Hace poco ocurrió un incidente de seguridad que involucra a una de las empresas más notorias del conglomerado de Intercorp.

El ciber incidente acontecido en Interbank el pasado 30 de octubre, ha puesto en tela de juicio la gestión de la seguridad de datos en el sector financiero y bancario. Este ataque evidenció posibles brechas en los sistemas de protección, lo que ha generado una gran preocupación sobre la capacidad de las instituciones financieras para salvaguardar la información sensible de sus clientes.

En esa línea, la filtración de datos sensibles no solo reveló las vulnerabilidades técnicas a las cuales se atiene el sector financiero, sino que también este hecho ha impactado directamente en la confianza de los consumidores. De lo expuesto, se han visto amenazados derechos fundamentales íntimamente ligados a la privacidad y la protección de datos personales.

Marco Legal en Protección de Datos Personales

En el Perú la protección de datos se encuentra regulada en la presente Ley N° 29733, Ley de Protección de Datos Personales, y su reglamento. Esta norma pretende garantizar el derecho de las personas a la protección de su privacidad y a que sus datos personales sean tratados de manera adecuada.

En lo referente al sector financiero, si bien la norma no cuenta con artículos que taxativamente refieran a este sector, la interpretación de los mismos, protegen el uso y el tratamiento de los datos sensibles y personales en una diversa gama de escenarios.

El artículo 9 de la nombrada ley, el cual versa sobre el principio de seguridad, expone que las entidades que se encuentren encargadas del tratamiento de los datos deben garantizar y adoptar las medidas que sean necesarias para resguardar la seguridad de la información. En contraste el Reglamento de la Ley (Decreto Supremo N° 003-2013-JUS) exige que los bancos implementen medidas técnicas y organizativas para proteger los datos. En adición la norma hace énfasis en sus artículos referente a infracciones, que los datos que son tratados incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia, son plausibles de contar con sanción administrativa.

En referencia a este tipo de incidentes, las empresas, además de cumplir con la normativa deben adoptar diversas acciones como fomentar una cultura organizacional centrada en la seguridad de la información y/ o en la privacidad de data. En ese sentido, la Autoridad Nacional de Protección de datos personales señala la importancia de reforzar las medidas preventivas y reactivas frente a posibles brechas de seguridad, en los ataques cibernéticos; en pro de no afectar la confianza del cliente ni la estabilidad del sistema financiero en su conjunto.

Implicancias en la Protección al Consumidor

El Código de Protección y Defensa del Consumidor (Ley N° 29571), es el cuerpo normativo que tiene como finalidad proteger los derechos de los consumidores, garantizar su salud y seguridad, y promover un desarrollo económico y social justo. El referido Código tutela los intereses de los consumidores para que los mismos tomen decisiones informadas.

En el ámbito de los servicios financieros, los consumidores tienen el derecho fundamental a recibir productos y servicios que no comprometan su seguridad ni sus intereses económicos. Este derecho se vincula directamente con la información proporcionada por las empresas financieras, ya que de esta dependerá que los usuarios puedan tomar decisiones informadas al elegir entre distintas opciones en el mercado.

El derecho a la información, consagrado en el Artículo 2 del Código de Protección y Defensa del Consumidor (Ley N° 29571), establece que los consumidores deben contar con datos claros, completos y oportunos sobre los servicios que adquieren. Este principio busca minimizar la asimetría informativa, promoviendo una relación más equitativa entre proveedores y usuarios. Tras sufrir un ciber incidente, una empresa no solo debe informar la ocurrencia del incidente, sino también de comunicar las medidas adoptadas para mitigar su impacto y prevenir futuras vulneraciones.

Una insuficiencia en los protocolos de ciberseguridad podría ser interpretada como una transgresión a este principio, ya que los consumidores habrían recibido un servicio que no garantizó la adecuada protección de sus datos personales. Ante esta situación, instituciones como Indecopi deben evaluar el alcance del daño y garantizar la implementación de acciones correctivas que protejan los derechos de los usuarios y restauren la confianza en el sistema financiero.

Conclusiones

Este incidente no solo expone las vulnerabilidades en los sistemas de ciberseguridad, sino que también plantea cuestionamientos sobre la transparencia y el cumplimiento de los deberes informativos por parte de las entidades financieras. La adecuada protección de la privacidad de los usuarios, así como la información oportuna sobre riesgos y medidas adoptadas, son pilares fundamentales para preservar la confianza en el sistema financiero.

El caso debe servir como un punto de inflexión para el sector financiero, subrayando la importancia en cómo se gestiona la ciberseguridad y en cómo las entidades también deben observar el estricto cumplimiento de las normativas, las cuales no solo buscan proteger la privacidad, sino también desean asegurar la integridad de los servicios ofrecidos y preservar la confianza en los usuarios del sistema financiero.