fbpx
Data Innovation
Claves para la ciberseguridad y protección de datos-IT Patagonia

Aspectos legales vinculados a la ciberseguridad y la protección de datos

En un mundo cada vez más digitalizado, dominado por el manejo de volúmenes masivos de información, la ciberseguridad y la protección de datos son esenciales.

Prevenir y contar con las estrategias y capacidades necesarias para reaccionar con rapidez y eficiencia frente ataques cibernéticos, salvaguarda la privacidad y confianza de los usuarios, al custodiar sus datos. 

También, protege a las empresas de pérdidas financieras, daños en su reputación y riesgos en su continuidad operativa. 

En un contexto donde las amenazas son cada vez más sofisticadas y constantes, invertir en estrategias de ciberseguridad robustas no es solo una necesidad técnica, sino un compromiso ético y estratégico para garantizar un entorno digital seguro y confiable.

El objetivo reside en garantizar la integridad, confidencialidad y disponibilidad de la información en un entorno digital cada vez más interconectado. Para lograrlo, es esencial cumplir con las regulaciones de protección de datos vigentes, tanto a nivel nacional como internacional.

Durante el desarrollo de este artículo analizamos junto a Daniel Monastersky, especialista en ciberseguridad y partner de IT Patagonia las principales leyes y regulaciones internacionales sobre ciberseguridad y protección de datos. 

En especial, abordamos las obligaciones legales que tienen las empresas frente a un ataque informático y cómo se debe gestionar el consentimiento de los usuarios para el tratamiento de sus datos personales.

De igual modo, indagamos en cómo garantizar la protección de datos y la ciberseguridad por parte de proveedores de servicios en la nube, y de qué manera protegerse legalmente frente a posibles vulnerabilidades en infraestructuras IT externas.

También consideramos los desafíos legales vinculados a empresas con actividad internacional y los riesgos al usar tecnologías como IA en la gestión de datos personales.

Además, evaluamos el papel que juegan los acuerdos de nivel de servicio en la gestión de responsabilidades de ciberseguridad, y el impacto de tecnologías como blockchain o IoT.

Finalmente, nos preguntamos si las legislaciones actuales son suficientes para enfrentar las amenazas cibernéticas actuales.

Indicadores actuales vinculados a la ciberseguridad 

América Latina viene ganando importancia en el panorama de las amenazas cibernéticas. 

En 2023 se posicionó como la cuarta región más atacada a nivel mundial, con Brasil ocupando el primer puesto regional con un 68% de los ciberataques, escoltado por Colombia (17%) y Chile (8%). 

La información surge del reporte IBM X-Force Threat Intelligence Index 2024, en donde se destaca que los ciberataques de mayor repercusión para las organizaciones fueron el robo de datos y la fuga de datos, con el 32% de los incidentes.

Por su parte, la investigación, EY Global Cybersecurity Leadership Insights Study, que reúne las perspectivas de más de 500 líderes en seguridad informática, reveló los siguientes indicadores:

  • 62% de las empresas latinoamericanas han sufrido alguna filtración de datos durante el último año.
  • 52% de las compañías latinoamericanas han experimentado entre uno y nueve casos de  filtraciones.
  • 50% de las empresas de Latinoamérica reportaron una inversión total en ciberseguridad de entre 10 y 49 millones de dólares.

En Argentina el 63% de las empresas implementan herramientas de ciberseguridad, lo cual implica un incremento del 9% respecto del 2022. 

El dato surge del Índice de Intensidad Digital (IID) elaborado por el Observatorio de Productividad y Competitividad (OPyC) de la Universidad CAECE, la casa de altos estudios de la Cámara Argentina de Comercio y Servicios (CAC). 

Para tomar dimensión del impacto que tiene en el mercado contar con estrategias de ciberseguridad, datos compartidos por el analista y consultor, Víctor Ruiz, en Infobae, señalan que 80,1% de las personas dejaría de adquirir productos o servicios de una marca tras un incidente de seguridad

Gobernanza y protección de datos

El whitepaper Cybersecurity Futures 2030: New Foundations considera que la ciberseguridad pasará de tener que ver con la protección de la confidencialidad y la disponibilidad de la información, a proteger su integridad y procedencia.

De cara a este reto, la gobernanza de datos o data governance es un conjunto de procesos, políticas, estándares y métricas enfocados en garantizar la calidad, disponibilidad, integridad y seguridad de los datos en una organización

El objetivo principal de esta disciplina es garantizar que los datos sean gestionados de manera efectiva y responsable

Pero también busca mejorar la calidad y fidelidad, cumplir con las regulaciones existentes, minimizar los riesgos y maximizar el valor empresarial.

Para profundizar en esta temática, te recomendamos leer estos artículos de nuestro blog:

Ciberseguridad y protección de datos: principales leyes y regulaciones internacionales

A nivel internacional, el Reglamento General de Protección de Datos de la Unión Europea (GDPR) marcó un antes y un después, a establecer estándares que muchos países están tomando como referencia. 

En Estados Unidos, la Ley de Privacidad del Consumidor de California (CCPA) fue revolucionaria al momento de sancionarse, y se constituyó en la primera ley integral de privacidad en ese país.

Mientras que en América Latina, la Ley General de Protección de Datos Personales de Brasil (LGPD) hoy es el estándar regional. 

Argentina cuenta con dos pilares normativos fundamentales, cuyo cumplimiento es controlado por la Agencia de Acceso a la Información Pública (AAIP). 

La Ley 26.388 sobre delitos informáticos aporta desde 2008 el marco para perseguir el cibercrimen, mientras que la Ley 25.326 de protección de datos personales se encuentra vigente desde el año 2000. 

