Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Por José Antonio del Risco, alumno de la Facultad de Derecho de la PUCP y miembro del Consejo Editorial de
Enfoque Derecho
Esta aclaración realizada por el banco respondió a determinada información que circulaba
por la red, según la cual, debido a un ciberataque a múltiples entidades bancarias realizado
en el 2018, «las cuentas del BCP habían sido hackeadas, y que con solo una consulta de
DNI podían obtener información sensible de 11 millones de clientes”.
Ahora bien, más allá de lo señalado en la normativa, considero que el motivo por el cual
muchos países han regulado el tratamiento de datos personales responde a un concepto
previo, llamado ciberseguridad. En palabras simples, debido a que no existe una
definición fija, la ciberseguridad se refiere a la protección de la información o sistemas de
información, mediante la prevención, detección y respuesta a uno o varios ciberataques.
Ello implica la utilización no solo de políticas públicas y educación por parte del Estado, sino
también la implementación de tecnología en el sector privado.
Es evidente que hoy en día, los delitos informáticos, entendidos como acciones ilegales que
tienen el objetivo de destruir y dañar ordenadores, medios electrónicos y redes de internet,
son una de las mayores amenazas globales. Según un estudio del 2019 realizado por
Accenture, el número de incidentes de ciberseguridad aumentó en 11% entre el
2017 y 2018, lo que representó un incremento del 67% con respecto a hace 5 años.
Francisco Uriela señala que, entre las técnicas más habituales que utilizan los ciberataques,
están los virus informáticos; el envío masivo de correos no deseados; el uso de Troyanos
para el control de sistemas o sustracción de información; intrusiones no autorizadas;
ataques por robo de información, entre otros.
Por otro lado, entre los tres sectores que pueden ser considerados como víctimas de un
ciberataque (Estado, sector privado y ciudadanos), las empresas pertenecientes al sector
financiero son las que tienen una mayor exposición al riesgo cibernético. Ello debido a que
la materialización de cualquier riesgo puede traer un efecto dominó a distintos sectores y
agentes económicos. Volviendo a los datos de Accenture, dichos riesgos no solo tienen que
ver con la interrupción del negocio, pérdida de ingresos y daño a los equipos (software),
sino también con la pérdida y exposición de información de los usuarios. Es decir, datos
personales.
En ese contexto, es más que necesario que los Estados adopten mecanismos legales
y creen instituciones para poder lograr un enforcement. En el caso peruano, la Ley
de Protección de Datos Personales ha creado la Autoridad Nacional de Protección de
Datos personales, ente administrativo que tiene la facultad de “realizar todas las acciones
necesarias para el cumplimiento del objeto y demás disposiciones de la Ley 29733 y de su
reglamento”. Además, goza tanto de potestad sancionadora como potestad coactiva.
Por ello, el inicio del procedimiento administrativo sancionador al Banco de Crédito del Perú,
tal y como lo señala el artículo 37 de la Ley, no es sino el ejercicio de una potestad de la
Autoridad Nacional de Protección de Datos Personales ante la presunta comisión de
infracciones.
Según el artículo 38 de la Ley, las infracciones son toda acción u omisión que contravenga
o incumpla alguna de las disposiciones contenidas en la Ley o en su reglamento. De lo
señalado en la nota de prensa en la que se comunica el inicio del procedimiento
sancionador, se puede concluir que el BCP habría incumplió el principio de seguridad:
Para finalizar, quisiera dejar dos cuestiones sobre la mesa. La primera es si la presunta
violación al sistema de seguridad del banco, que permitió el acceso de terceros no
autorizados de los datos personales de sus clientes, puede llegar a ser lo suficientemente
grave como para terminar en una sanción. Cabe señalar que, de ser esta muy grave, podría
llegar hasta las 100 UIT. La segunda es si a raíz de este procedimiento, existirá un
pronunciamiento de la Superintendencia de Banca, Seguros y AFP (SBS), ya que es la
encargada de regular el comportamiento de las empresas del sector bancario.
Imagen: Andina