La publicación de la ley de protección de datos personales trajo consigo una obligación para el sistema financiero que implica reportar en máximo 48 horas, después de haber identificado, cualquier incidente de seguridad de información personal que exponga a los usuarios a terceros.
De esta manera, las entidades bancarias deberán comunicar a los titulares de los datos personales vulnerados sobre el incidente, “en un lenguaje sencillo y claro para su comprensión”, así como las medidas tomadas para mitigar sus efectos.
Asimismo, el reglamento indica que en el mismo plazo de 48 horas deberán reportar a la Autoridad Nacional de Protección de Datos Personales sobre cualquier evento, por ejemplo, un hackeo a sus sistemas. En este caso, a diferencia de lo establecido para los usuarios, la notificación se realizará aunque se haya resuelto el problema.
LEA TAMBIÉN Ciberataques: si tiene estos dispositivos en casa puede ser víctima de hackers
Especialistas en ciberseguridad consideran apropiada la decisión de informar sobre estos incidentes, pues permitirá tener un registro de todos los eventos de vulneración hacia las entidades financieras. Empero, difieren un poco en el plazo establecido para la comunicación a los clientes.
“Se publicó un nuevo reglamento de protección de datos que indica 48 para notificar a la autoridad encargada que hubo una filtración de información, lo cual es razonable, es un plazo realista para hacer una comunicación sencilla que alerte sobre lo sucedido”, dijo Fabio Assolini, director del equipo global de Investigación y Análisis de Kaspersky para América Latina.
Pero, dar el mismo plazo para avisar a los clientes no sería lo mejor, según el analista. Es muy poco tiempo, dependiendo de la magnitud del ataque se deberá identificar a los afectados, comentó.
“Con base en mi experiencia toma más tiempo. Solo el 10% de empresas tiene la capacidad de identificar un ataque a sus sistemas en tiempo real, el 90% restante puede quedarse días, semanas o meses sin saberlo”, advirtió. Y podría tomarle más tiempo conocer el alcance de los clientes vulnerados, acotó.
Por su parte, Daniel Chicoma, docente de ESAN, sostiene que sí sería un plazo razonable, pues los bancos cuentan con sistemas de notificación en tiempo real cuando los usuarios realizan operaciones con sus tarjetas.
“Así como envían una alerta cuando realizas una compra, es posible que avisen cuando la información personal ha sido filtrada a terceros. Esta comunicación debería darse de inmediato”, expresó.
No obstante, estos ciberataques vienen acompañados de extorsión, quizá eso frena a las entidades a realizar la comunicación en tiempo real, pues la información robada también puede ser difundida en el momento, manifestó.
LEA TAMBIÉN BCRP sufriría ciberataques en 2025, ¿por qué sería blanco de hackers?
Economista de la Universidad de Piura. Actualmente se desempeña como redactor de Finanzas en Diario Gestión.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
