Artículo
Una breve reflexión de Blockchain y Regtech
Por: Héctor Torres, socio fundador de Torres Legal.
Introducción
La innovación siempre estará marcada por la influencia de la regulación alrededor de la misma, históricamente y también en la actualidad, los emprendedores tecnológicos piensan que la ausencia de regulación acelera la innovación, mientras que la excesiva regulación la estanca. Ante esto, es importante el surgimiento de escenarios intermedios que creen ecosistemas amigables a la innovación de una forma práctica, de boga están los llamados regulatory sandboxes los cuales consisten en ecosistemas reducidos que permiten probar las nuevas tecnologías en sectores y mercados determinados sin estar supeditados a las típicas regulaciones de la industria tradicional para cada caso.
Lo anterior, invita a los reguladores a crear escenarios balanceados que permitan el impulso de la innovación y no la entorpezcan, siempre y en todo caso, cuidando la estabilidad del sector tecnológico que se encuentre innovando, llámese fintech, healthtech, etc.
Junto al big data, los mecanismos biométricos y la inteligencia artificial, la tecnología de blockchain y las Distributed Ledger Technologies (DTL), son piezas fundamentales en la innovación regulatoria y tecnológica de la actualidad, por lo que en este artículo nos enfocaremos en las mismas dentro del ámbito del regtech.
Regtech
Podemos entender este término desde dos puntos de vista, el primero desde el marco regulatorio que engloba los avances tecnológicos (protección de datos, ciberdelitos, comercio electrónico, etc.), y segundo, cómo las compañías que se dedican a dar soluciones tecnológicas de cumplimiento de dicho marco regulatorio para terceros.
Vamos a entender este término en palabras de mi profesora, Lisa Rabbe, como la “digitalización del cumplimiento regulatorio”, un claro ejemplo son los distintos programas existentes para identificar temas de AML, KYC, que utilizan las instituciones financieras.
Una de las funciones principales de las tecnologías del blockchain y DLT es proveer seguridad de la invariabilidad caprichosa de los registros de las bases de datos adheridas a cada bloque. Esta tecnología revolucionaría sin duda temas de identificación personal, las mismas revisiones de AML, contratación en general.
El rediseño de la regulación para los servicios financieros y de todo tipo alrededor de los destinatarios finales y no del producto en sí, puede crecer exponencialmente (y de forma segura), el grado de utilización o de inclusión de las personas en sectores a los que difícilmente se tenía acceso en algún momento determinado.
Blockchain
Denominada en los foros mundiales de desarrollo como una “mega tendencia”, la tecnología blockchain llegó para quedarse. Hemos visto su desarrollo más que nada desde el ámbito de las fintech (empresas que utilizan la tecnología para dar soluciones financieras), lo que a los reguladores en todo el mundo les creó recelo ciertamente.
Sin embargo, a pesar que su popularización se dio a través del bitcoin, la utilización de esta tecnología está revolucionando las formas de innovación de servicios alrededor del mundo, y podemos decir con propiedad que es, junto al big data y el “IoT” las tecnologías más disruptivas del momento.
En materia financiera y de servicios financieros, el blockchain ha permitido el crecimiento de la inclusión financiera en economías cuyos habitantes se encuentran dentro de los billones de personas no bancarizadas en el mundo. BitPesa en Kenya, es utilizada para consolidar distintas monedas de países africanos para realizar más eficientemente las compras de materias primas en dólares. BanQu en Indonesia ofreció en su momento servicios bancarios a refugiados. No se diga para el envío y cobro de remesas, el servicio de Cashaa ha generado cientos de miles en ahorro de los costos de transferencias de remesas entre el Reino Unido, África, India, entre otros.
En materia de electricidad, en Australia se creó la plataforma Power Ledger (www.powerledger.io) la cual permite que aquellos particulares que generen energía renovable, puedan vender los excesos de generación a sus vecinos que así lo necesiten, esto basándose en transacciones persona a persona (P2P).
Una de los beneficios que tiene la tecnología DTL y que me fascina particularmente, es la relacionada con las cadenas de suministro, ya que permite que las transacciones que se realicen entre los partícipes de dicha cadena, validen la autenticidad, las certificaciones; la procedencia, la legalidad de todos los partícipes de todos los proveedores de una materia prima para el productor final. Esto permite verificar que el diamante en su anillo de compromiso no sea un blood diamond o que las naranjas de su jugo matutino no provengan de fincas señaladas con explotación infantil.
Dentro del punto de vista legal, el tema de identificación es increíble, ya que la tecnología DTL permite solventar los problemas de grandes fraudes que tenemos en la actualidad. Por su característica de validación y fuerte inmutabilidad, tendremos certeza de las personas con las que contratemos, de los bienes que estemos adquiriendo, del precio que estemos pagando, de las consecuencias de los incumplimientos, todo lo anterior de manera automatizada y sin dilaciones.
Con el uso de la tecnología blockchain se crean contratos inteligentes, denominados “smart contracts” que son programas autoejecutables que se pueden entrelazar vía API´s con las instituciones financieras o registrales necesarias para garantizar su cumplimiento. Esto permitiría en cerrar una compraventa de inmuebles en menos de 10 minutos, porque en el instante se puede verificar con 100% de certeza quién es el dueño de la propiedad, si la propiedad seleccionada es conforme con el título (ubicación, extensión y libre de deuda), si el comprador tiene los recursos para comprarla y si dichos recursos son lícitos. Ni se diga su utilidad en contratos de promesas, arrendamientos, seguros, etc.
