Pontificia Universidad Catolica del Peru

From the SelectedWorks of Jose Antonio Del Risco

December 12, 2019

Ciberseguridad y datos personales. El caso del

BCP
José Antonio Del Risco

This work is licensed under a Creative Commons CC_BY International License.

Available at: https://works.bepress.com/joseantonio-delrisco/9/

Inicio  Actualidad

Ciberseguridad y datos personales: el caso del

BCP
El autor explica el fundamento del marco legal de la protección de datos personales en
el Perú y el rol de la Autoridad Nacional de Protección de Datos Personales; y,
asimismo, comenta la infracción en la que el BCP habría incurrido.
Por José Antonio Del Risco - 12 diciembre, 2019

Por José Antonio del Risco, alumno de la Facultad de Derecho de la PUCP y miembro del Consejo Editorial de
Enfoque Derecho

El pasado martes 3 de diciembre, la Gerencia de Comunicación Corporativa del Banco de

Crédito del Perú emitió un comunicado público en el cual se reconoció que el 2018
sufrieron de un ataque informático que permitió a terceros acceder a datos de
identificación personal, así como números de tarjetas, cuentas y saldos. Además, pese a
señalar que ninguna clave de las tarjetas fue sustraída, el BCP aclaró que se harían
responsables por si algún cliente hubiese sufrido algún fraude a raíz del incidente.

Esta aclaración realizada por el banco respondió a determinada información que circulaba
por la red, según la cual, debido a un ciberataque a múltiples entidades bancarias realizado
en el 2018, «las cuentas del BCP habían sido hackeadas, y que con solo una consulta de
DNI podían obtener información sensible de 11 millones de clientes”.

Una vez conocida esta información, el Ministerio de Justicia y Derechos Humanos, a

través de la Autoridad Nacional de Protección de Datos Personales, dispuso una
fiscalización para el esclarecimiento de los hechos. Esta tuvo como consecuencia el
inicio de un procedimiento administrativo sancionador debido a la presunta violación
del sistema de seguridad del banco.
En el Perú, la principal norma que regula esta materia fue publicada hace aproximadamente
8 años. Se trata de la Ley 29733, Ley de Protección de Datos Personales, cuyo
principal objeto es “garantizar el derecho fundamental a la protección de los datos
personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través
de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales
que en ella se reconocen” (artículo 1). Debemos tener en cuenta que con el término datos
personales nos referimos a “toda información sobre una persona natural que la identifica o
la hace identificable a través de medios que pueden ser razonablemente utilizados”
(artículo 2.4).

La mencionada ley se reglamentó dos años después de su promulgación, mediante el

Decreto Supremo 003-2013-JUS.

Ahora bien, más allá de lo señalado en la normativa, considero que el motivo por el cual
muchos países han regulado el tratamiento de datos personales responde a un concepto
previo, llamado ciberseguridad. En palabras simples, debido a que no existe una
definición fija, la ciberseguridad se refiere a la protección de la información o sistemas de
información, mediante la prevención, detección y respuesta a uno o varios ciberataques.
Ello implica la utilización no solo de políticas públicas y educación por parte del Estado, sino
también la implementación de tecnología en el sector privado.

Hace aproximadamente un año, tuve el placer de comunicarme con Verónica Arroyo,

miembro de Access Now, organización internacional dedicada al activismo por la defensa
del internet libre y abierto. Ella concedió a Enfoque Derecho una entrevista, en la cual
además de hablar sobre el ataque masivo a los bancos (en ese entonces, era el tema de
actualidad), comentó sobre la importancia de contar con estrategias de ciberseguridad en el
Perú. Además, entre todas sus declaraciones, mencionó que usualmente, aunque no de
forma excluyente, la ciberseguridad está muy relacionada a las ciberguerras y
delitos informáticos…y razones no le faltaron para señalarlo.

Es evidente que hoy en día, los delitos informáticos, entendidos como acciones ilegales que
tienen el objetivo de destruir y dañar ordenadores, medios electrónicos y redes de internet,
son una de las mayores amenazas globales. Según un estudio del 2019 realizado por
Accenture, el número de incidentes de ciberseguridad aumentó en 11% entre el
2017 y 2018, lo que representó un incremento del 67% con respecto a hace 5 años.

Francisco Uriela señala que, entre las técnicas más habituales que utilizan los ciberataques,
están los virus informáticos; el envío masivo de correos no deseados; el uso de Troyanos
para el control de sistemas o sustracción de información; intrusiones no autorizadas;
ataques por robo de información, entre otros.
Por otro lado, entre los tres sectores que pueden ser considerados como víctimas de un
ciberataque (Estado, sector privado y ciudadanos), las empresas pertenecientes al sector
financiero son las que tienen una mayor exposición al riesgo cibernético. Ello debido a que
la materialización de cualquier riesgo puede traer un efecto dominó a distintos sectores y
agentes económicos. Volviendo a los datos de Accenture, dichos riesgos no solo tienen que
ver con la interrupción del negocio, pérdida de ingresos y daño a los equipos (software),
sino también con la pérdida y exposición de información de los usuarios. Es decir, datos
personales.

En ese contexto, es más que necesario que los Estados adopten mecanismos legales
y creen instituciones para poder lograr un enforcement. En el caso peruano, la Ley
de Protección de Datos Personales ha creado la Autoridad Nacional de Protección de
Datos personales, ente administrativo que tiene la facultad de “realizar todas las acciones
necesarias para el cumplimiento del objeto y demás disposiciones de la Ley 29733 y de su
reglamento”. Además, goza tanto de potestad sancionadora como potestad coactiva.

Por ello, el inicio del procedimiento administrativo sancionador al Banco de Crédito del Perú,
tal y como lo señala el artículo 37 de la Ley, no es sino el ejercicio de una potestad de la
Autoridad Nacional de Protección de Datos Personales ante la presunta comisión de
infracciones.

Según el artículo 38 de la Ley, las infracciones son toda acción u omisión que contravenga
o incumpla alguna de las disposiciones contenidas en la Ley o en su reglamento. De lo
señalado en la nota de prensa en la que se comunica el inicio del procedimiento
sancionador, se puede concluir que el BCP habría incumplió el principio de seguridad:

Artículo 9. Principio de seguridad

El titular del banco de datos personales y el encargado de su tratamiento (en

ambos casos, el BCP) deben adoptar las medidas técnicas, organizativas y
legales necesarias para garantizar la seguridad de los datos personales. Las
medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se
vaya a efectuar y con la categoría de datos personales de que se trate.

Para finalizar, quisiera dejar dos cuestiones sobre la mesa. La primera es si la presunta
violación al sistema de seguridad del banco, que permitió el acceso de terceros no
autorizados de los datos personales de sus clientes, puede llegar a ser lo suficientemente
grave como para terminar en una sanción. Cabe señalar que, de ser esta muy grave, podría
llegar hasta las 100 UIT. La segunda es si a raíz de este procedimiento, existirá un
pronunciamiento de la Superintendencia de Banca, Seguros y AFP (SBS), ya que es la
encargada de regular el comportamiento de las empresas del sector bancario.

De todas maneras, estaremos atentos a la infracción y el monto de la multa imponible que

la Autoridad Nacional de Protección de Datos Personales pudiese (o no) llegar a determinar.

Imagen: Andina

José Antonio Del Risco

http://www.enfoquederecho.com/