades de prospección comercial pues la figura del primer contacto ha estado en constante cuestionamiento.
LEA TAMBIÉN: ¿Formalización o desincentivo? Proyecto busca redefinir el mercado de alquiler turístico
Retos de protección de datos
Los expertos destacan que uno de los principales retos en Perú es la falta de coordinación entre las instituciones públicas, privadas y las autoridades encargadas de combatir el cibercrimen, como el Ministerio Público y la Policía Nacional. Elías señaló que las investigaciones policiales y fiscales a menudo se ven obstaculizadas por la burocracia interna de las empresas, lo que genera demoras en la entrega de información crucial.
Esto beneficia a los ciberdelincuentes, quienes aprovechan los tiempos prolongados para ocultar su rastro. Para abordar este problema, propone la creación de canales de comunicación centralizados, como un buzón institucional exclusivo para responder solicitudes relacionadas con investigaciones de ciberdelitos.
Otro desafío significativo es la baja alfabetización digital en la población peruana, lo que la hace especialmente vulnerable a los ataques cibernéticos. Según Elías, muchos usuarios desconocen medidas básicas de ciberseguridad, como la importancia de utilizar contraseñas robustas, evitar buscar nombres de bancos en motores de búsqueda o reconocer intentos de phishing.
Esta falta de educación digital no solo expone a los individuos, sino que también dificulta la adopción de prácticas seguras en el ámbito empresarial. Los expertos coinciden en que es urgente introducir programas de alfabetización digital desde las escuelas para preparar a las futuras generaciones y reducir estas vulnerabilidades.
Además, sectores como el financiero y el de la salud, que manejan grandes volúmenes de datos sensibles, enfrentan mayores riesgos debido a una implementación desigual de los estándares exigidos por el nuevo reglamento de protección de datos. Sin educación digital, coordinación institucional y adaptación legislativa, los esfuerzos para combatir el cibercrimen seguirán siendo insuficientes.
LEA TAMBIÉN: Expresiones como “inepto” o “abusivo” contra un jefe: ¿pueden ser causal de despido?
Te puede interesar leer:
- Sunafil pone en el radar a las planillas para verificar cumplimiento de inclusión
- Las consecuencias legales de declararse único heredero sin serlo
- Cuidado con el uso de imágenes: lo que puede costar no pedir permiso
Abogado especialista encargado de Enfoque Legal en Diario Gestión - Actualmente, ocupa la posición de analista legal en el área de Economía en el Diario Gestión.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