Conclusión
El tema tecnológico regulatorio es una gran oportunidad para la creación de emprendimientos de regtech, es algo que todas las industrias lo necesitarán (fintech, proptech, healthtech, insurtech, etc.) Los grandes retos que nos enfrentamos en aplicar las tecnologías para la regulación, utilizando blockchain u otras soluciones, implican por la facilidad de entrelazar actores, la velocidad de respuesta, el apego a las normas legales existentes y sobre todo a mantener íntegros y privados los contenidos de las bases de datos.
Artículo
Ley para la Protección de Datos Personales: El cierre del círculo de la actualización legal tecnológica
Escrito por Rodrigo Benítez, Asociado de García & Bodán. Máster en Protección de Datos Personales por la Universidad Internacional de La Rioja.
Como sucede con cualquier legislación reciente, la Ley para la Protección de Datos Personales ofrece varias oportunidades de mejora que, con el tiempo, podrán perfeccionarse mediante resoluciones y la interpretación progresiva de sus disposiciones. A continuación, presentaré dos áreas clave que, aunque inicialmente puedan parecer baladíes, tienen un impacto significativo en su aplicación.
La ley se presenta como una herramienta oportuna para garantizar el derecho a la autodeterminación informativa, un derecho reconocido y protegido por la Sala de lo Constitucional mediante jurisprudencia desde hace casi una década. Este derecho otorga a los individuos la facultad de decidir quién, cuándo, dónde y cómo se recopila y trata su información personal.
A continuación, destacaré tres aspectos fundamentales de esta ley que, a mi juicio, constituyen una actualización legislativa clave y que se han inspirado en los mejores estándares internacionales, específicamente en el Reglamento General de Protección de Datos Personales (RGPD) de la Unión Europea.
1. Derechos de los interesados: ARSOPOL / ARCOPOL
El primer punto relevante es el reconocimiento explícito de los derechos de los titulares de los datos personales. Estos derechos, comúnmente conocidos por sus siglas ARSOPOL / ARCOPOL, incluyen:
Acceso: Derecho a conocer qué datos personales se están tratando.
Rectificación: Derecho a corregir datos incorrectos o incompletos.
Cancelación o Supresión: Derecho a solicitar la eliminación de datos personales.
Olvido: Derecho a la eliminación de información que ya no sea necesaria.
Portabilidad: Derecho a recibir los datos en un formato estructurado y transferible.
Oposición: Derecho a oponerse al tratamiento de los datos.
Limitación del tratamiento: Derecho a restringir el uso de los datos personales, solo a tratamientos que sean relevantes para el fin para el cual se recolectaron.
El reconocimiento de estos derechos es una garantía fundamental para los ciudadanos, permitiéndoles un mayor control sobre su información personal.
2. La “Responsabilidad Proactiva”
El segundo aspecto clave es el principio de la “Responsabilidad Proactiva” o como lo define la legislación salvadoreña «Responsabilidad Comprobada», que, en términos sencillos, es la obligación de demostrar que los responsables del tratamiento de datos cumplen con la ley. Este principio establece que las personas naturales o jurídicas que recaban y gestionan datos personales deben implementar medidas técnicas y organizativas adecuadas para asegurar la protección de la información. Además, deben ser capaces de demostrar que su tratamiento de datos cumple con todos los requisitos legales establecidos.
Este principio es esencial porque coloca a los responsables del tratamiento en una posición proactiva, exigiendo no solo que cumplan con la normativa, sino que también puedan evidenciar dicho cumplimiento en todo momento.
3. El Delegado de Protección de Datos (DPO)
El último aspecto para destacar es la figura del Delegado de Protección de Datos (DPO), un actor clave en la implementación y vigilancia del cumplimiento normativo. En la ley salvadoreña, esta figura es esencial para garantizar la correcta protección de los datos personales, desempeñando un papel fundamental en la supervisión y en el aseguramiento del cumplimiento de la normativa.
Aunque la normativa salvadoreña establece una base sólida para el DPO, El Salvador podría tomar como referencia marcos más avanzados, como el RGPD de la Unión Europea, que otorgan ciertas garantías adicionales para fortalecer la autonomía de esta figura. Por ejemplo, en otras legislaciones se establece la estabilidad en el puesto, lo que le permite ejercer sus funciones con independencia y sin riesgo de represalias, además de exigir que reporte directamente a las instancias más altas de la organización, asegurando así que sus decisiones sean tomadas de manera autónoma y sin presiones externas.
Este tipo de garantías adicionales podría ser un excelente punto de partida para seguir fortaleciendo el papel del DPO en El Salvador, asegurando un cumplimiento normativo más robusto y una mayor protección de los datos personales de los ciudadanos.
4. Obligaciones de las entidades sujetas a la Ley
La nueva Ley para la Protección de Datos Personales establece que se aplicará a todas las personas, ya sean naturales o jurídicas, que realicen el tratamiento de datos personales, ya sea por cuenta propia (como responsables del tratamiento) o en calidad de encargados de tratamiento (tratando datos personales en nombre de un tercero). La acción que genera la obligación de cumplir con esta ley es el «tratamiento» de datos, el cual se define como:
«Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.» (Definición del RGPD).
En este contexto, la aplicación de la ley abarca a todos los sectores productivos del comercio, dado que todos, en mayor o menor medida, manejan datos personales no solo de sus clientes, sino también de sus empleados. Además, es necesario poner especial énfasis en los centros de asistencia sanitaria, como hospitales y consultorios médicos, ya que los datos tratados en estos lugares son considerados «Datos Especialmente Protegidos» o, como los define la ley salvadoreña, «Datos Sensibles». Estos datos requieren una protección adicional debido a su naturaleza delicada.
