¿Cómo deben actuar las empresas ante un incidente de seguridad de datos personales?

A propósito del caso Interbank, ¿cómo deben actuar las empresas ante un incidente de seguridad de datos personales?

En el desafiante contexto actual de ciberseguridad, las empresas en Perú deben prepararse para responder con rapidez ante cualquier incidente de seguridad que comprometa los datos personales de sus clientes.

En ese sentido, Alejandro Morales, jefe del área de Derecho y Nuevas Tecnologías en TYTL Abogados, comparte una guía práctica sobre los pasos que las empresas deben seguir para cumplir con la normativa local y proteger tanto los datos de sus usuarios como su reputación.

1. Definir y reconocer incidentes de seguridad de datos
Un incidente de seguridad en datos personales ocurre cuando se compromete la confidencialidad, integridad o disponibilidad de la información. Esto incluye accesos no autorizados, pérdidas o destrucción de datos, lo que impacta los derechos de los clientes. Reconocer un incidente a tiempo permite a la empresa responder con rapidez y mitigar posibles daños.

2. Notificar a las autoridades

En el sector financiero, la Resolución SBS 504-2021 obliga a notificar a la Superintendencia de Banca, Seguros y AFP (SBS) de manera inmediata.

    Morales indica que, aunque actualmente no existe un protocolo detallado, un nuevo proyecto de reglamento establece pautas específicas que ayudarán a las empresas. Para la notificación a la Autoridad Nacional de Protección de Datos, las empresas deben incluir:

    • Describir la naturaleza del incidente, especificando los tipos de datos y el número aproximado de titulares afectados.
    • Proveer el nombre y los datos de contacto del oficial de datos personales o un punto de contacto para más información.
    • Detallar las posibles consecuencias del incidente en la seguridad de los datos.
    • Describir las medidas tomadas para mitigar los efectos negativos y remediar la vulneración de seguridad.

    3. Realizar un análisis forense para prevenir futuras vulneraciones
    Morales señala que, según la legislación, la empresa debe efectuar un análisis forense para determinar las causas del incidente y tomar las medidas para su gestión. El informe resultante de dicho análisis debe estar a disposición de la Superintendencia, el que debe tener un contenido ejecutivo y también con el detalle técnico correspondiente.

    4. Fortalecer las medidas de seguridad
    Después de un incidente, revisar y fortalecer las medidas de protección de datos es una prioridad. Esto puede incluir el uso de autenticación de múltiples factores, controles de acceso y respaldos periódicos, así como establecer trazabilidad en los sistemas para asegurar que solo el personal autorizado acceda a información sensible. La inclusión de cláusulas de confidencialidad en contratos con proveedores también es fundamental para reducir riesgos externos.

    5.Capacitar al personal para una gestión eficaz de Incidentes
    Morales destaca la importancia de la capacitación continua del personal en temas de seguridad de datos personales. Según el Decreto de Urgencia 007-2020, contar con un equipo capacitado es crítico, especialmente en sectores sensibles como el financiero y el de salud. “Un equipo entrenado reduce errores humanos y mejora la respuesta ante posibles incidentes de seguridad”, agrega Morales.

    6. Informar a los titulares de los datos

    Aunque actualmente no es obligatorio notificar a los afectados y siempre que afecte derechos fundamentales o libertades de las personas, hacerlo refuerza la confianza de los clientes y ayuda a mitigar riesgos reputacionales.

      Beneficios de una respuesta rápida y protocolizada

      “Contar con un protocolo bien definido permite a las empresas responder de manera rápida y ordenada, minimizando el impacto en sus clientes y preservando la reputación empresarial”, afirma Morales. Este enfoque no solo facilita el cumplimiento normativo y reduce el riesgo de sanciones, sino que también incrementa la confianza de los consumidores, quienes valoran la privacidad y seguridad en la era digital.

      Tener una estrategia de respuesta ante incidentes de seguridad es fundamental para cualquier organización que maneje datos personales. En un entorno cada vez más digital, aquellas empresas que cumplen con las normativas y fortalecen sus medidas de protección se destacan por su compromiso con la seguridad y construyen una sólida reputación en el mercado, asegurando la privacidad de los datos de sus clientes.

      Artículos relacionados