Por José Antonio del Risco, alumno de la Facultad de Derecho de la PUCP y miembro del Consejo Editorial de Enfoque Derecho

El pasado martes 3 de diciembre, la Gerencia de Comunicación Corporativa del Banco de Crédito del Perú emitió un comunicado público en el cual se reconoció que el 2018 sufrieron de un ataque informático que permitió a terceros acceder a datos de identificación personal, así como números de tarjetas, cuentas y saldos. Además, pese a señalar que ninguna clave de las tarjetas fue sustraída, el BCP aclaró que se harían responsables por si algún cliente hubiese sufrido algún fraude a raíz del incidente.

Esta aclaración realizada por el banco respondió a determinada información que circulaba por la red, según la cual, debido a un ciberataque a múltiples entidades bancarias realizado en el 2018, «las cuentas del BCP habían sido hackeadas, y que con solo una consulta de DNI podían obtener información sensible de 11 millones de clientes”.

Una vez conocida esta información, el Ministerio de Justicia y Derechos Humanos, a través de la Autoridad Nacional de Protección de Datos Personales, dispuso una fiscalización para el esclarecimiento de los hechos. Esta tuvo como consecuencia el inicio de un procedimiento administrativo sancionador debido a la presunta violación del sistema de seguridad del banco.

En el Perú, la principal norma que regula esta materia fue publicada hace aproximadamente 8 años. Se trata de la Ley 29733, Ley de Protección de Datos Personales, cuyo principal objeto es “garantizar el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen” (artículo 1). Debemos tener en cuenta que con el término datos personales nos referimos a “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados” (artículo 2.4).

La mencionada ley se reglamentó dos años después de su promulgación, mediante el Decreto Supremo 003-2013-JUS.

Ahora bien, más allá de lo señalado en la normativa, considero que el motivo por el cual muchos países han regulado el tratamiento de datos personales responde a un concepto previo, llamado ciberseguridad. En palabras simples, debido a que no existe una definición fija, la ciberseguridad se refiere a la protección de la información o sistemas de información, mediante la prevención, detección y respuesta a uno o varios ciberataques. Ello implica la utilización no solo de políticas públicas y educación por parte del Estado, sino también la implementación de tecnología en el sector privado.

Hace aproximadamente un año, tuve el placer de comunicarme con Verónica Arroyo, miembro de Access Now, organización internacional dedicada al activismo por la defensa del internet libre y abierto. Ella concedió a Enfoque Derecho una entrevista, en la cual además de hablar sobre el ataque masivo a los bancos (en ese entonces, era el tema de actualidad), comentó sobre la importancia de contar con estrategias de ciberseguridad en el Perú. Además, entre todas sus declaraciones, mencionó que usualmente, aunque no de forma excluyente, la ciberseguridad está muy relacionada a las ciberguerras y delitos informáticos…y razones no le faltaron para señalarlo.

Es evidente que hoy en día, los delitos informáticos, entendidos como acciones ilegales que tienen el objetivo de destruir y dañar ordenadores, medios electrónicos y redes de internet, son una de las mayores amenazas globales. Según un estudio del 2019 realizado por Accenture, el número de incidentes de ciberseguridad aumentó en 11% entre el 2017 y 2018, lo que representó un incremento del 67% con respecto a hace 5 años.

Francisco Uriela señala que, entre las técnicas más habituales que utilizan los ciberataques, están los virus informáticos; el envío masivo de correos no deseados; el uso de Troyanos para el control de sistemas o sustracción de información; intrusiones no autorizadas; ataques por robo de información, entre otros.

Por otro lado, entre los tres sectores que pueden ser considerados como víctimas de un ciberataque (Estado, sector privado y ciudadanos), las empresas pertenecientes al sector financiero son las que tienen una mayor exposición al riesgo cibernético. Ello debido a que la materialización de cualquier riesgo puede traer un efecto dominó a distintos sectores y agentes económicos. Volviendo a los datos de Accenture, dichos riesgos no solo tienen que ver con la interrupción del negocio, pérdida de ingresos y daño a los equipos (software), sino también con la pérdida y exposición de información de los usuarios. Es decir, datos personales.

En ese contexto, es más que necesario que los Estados adopten mecanismos legales y creen instituciones para poder lograr un enforcement. En el caso peruano, la Ley de Protección de Datos Personales ha creado la Autoridad Nacional de Protección de Datos personales, ente administrativo que tiene la facultad de “realizar todas las acciones necesarias para el cumplimiento del objeto y demás disposiciones de la Ley 29733 y de su reglamento”. Además, goza tanto de potestad sancionadora como potestad coactiva.

Por ello, el inicio del procedimiento administrativo sancionador al Banco de Crédito del Perú, tal y como lo señala el artículo 37 de la Ley, no es sino el ejercicio de una potestad de la Autoridad Nacional de Protección de Datos Personales ante la presunta comisión de infracciones.

Según el artículo 38 de la Ley, las infracciones son toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en la Ley o en su reglamento. De lo señalado en la nota de prensa en la que se comunica el inicio del procedimiento sancionador, se puede concluir que el BCP habría incumplió el principio de seguridad:

Artículo 9. Principio de seguridad

El titular del banco de datos personales y el encargado de su tratamiento (en ambos casos, el BCP) deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.

Para finalizar, quisiera dejar dos cuestiones sobre la mesa. La primera es si la presunta violación al sistema de seguridad del banco, que permitió el acceso de terceros no autorizados de los datos personales de sus clientes, puede llegar a ser lo suficientemente grave como para terminar en una sanción. Cabe señalar que, de ser esta muy grave, podría llegar hasta las 100 UIT. La segunda es si a raíz de este procedimiento, existirá un pronunciamiento de la Superintendencia de Banca, Seguros y AFP (SBS), ya que es la encargada de regular el comportamiento de las empresas del sector bancario.

De todas maneras, estaremos atentos a la infracción y el monto de la multa imponible que la Autoridad Nacional de Protección de Datos Personales pudiese (o no) llegar a determinar.

Imagen: Andina