5. Régimen sancionatorio
La ley establece infracciones catalogadas como leves, graves y muy graves. Naturalmente al ser temas de cumplimiento administrativo, estas sanciones son pecuniarias para los infractores, tomando como parámetro salarios mínimos mensuales vigentes del sector comercio:
Las multas Leves de 1 hasta 10 salarios mínimos.
Las multas Graves de 11 hasta 25 salarios mínimos.
Las multas Muy Graves de 26 hasta 40 salarios mínimos.
6. Oportunidades de mejora
Como sucede con cualquier legislación reciente, la Ley para la Protección de Datos Personales ofrece varias oportunidades de mejora que, con el tiempo, podrán perfeccionarse mediante resoluciones y la interpretación progresiva de sus disposiciones. A continuación, presentaré dos áreas clave que, aunque inicialmente puedan parecer baladíes, tienen un impacto significativo en su aplicación.
El primer punto de mejora es la confusión que existe sobre la Seudonimización y la Anonimización con la Disociación, esto debido a que lo largo de la ley se confunden estos términos, siendo que la información anonimizada es un conjunto de datos que no guarda relación con una persona física identificada o identificable. Mientras que la información seudonimizada es un conjunto de datos que no puede atribuirse a un interesado sin utilizar información adicional, es decir, la Seudonimización y Anonimización son formas de Disociación de Datos. Un ejemplo de esta confusión es el artículo 8 literal b), y artículo 10 literal e).
La segunda oportunidad de mejora es desarrollar más bases de licitud del tratamiento, o aclarar y dar más relevancia para su aplicación a las que se contemplan en el Principio de Licitud. En todo el recorrido de la ley se hace ver que la única base licitud de tratamiento válida es el Consentimiento, dejando la duda si se aplicarán las desarrolladas en Principio de Licitud, las cuales son:
- Cumplimiento Contractual.
- Cumplimiento de una obligación Legal.
- Proteger intereses vitales del interesado.
- Cumplimiento de un interés público.
- Interés Legítimo (esta base da para hablar un artículo completo).
Corolario
En resumen, los puntos destacados representan elementos clave para la implementación de la nueva Ley de Protección de Datos Personales en El Salvador: los derechos de los interesados, la responsabilidad comprobada de los responsables del tratamiento, y la figura del delegado de Protección de Datos.
Aunque la ley establece sanciones claras, aún existen oportunidades de mejora en términos de definición y bases de licitud para el tratamiento de datos. No obstante, este avance normativo contribuirá a crear un entorno más seguro y transparente para la gestión de los datos personales de las personas.
Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa.
Introducción
Se ha aprobado un marco normativo de protección de datos personales que, sin duda, contribuirá a salvaguardar la información de los salvadoreños frente a un uso inadecuado de su información.
Publicada en el Diario Oficial del 15 de noviembre, la normativa entró en vigencia el 23 del mismo mes, iniciando los plazos para su implementación, adecuación, adopción de medidas de protección y establecimiento de mecanismos que permitan el ejercicio de los derechos ARCO-POL.
La ley establece tres actores principales: la Agencia de Ciberseguridad del Estado, los sujetos obligados como responsables de tratamiento de datos y los titulares de estos. Cada uno de ellos desempeña un papel relevante, debiendo prepararse no solo para enfrentar los retos que implica su implementación, sino también para aprovechar las oportunidades que esta normativa genera.
A continuación, desarrollaré los principales retos y oportunidades para cada uno de estos actores.
AGENCIA DE CIBERSEGURIDAD DEL ESTADO “ACE”
Es la entidad rectora, encargada de aplicar y supervisar el cumplimiento de la ley.
Entre sus principales atribuciones tenemos la supervisión y sanción de las instituciones obligadas, garantizar la protección de datos, promover programas de sensibilización, resolver controversias, dictar políticas de seguridad, crear certificaciones, impartir capacitaciones y asesorar a entidades públicas y privadas.
RETOS:
Financiamiento, recursos humanos y plataforma tecnológica
Dado que tanto la Ley de Ciberseguridad y Seguridad de la Información como la Ley para la Protección de Datos Personales son de reciente promulgación, es necesario construir desde cero las estructuras y mecanismos idóneos para su implementación. Esto requiere dotar a la ACE de recursos suficientes en términos financieros, humanos y tecnológicos, para asegurar su buen funcionamiento y el cumplimiento de sus objetivos.
Es crucial contar con personal calificado, capaz de enfrentar las complejidades que demanda un entorno tan amplio y en constante cambio, especialmente en el ámbito digital. Para fortalecer la capacidad operativa de la ACE, es preciso adquirir herramientas para supervisar el cumplimiento normativo, como sistemas de análisis de datos, plataformas de gestión de cumplimiento, supervisión de riesgos cibernéticos y monitoreo. Además, se debe implementar un portal que incluya servicios en línea para la recepción, registro y gestión de denuncias.
Elaboración de disposiciones para la aplicación de la Ley
La ACE debe emitir, en los tres meses posteriores a la entrada en vigencia de la ley, políticas, medidas y guías que proporcionen a los sujetos obligados claridad y dirección para cumplir con los requisitos legales.
Capacitación
La autoridad de control debe jugar un rol activo en materia de capacitación. Requiere garantizar que sus propios funcionarios cuenten con los conocimientos técnicos, jurídicos y prácticos necesarios para desempeñar adecuadamente su trabajo, lo que requiere de una formación continua.
