Lunes 31 de marzo del 2025

*Con colaboración de Valeria Rosell, abogada de Deloitte Legal

En la era digital actual, los ciberataques son una realidad constante. El ciberataque y, específicamente, el ransomware (al que se hace referencia en el presente articulo), en términos sencillos, implica el robo o secuestro de cierta información digital valiosa, seguido de un chantaje o extorsión por parte del delincuente, quien exige un rescate a cambio de liberar información comprometida.

Estos ataques, representan una amenaza constante para empresas de todos los tamaños y sectores, ya que ponen en riesgo la continuidad del negocio.

Según Welivesecurity, Perú se encuentra en el top 20 de países más afectados por ciberataques en el mundo, al ocupar el primer lugar en America Latina (seguido de México, Ecuador, Brasil y Argentina). Con más de 100.000 ataques al día, las cifras son alarmantes y la necesidad de tomar consciencia acerca de la implementación de medidas de protección es más que una obligación.

Responsabilidades civiles y administrativas

En lo que respecta al tema civil, dependiendo de la tipología de datos robados y el uso que terceros no autorizados puedan hacer sobre los mismos, existe la posibilidad de que el afectado (el titular de los datos robados) interponga una demanda por la vía civil, en la medida en que hayan sido vulnerados sus derechos fundamentales tales como la intimidad, la imagen o el honor, al igual que solicitar una reclamación por indemnización por daños y perjuicios. En ese caso, usted deberá pagar a cada uno de los afectados reclamantes la suma que los jueces determinen resarcirá el daño causado.

Respecto al tema administrativo, su empresa, al tratar los datos personales de sus clientes, está sometida a la Ley de Protección de Datos Personales (Ley Nro. 29733). Dicha norma establece obligaciones para todas las personas que traten datos personales de otros. Así, sí usted no cumplió con lo establecido por la normativa aplicable, podría tener una multa de hasta S/535,000; sin perjuicio de medidas correctivas adicionales y demás.

De igual forma, de acuerdo con el Código de Protección y Defensa del Consumidor (Ley Nro. 29571), el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI – podría ponerle una multa de hasta S/2,407,500; sin perjuicio de medidas correctivas adicionales y demás.

Importancia de una cultura de prevención

Afortunadamente, se está avanzando en el tema preventivo. En efecto, los modelos de seguridad desempeñan un papel fundamental en la mitigación de responsabilidades derivadas de ciberataques, al proporcionar marcos estructurados para la protección y el manejo de información sensible. En línea con ello, las normas en la materia se han actualizado y el 30 de marzo de 2025 entrará en vigencia el nuevo Reglamento de la Ley de Protección de Datos Personales (Decreto Supremo Nro. 016-2024-JUS), el cual introduce medidas de seguridad diseñadas para fortalecer la defensa contra este tipo de amenazas y promover una cultura de precaución.

Entre ellas se incluye la seguridad para el tratamiento de datos a través de medios digitales, la cual brinda una serie de pautas respecto al control de acceso y gestión de los mismos. Además, con el fin de proteger datos contra ataques maliciosos, accidentes o incluso desastres naturales, se establecen controles para mantener las áreas seguras, al igual que mantener los equipos dentro y fuera de las instalaciones. Por otro lado, se especifican pautas para el almacenamiento de documentación automatizada y no automatizada y se disponen los medios idóneos para realizar una adecuada transferencia de datos personales de manera segura, entre otras disposiciones.

Asimismo, se establece como mecanismo de responsabilidad proactiva la implementación de códigos de conducta, los cuales determinan los procedimientos adoptados para el tratamiento de datos e identifican posibles vulnerabilidades para disponer de planes de respuesta ante amenazas y valorar el nivel de protección de una empresa.

También, se configura como atenuante de responsabilidad la implementación de un informe de evaluación de impacto del tratamiento de datos personales, el cual consiste en que, usted, en su calidad de titular del banco o responsable del tratamiento, realice de forma previa un análisis o evaluación del impacto o riesgos que implica el tratamiento de datos personales.

De igual forma, se refuerza la capacitación y concientización de los colaboradores de una empresa, pues constituye un componente esencial de modelo ciberseguridad. Esto fortalece la capacidad de identificar y responder ante peligros, reduciendo así los riesgos de incidentes.

Con el nuevo Reglamento, usted deberá además designar un Oficial de Datos Personales (una persona encargada específicamente de este tema) y estará obligado a reportar cualquier incidente de seguridad, no solo a la autoridad administrativa, sino también al titular de los datos personales afectados.

Finalmente, la ciberseguridad no es solo un reto tecnológico, sino un deber que merece urgencia y una obligación legal. La creciente ola de ataques en Perú y el mundo demuestra que las organizaciones que no adopten medidas proactivas (inclusive por encima de las establecidas por las leyes aplicables) estarán expuestas a consecuencias graves, pudiendo llegar, inclusive, a la quiebra del negocio. Afortunadamente, la implementación de las nuevas obligaciones en materia de protección de datos personales representa un avance significativo en la lucha contra los ciberataques y la mitigación de responsabilidades asociadas. Al mismo tiempo, impulsa la salida más efectiva para este problema: la prevención.