Por otro lado, debe proporcionar a los sujetos obligados y a los titulares de los datos, herramientas educativas que les permitan profundizar en el conocimiento de la ley.
Cooperación interinstitucional
Esto implica la coordinación con diversas entidades, tanto nacionales como internacionales, para asegurar la correcta aplicación y cumplimiento de la ley. Además, incluye la colaboración para compartir información, recursos y mejores prácticas.
OPORTUNIDADES:
Promoción de un entorno más seguro y confiable en el manejo de datos personales
Mediante la implementación de normativas claras, auditorías periódicas, educación y capacitación de las partes involucradas, respuesta rápida a incidentes y creación de programas de certificación.
Liderazgo en la protección de datos
Posicionar al país como un referente regional en la materia y eventualmente pueda ser considerado como un país con nivel de protección adecuado.
Mejorar la confianza pública:
Una buena aplicación de la ley incrementa la confianza de los ciudadanos en la entidad rectora y en los sujetos obligados, asegurando que sus datos están debidamente protegidos.
SUJETOS OBLIGADOS
Es toda persona natural o jurídica, de carácter público o privado, que lleve a cabo actividades relativas o conexas al tratamiento de datos personales, ya sea de manera manual, parcial o totalmente automatizado o a través de terceros.
El ámbito de aplicación de la ley no establece excepciones; todas las personas que realicen tratamientos de datos, sin importar tamaño, naturaleza o alcance, deberán cumplir con ella.
RETOS:
Adaptación a la normativa:
Los sujetos obligados deben garantizar que sus políticas y procedimientos de gestión de datos estén alineados con los nuevos requisitos legales, incluyendo los datos personales obtenidos antes de su vigencia.
Adaptarse adecuadamente a la normativa requiere diversas actividades que aseguren su cumplimiento más allá de ajustes superficiales. Es preciso realizar un diagnóstico y evaluación inicial del estado de la empresa en cuanto al tratamiento de datos para detectar áreas críticas, establecer prioridades y planificar mejoras necesarias.
Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa.
Es prudente empezar a elaborar políticas y revisar procesos internos desde ahora, ya que la implementación de modelos de gestión implica inversión de tiempo dentro de las organizaciones.
Capacitación constante
La formación continua es crucial para cumplir con la ley. Este desafío no solo recae en los equipos de IT, sino también en los departamentos legales y de recursos humanos y dependerá de la alta dirección que toda la organización esté alineada con la normativa
Implementación de mecanismos para el ejercicio de derechos ARCO-POL
Los sujetos obligados como responsables del tratamiento deben garantizar que los titulares puedan ejercer sus derechos efectivamente, mediante mejoras tecnológicas y operativas que faciliten su cumplimiento de manera eficiente y segura.
Costos asociados
Las necesidades y costos asociados a la implementación de la ley varían significativamente según el sector y tamaño de la empresa, así como el tipo y volumen de tratamiento de información personal que realice.
OPORTUNIDADES:
Mejora en la imagen corporativa
Cumplir con la normativa vigente contribuye a mejorar la reputación de las empresas, demostrando su compromiso con la seguridad y privacidad de los datos y generando confianza entre sus usuarios y clientes.
Innovación tecnológica.
Es beneficioso aprovechar la ley como una oportunidad para innovar, desarrollando nuevos servicios y procesos que integren la protección de datos desde su concepción (Privacy by Design).
Reducción de riesgos legales
Una gestión adecuada de la privacidad evita el riesgo de sanciones severas.
TITULARES DE LOS DATOS PERSONALES
RETOS:
Conocer sus derechos
Para muchas personas, la protección de datos personales parece irrelevante hasta que se ven afectadas. Por eso, es crucial educarse y concienciar sobre la importancia de proteger su información personal y conocer sus derechos.
Seguridad en entornos digitales
No basta con que exista una ley para proteger los datos personales; las personas deben tomar medidas de seguridad, especialmente en el entorno digital. La combinación de una legislación robusta y la educación sobre prácticas seguras, como el uso de contraseñas fuertes y la actualización de software, ayuda a prevenir vulnerabilidades y ciberataques.
OPORTUNIDADES:
Mayor control sobre sus datos personales
Los titulares tienen ahora un mayor control sobre sus datos, lo que les permite ejercer sus derechos frente a los sujetos obligados.
Transparencia en el tratamiento de datos
Las personas pueden exigir mayor transparencia a las empresas sobre el procesamiento de sus datos personales, fomentando una cultura de responsabilidad.
CONCLUSIÓN:
La Ley para la Protección de Datos Personales es un avance significativo hacia la consolidación de un marco normativo que garantice la privacidad y seguridad de los datos. Su implementación plantea retos importantes para los organismos de control y los sujetos obligados, debiendo adoptar las disposiciones en plazos definidos y con claridad normativa.
Es preciso educar y sensibilizar a los titulares de los datos sobre sus derechos, fomentando su rol activo en la gestión de su información personal. El equilibrio entre regulación, cumplimiento y empoderamiento ciudadano será clave para el éxito de esta legislación
Artículo
Privacidad de datos: Una estrategia para impulsar el éxito empresarial
Escrito por: Alejandro Solano Meardi, Doctor en Derecho especializado en Derecho Digital
En cuanto al potencial de convertir la privacidad como diferenciador, el ejemplo de Apple es ilustrativo: la compañía no solo cumplió con las normativas legales, sino que fue más allá, convirtiendo la privacidad en un pilar estratégico con iniciativas como “App Tracking Transparency.”
- Introducción
La evolución tecnológica ha transformado profundamente las expectativas de los consumidores al elegir productos y servicios, estableciendo nuevos estándares que las empresas deben atender para mantenerse competitivas. En este contexto, el manejo adecuado de los datos personales no solo es un imperativo ético y legal, sino una oportunidad estratégica para diferenciarse en mercados saturados y ganar la confianza del cliente. Según un estudio reciente de Cisco, el 95% de las compañías que invierten en privacidad de datos personales, también conocida como protección de datos personales, obtienen beneficios que superan los costos, con un retorno promedio de inversión de 1.6 veces. Este hallazgo confirma una realidad incuestionable: la privacidad no solo mitiga riesgos, sino que genera valor tangible.
Las empresas que integran la privacidad en su funcionamiento logran atraer nuevos clientes que valoran el manejo responsable de sus datos, fortalecen la lealtad de su clientela actual y optimizan su eficiencia operativa. En un mundo digitalizado, donde los teléfonos inteligentes superan en número a las cuentas bancarias, y tanto gobiernos como empresas dependen de flujos masivos de información, el resguardo de los datos se traduce en una ventaja competitiva medible.
En los siguientes párrafos, este artículo propone cómo las empresas en El Salvador, al armonizar estrategias empresariales con la protección de datos personales y ciberseguridad, pueden transformar el cumplimiento legal en un motor de confianza, diferenciación y expansión.
- Cumplimiento Legal como Punto de Partida
El cumplimiento de leyes en materia de privacidad de datos y ciberseguridad es un punto de partida para construir ventajas competitivas. El marco normativo salvadoreño proporciona directrices importantes, como otorgarles derechos a las personas en El Salvador relativos al acceso, rectificación, cancelación, oposición, portabilidad y limitación sobre sus datos personales (ARCO-POL). Para ponerlo en perspectiva, estos son derechos fundamentales en estándares internacionales como el (i) Reglamento General de Protección de Datos (RGPD) en Europa; y (ii) California Consumer Privacy Rights Act (CCPA) de California, Estados Unidos.
Una empresa que integre por diseño estos conceptos en su funcionamiento diario, más allá de evitar infracciones por incumplimiento a la normativa pertinente, tendrá la oportunidad de destacar en el mercado actual, fomentando la transparencia y la confianza de sus clientes. La veracidad de esto es evidente al considerar las expectativas del consumidor actual.
- Generación de Confianza: El Valor Estratégico de la Privacidad
Desde la perspectiva del consumidor, un estudio del año 2023 de la Asociación Internacional de Profesionales en Privacidad (IAPP, por sus siglas en inglés) revela que el 64% de los consumidores confían más en las empresas que proporcionan información clara sobre cómo manejan sus datos personales en las políticas de privacidad.
Por el contrario, el 33% pierde confianza en aquellas empresas que usan sus datos de manera no transparente. Más del 80% de los afectados por violaciones de datos dejan de hacer negocios con las empresas involucradas. Estas cifras exhiben que, aunque no existe un manejo perfecto de datos personales ni ciberseguridad impenetrable, las empresas que priorizan la protección de datos y adoptan prácticas preventivas refuerzan la confianza del cliente, consolidando relaciones y asegurando su crecimiento en mercados cada vez más competitivos y regulados. - Privacidad como Diferenciador en Mercados Competitivos
Convertir el manejo adecuado de datos personales en un diferenciador rentable es complejo y requiere inversión. Sin embargo, dicha necesidad es inevitable, dado que las empresas que ofrecen productos o servicios comúnmente lo hacen utilizando herramientas digitales, como computadoras y teléfonos inteligentes, para recolectar, procesar, almacenar o analizar información durante sus operaciones diarias. Por ejemplo, esto incluye el manejo de información (texto, audio, o video) que permita la identificación de las personas, su domicilio, nacionalidad, teléfono, dirección electrónica, datos biométricos, creencias religiosas, o salud, entre otros.
Por lo anterior, es estratégicamente importante que toda empresa diseñe un sistema eficiente para gestionar esta información. Además de prevenir riesgos, una implementación adecuada puede fortalecer la confianza del cliente y consolidar la reputación empresarial, incluso en momentos difíciles, como un incidente de ciberseguridad. En México, otro estudio de la IAPP muestra cómo el 49% de los consumidores siguen confiando en una empresa tras una violación de datos únicamente si esta demuestra un manejo transparente y responsable del incidente.
En cuanto al potencial de convertir la privacidad como diferenciador, el ejemplo de Apple es ilustrativo: la compañía no solo cumplió con las normativas legales, sino que fue más allá, convirtiendo la privacidad en un pilar estratégico con iniciativas como “App Tracking Transparency.” Ahora su marca es sinónimo de privacidad a nivel mundial y en gran parte ello les permite mantener una clientela leal y rentable en todo el mundo.
- La Importancia de Una Estrategia Particularizada y Sostenible
Cada compañía es diferente y opera con particularidades que las distinguen y las hacen únicas. Del mismo modo, el tema de privacidad de datos debe analizarse caso por caso, de manera que las soluciones se diseñen acorde con dichas particularidades. Lo ideal es desarrollar medidas acordes al concepto “Privacidad por Diseño,” el cual se centra en incorporar de forma proactiva, integral e indisoluble la protección de datos en los sistemas, aplicaciones, productos y servicios, así como en las prácticas de negocio y procesos de la empresa. Este enfoque promueve una mentalidad proactiva, no reactiva; preventiva, no correctiva, y centrada en el usuario.
Según buenas prácticas, entre las medidas básicas a incorporar por las empresas se encuentran políticas de privacidad claras, capacitación del personal y un plan de respuesta a incidentes, entre otras. Sin embargo, es necesario realizar un análisis particularizado para cada empresa, incluso si la operación es pequeña, con el fin de diseñar una gestión de datos integral dentro de las actividades. Para empresas con operaciones más grandes, la complejidad de los elementos a considerar aumenta, y otros subtemas, como los flujos transfronterizos de datos, deberían tomarse en cuenta. Por último, a medida que pasa el tiempo o crece la empresa, es esencial actualizar los procesos y sistemas existentes para mantener su debido funcionamiento.
- Conclusión
En conclusión, más allá de que la protección de datos es un tema ineludible para las empresas, es de mucho beneficio verlo como una oportunidad para distinguirse y poder catapultar sus operaciones locales a nuevas alturas e incluso competir en mercados internacionales que exigen de un manejo de datos equivalente a su jurisdicción para gestionar datos personales de sus ciudadanos. Desarrollar políticas de Privacidad por Diseño es la manera ideal para que las empresas puedan alinearse con estas exigencias. En cualquier caso, un enfoque proactivo, respaldado por asesoría integral de expertos debidamente calificados, permitirá a empresas en El Salvador convertir la protección de datos en un activo estratégico que impulse la innovación, fomente el desarrollo empresarial y fortalezca las relaciones con los clientes.
Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo.
En los últimos años, la transformación digital ha revolucionado la forma en que las entidades públicas y privadas tratan sus datos. Esta modernización también ha expuesto al país a un panorama de riesgos cibernéticos sin precedentes. Los ataques dirigidos contra sistemas gubernamentales y entidades estratégicas han evidenciado la creciente vulnerabilidad de las infraestructuras críticas ante actores maliciosos, algunos con capacidades de ciberinteligencia avanzadas; este riesgo se expande hacia las empresas y el público en general y se concreta en vulneraciones diarias. (Arreola, 2019).
Nos enfrentamos a un entorno donde las amenazas incluyen al robo de información, el bloqueo de sistemas mediante ataques DDOS, ransomware, keyloggers, troyanos y campañas más sofisticadas, como el espionaje digital, la alteración de datos estratégicos y el debilitamiento de la confianza pública a través de la diseminación de información manipulada.
Estas acciones no son únicamente obra de actores individuales, sino que reflejan la coordinación de redes internacionales con fines económicos, políticos y, en ocasiones, ideológicos. Los ataques recientes han mostrado la existencia de brechas significativas en la protección de datos y sistemas, lo que subraya la necesidad de estrategias robustas que combinen tecnología avanzada con inteligencia humana (HUMINT).
Normalmente, las barreras de seguridad más efectivas suelen estar en el ámbito de la tecnología, ya sea a través de sofisticados firewalls, sistemas de detección de intrusos, inteligencia artificial o herramientas de encriptación avanzada. Sin embargo, esta creencia a menudo pasa por alto una realidad contundente: la capa 8, es decir, el ser humano, sigue siendo el punto más vulnerable y, paradójicamente, el más explotado en el espectro de ciberseguridad. (López, 2024).
Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo. Un correo malicioso abierto, una contraseña compartida, descuidos en redes sociales o incluso una conversación aparentemente inocente, son suficientes para abrir las puertas a ataques devastadores. (Gian, 2018).
Por esta razón, el enfoque en ciberseguridad debe trascender el hardware y el software, poniendo énfasis en el fortalecimiento de la capa 8. Esto implica educar, capacitar y sensibilizar a las personas para que no solo reconozcan las amenazas, sino que también desarrollen habilidades críticas para neutralizarlas.
Implica construir una cultura de ciberseguridad donde cada persona, desde el usuario más básico hasta el ejecutivo más experimentado, comprenda su papel y responsabilidad en la defensa de la información y se conviertan en «activos de seguridad». De este modo, la seguridad deja de ser únicamente una cuestión técnica y se convierte en un esfuerzo colaborativo, con el humano como el primer eslabón en una cadena de protección verdaderamente robusta. Aquí es donde los protocolos HUMINT se convierten en un pilar clave. (Wilson, 2020).
Estos protocolos requieren un enfoque sistemático que combine habilidades humanas, procedimientos técnicos y un sólido marco ético; incluyendo un profundo conocimiento cultural y psicológico del entorno. Para comenzar, es esencial definir objetivos claros que alineen la recopilación de inteligencia humana con las necesidades específicas de ciberseguridad, como la prevención de ataques de ingeniería social, la detección de amenazas internas o el rastreo de actores maliciosos en entornos digitales. La selección y capacitación del personal es un paso crítico, ya que el equipo HUMINT debe incluir profesionales capacitados en análisis de comportamiento, negociación y ciberseguridad, además de contar con formación en técnicas avanzadas de recopilación y manejo de información confidencial.
La gestión de fuentes humanas es otro pilar fundamental, incluye identificar, evaluar y mantener relaciones con insiders, informantes o colaboradores externos que puedan proporcionar información relevante. Para recopilar datos, los protocolos HUMINT deben apoyarse en entrevistas estructuradas, observación directa, infiltración en comunidades digitales y encuestas internas diseñadas cuidadosamente para no comprometer la privacidad ni generar desconfianza. Asimismo, la integración de HUMINT con herramientas tecnológicas de ciberseguridad, como sistemas de análisis de patrones y alertas automatizadas, permite validar y enriquecer la información obtenida.
El análisis y procesamiento de la información recolectada es clave para convertirla en inteligencia accionable; contrastar datos mediante triangulación, identificar patrones sospechosos y generar reportes útiles para la toma de decisiones. Todo el proceso debe desarrollarse dentro de un marco ético y legal, respetando regulaciones como el GDPR y asegurando la confidencialidad de las fuentes. Finalmente, los protocolos deben evaluarse y mejorarse continuamente mediante auditorías y ajustes estratégicos, garantizando que la organización esté preparada para enfrentar amenazas emergentes. Al adoptar este enfoque integral, las organizaciones pueden fortalecer su capacidad para anticipar y mitigar riesgos, convirtiendo al factor humano de una debilidad potencial en un pilar clave de la ciberseguridad.
Aunque tradicionalmente estos protocolos han estado más asociados con entidades gubernamentales e inteligencia estatal, las empresas pueden y deben aplicar protocolos HUMINT adaptados a su contexto, especialmente si enfrentan riesgos significativos de ciberseguridad. La adopción por parte de empresas privadas depende de sus necesidades, recursos y del marco ético y legal bajo el cual operan y pueden concentrarse en los siguientes elementos:
Prevención de amenazas internas (Insider Threats):
Identificación de empleados descontentos o vulnerables que puedan filtrar información sensible o colaborar con actores externos. Esto incluye la implementación de canales de comunicación confidenciales y entrevistas estratégicas.
Protección contra ataques de ingeniería social:
Los atacantes a menudo usan ingeniería social para obtener acceso a sistemas empresariales. Un protocolo HUMINT puede ayudar a las empresas a comprender cómo operan estos actores y a educar a los empleados sobre los riesgos.
Investigación de ciberamenazas externas:
Empresas en sectores críticos, como tecnología, finanzas o infraestructura, pueden emplear HUMINT para infiltrarse en foros de la dark web donde se comercian datos robados o se planean ataques específicos.
Evaluación de socios y proveedores:
Evaluar riesgos asociados con terceros que manejan datos sensibles o acceden a los sistemas empresariales.
Recopilación de inteligencia competitiva ética:
Sin cruzar líneas legales o éticas, las empresas pueden utilizar HUMINT para entender tendencias de la industria y anticiparse a los movimientos de la competencia.
Así, la integración de HUMINT en estrategias de ciberseguridad representa una oportunidad para fortalecer la protección de activos digitales y humanos en un entorno cada vez más vulnerable; pero, implica retos relacionados con la confidencialidad y seguridad de las fuentes humanas, debiendo respetar los principios de transparencia, consentimiento informado y propósito legítimo en el tratamiento de datos.
Bibliografía:
Arreola García, A. (2019). Ciberseguridad: ¿Por qué es importante para todos?. Ciudad de México: Siglo XXI Editores.
Giant, N. (2018). Ciberseguridad para la i-generación: Usos y riesgos de las redes sociales y sus aplicaciones. Madrid: Narcea Ediciones.
Wilson, O. (2020). Intelligence Gathering: Front Line HUMINT Considerations (Hostile Environment Risk Management).
Artículo
¿Qué esperar de la nueva Ley de Ciberseguridad en El Salvador?
Karla Patricia Alas | Socia y Managing Partner de Estudio Kapadu Tech and Law Firm
A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.
El pasado mes de noviembre de 2024, fueron aprobadas dos iniciativas de ley, por parte de la Asamblea Legislativa, que, hasta entonces, era una tarea pendiente para El Salvador y me refiero a la Ley de Ciberseguridad y Seguridad de la información, así como la Ley de Protección de Datos Personales, ya ambas publicadas en el Diario Oficial de fecha 15 de Noviembre de este 2024 y por lo tanto ya leyes de la República pues entraron en vigencia, 8 días después de su publicación.
En este artículo me referiré a la nueva Ley de Ciberseguridad, con la que se espera alcanzar un hito fundamental, en el esfuerzo que nuestro país estará haciendo para asegurar la infraestructura crítica de la información, así como la mejora, la coordinación, prevención y respuesta ante incidentes de ciberseguridad.
Hasta antes esto, era frecuente escuchar algunas fallas y brechas de seguridad de la información que están afectando a instituciones del Estado. Cierto o no, ha habido mucha especulación sobre el tema, y con ello aumento de zozobra, incertidumbre, malestar y miedo, ya que por qué no decirlo, son sentimientos latentes ante una población desprotegida hasta entonces, por la falta de regulación, ya que la información hoy por hoy es un intangible demasiado valioso y costoso en recuperar.
A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.
Y en efecto, la ley debía definir por lo menos, los principios con los cuales estructurar, regular y coordinar las acciones de ciberseguridad y así prevenir las actividades relacionadas a la ciberdelincuencia.
¿Quiénes son en consecuencia los entes obligados a cumplir con la ley?
Son todos los órganos de gobierno, sus dependencias y las instituciones oficiales autónomas las municipales. Pero será obligada cualquier entidad u organismo, independientemente de su forma naturaleza o situación jurídica mediante las cuales se administran recursos públicos, bienes del estado o ejecuten actos de administración pública en general y que posean incidencia en la infraestructura crítica del Estado, incluyendo a todos los servidores públicos dentro o fuera del territorio de la República y las personas que elaboran en entidades ya mencionadas.
Importante esta aclaración porque pareciera que lo privado queda totalmente ajeno a esto, sin embargo, es ilógico pensar de esta forma. Y por ello no podemos decir que esta ley no impacta, pues nadie está exento de un incidente informático hoy día, y menos podemos alegar ignorancia de ley, y lo que sí es factible, es que una brecha de seguridad puede llegar por cualquier frente, ya sea desde una broma, una curiosidad, o con premeditación, alevosía y ventaja.
La ley considera como recursos públicos para este tópico, aquellos fondos procedentes de convenios o tratados internacionales con otros países u organismos que determinen requisitos en materia de ciberseguridad, y para es necesario implementar normativas, protocolos, lineamientos estándares y criterios técnicos que cuenten con el reconocimiento de la industria, ya sea por sus aportes a la estandarización del rubro en cuestión o que cuenten con experiencia probada a nivel internacional, siempre que esté demostrada la funcionalidad eficiencia y beneficio de dicho requerimientos o estándares en materia de ciberseguridad y seguridad de la información.
De ahí que es determinante contar con socios estratégicos, o implementar buenas prácticas que dentro de la industria de la seguridad de la información se han ejecutado y tener alianzas con terceros expertos, siendo ello clave para la consecución de este fin.
Si notamos el alcance es gigante, y otros países como por ejemplo Chile, al momento de definir sus políticas y marcos regulatorios se definieron servicios esenciales y operadores de importancia vital públicos y privados, así como se han analizado y considerado otros posibles afectados, para que el riesgo de incumplimiento sea lo menos posible.
¿Quién será la Agencia de Ciberseguridad del Estado?
Surge la necesidad de crear al ente regulador, a ser ejercido por la Agencia de Ciberseguridad del Estado, quien tendrá la obligación de garantizar la seguridad informática de los ciudadanos.
La Agencia de Ciberseguridad del Estado (en adelante ACE), será una dependencia del Estado con diferentes y variadas funciones entre ellas:
- Elaborar la política de ciberseguridad y seguridad de la información de la Nación que contiene los lineamientos y planes de acción.
- Emitir normas protocolos lineamientos estándares y criterios técnicos tanto generales como específicos basados en buenas prácticas y marcos de referencia internacional en materia de ciberseguridad
- Implementar programas de acción para responder ante amenazas o incidentes de seguridad que involucran a los sujetos obligados.
- Requerir a las entidades obligadas donde estas se hayan visto afectadas en sus sistemas informáticos equipos o infraestructuras por un incidente de ciberseguridad y ejecutará las acciones que sean necesarias para el cumplimiento de sus fines.
Surge a partir de este momento la atribución de crear un registro Nacional de amenazas e incidentes, así como calificar mediante resolución fundamentada a los operadores de infraestructuras críticas y someterlo a ratificación del Presidente de la República.
La ACE podrá retirar la calificación de los operadores de infraestructuras críticas si no cumplen con sus funciones y someterlo a ratificación del Presidente, así como podrá requerir a las entidades obligadas, que entreguen a los potenciales afectados o autoridades de investigación, información veraz sobre lo ocurrido y diseñar o implementar planes y campañas de formación ciudadana para fortalecer los pilares de la ciberseguridad.
Todo lo anterior en concordancia con la Política de Ciberseguridad y Seguridad de Información de la Nación, por ello deberá elaborar normativas, protocolos lineamientos estándares y criterios técnicos tanto generales como específicos en materia de ciberseguridad a más tardar 90 días contados a partir de la vigencia de la ley.
Además, la ACE, creará e implementará los programas de acción necesarios para responder ante las amenazas o incidentes de ciberseguridad y seguridad de la información que involucren a los sujetos obligados por la presente ley. De la misma manera, la entidad creará y administrará un Registro Nacional de Amenazas e Incidentes de Ciberseguridad.
La ACE puede tomar medidas adicionales y ordenar al infractor que adopte aquellas que fueran necesarias para restablecer la legalidad e incluso puede imponer multas coercitivas.
La ACE tendrá un Director General y un Director de Ciberseguridad y Seguridad de la Información y las dependencias o unidades administrativas que establezca su reglamento interno y éste último al ser nombrado, asistirá al Director General en el ejercicio de sus atribuciones y facultades, en cumplimiento de la ley.
El patrimonio de la ACE será constituido por recursos que el Estado le dé, las asignaciones que anualmente se establezcan en presupuestos especiales, recursos que reciba en virtud de programas de asistencia de gobiernos u organismos nacionales e internacionales, bienes muebles e inmuebles que adquiera a cualquier título y estará sujeto a la fiscalización de la Corte de Cuentas de la República.
La ley no es muy grande, pero define inicialmente, los principios rectores, infracciones y sanciones en caso de incumplimiento, el procedimiento sancionador que se estará promoviendo en estos casos. Vale decir que las sanciones e infracciones definidas en la ley, prescribirán a los 5 años.
Contar con una ley no es suficiente y son necesarias muchas iniciativas, pero aplaudo el hecho de que tengamos por fin un primer esfuerzo y de ahí que, los actores inmersos estos temas, debemos apoyar, ya que sumándolos todos, hacemos ciberseguridad.
-
Politicahace 6 días
Asamblea extiende por 34ª vez el régimen de excepción, la primera del 2025
-
Artículohace 5 días
Protocolos HUMINT para la ciberseguridad
-
Legalhace 4 días
Corte Suprema y Superintendencia de Regulación Sanitaria firman convenio para fortalecer formación de servidores judiciales
-
Politicahace 6 días
El Salvador y Costa Rica ratifican acuerdo de seguridad aérea para combatir amenazas en aeronaves
-
Economíahace 6 días
Precios de combustibles aumentan desde este martes
-
Artículohace 4 días
Privacidad de datos: Una estrategia para impulsar el éxito empresarial
-
Noticiashace 5 días
Gobierno ajusta margen de velocidad antes de aplicar fotomultas en el bulevar Monseñor Romero
-
Noticiashace 6 días
Las fotomultas comenzarán a imponerse desde el 9 de enero