La clave pasa por entender que el cumplimiento de estas normas no es una meta, sino un viaje continuo. 

En este proceso, el primer paso es designar un Oficial de protección de datos o DPO, quien será el guardián de la privacidad en la organización.

Sin embargo, no alcanza con tener un responsable dentro de la empresa. También es necesario implementar un sistema de gestión de seguridad de la información que incluya:

  • Auditorías regulares.
  • Evaluaciones de impacto.
  • Documentación actualizada de todos los procesos (un aspecto que muchas compañías descuidan).

Además, es crucial desarrollar programas de capacitación y educación continua del personal. 

“He visto empresas con la mejor tecnología fallar por no formar adecuadamente sus recursos”, asegura Daniel.

Ciberseguridad: impactos a considerar a nivel legal - Descargar infografía

Desafíos legales vinculados a empresas con actividad internacional

Operar en países con diferentes regulaciones de ciberseguridad es uno de los mayores dolores de cabeza para las empresas que tienen operaciones globales o regionales. 

Su principal desafío es resolver el conflicto entre los diferentes marcos regulatorios

Este es un reto complejo, cuando se trata de cumplir en simultáneo, por ejemplo, con el GDPR europeo, que es muy estricto en cuanto a transferencias de datos, y con las leyes de países que exigen almacenamiento local de datos.

“Las empresas se encuentran haciendo malabares con requisitos de localización de datos, gestionando transferencias internacionales y lidiando con múltiples jurisdicciones sobre el mismo conjunto de datos”, explica Daniel. 

En este sentido, advierte que, cumplir con una regulación puede poner en riesgo de incumplir con otra normativa. 

El cumplimiento de disposiciones legales vinculadas a la ciberseguridad y la protección de datos, se trata de un ejercicio de equilibrio legal constante.

Obligaciones legales frente a un ataque informático 

Cuando ocurre un ataque que compromete datos de clientes, surgen varias obligaciones inmediatas.

La primera de ellas consiste en notificar a las autoridades competentes. En este punto, el tiempo es crítico. 

Por ejemplo, de acuerdo a las disposiciones del GDPR la notificación tiene que hacerse dentro de las 72 horas de haber tenido conocimiento del incidente o de haberse producido el compromiso de datos.

También es fundamental ser transparente con los afectados. No se puede esconder el incidente. Hay que comunicar qué datos fueron comprometidos y qué medidas se están tomando al respecto. 

“He visto empresas que quisieron ocultar brechas y terminaron en situaciones mucho peores”, apunta Daniel.

Ante este tipo de situaciones es esencial seguir un protocolo muy específico, que comience por activar un plan de respuesta a incidentes.

Después de la notificación a las autoridades, hay que documentar y preservar absolutamente todo. Cada acción, cada decisión, cada evidencia del incidente.

Ciberataques en América Latina-IT Patagonia.
América Latina ocupa el cuarto lugar en ciberataques. El país más impactado es Brasil.

¿Cómo se debe gestionar el consentimiento de los usuarios para el tratamiento de sus datos personales?

El consentimiento tiene que ser libre, expreso e informado. Esto significa que el usuario tiene que entender realmente qué está aceptando.

Además, el consentimiento tiene que ser específico para cada uso que se le dará a los datos. No vale eso de “aceptás todo o nada”. 

Otro aspecto central del proceso es que cada usuario tiene que poder revocar ese consentimiento tan fácilmente como lo brindó

Además, se debe tener todo el proceso documentado y auditable. Si no se puede demostrar cuándo y cómo se obtuvo el consentimiento, legalmente es como si no se lo tuviera.

También es importante hacer auditorías regulares. No se puede simplemente configurar todo y olvidarse.

Riesgos legales al usar tecnologías como IA en la gestión de datos personales

Estamos viendo que muchos empleados están usando ChatGPT y otros modelos de inteligencia artificial sin ningún tipo de guía o control.

Daniel considera que es una bomba de tiempo desde el punto de vista legal y de seguridad, y que se trata de una problemática absolutamente crítica y urgente

Es por ello que debe definirse claramente cuáles son aquellas plataformas que están permitidas y cuáles no. 

No es lo mismo usar una versión enterprise con acuerdos de confidencialidad que usar versiones gratuitas donde se pierde el control de los datos. 

Cómo garantizar la protección de datos y la ciberseguridad por parte de proveedores de servicios en la nube

Las cláusulas que deben incluirse en contratos con proveedores de servicios en la nube, para garantizar la protección de datos y la ciberseguridad, es otro aspecto a considerar.

En este sentido, es fundamental especificar exactamente dónde van a estar físicamente los datos

Como explica Daniel, no se puede simplemente aceptar un “en la nube” como respuesta. Se necesita saber en qué países van a estar los servidores.

También se deben incluir cláusulas muy claras sobre las medidas de seguridad que el proveedor debe mantener. En especial las relativas a la protección de datos y los procedimientos de notificación en caso de incidentes.

Cómo protegerse legalmente frente a posibles vulnerabilidades en infraestructuras IT externas

La clave para que una empresa pueda protegerse legalmente frente a posibles vulnerabilidades en infraestructuras IT externas está en el due diligence o debida diligencia. 

Es decir, antes de trabajar con cualquier proveedor externo, es necesario hacer una investigación exhaustiva. 

No alcanza con que un proveedor exprese que es una compañía segura. Se debe contar con acuerdos de nivel de servicio muy robustos, con cláusulas de responsabilidad clarísimas y derechos de auditoría.

En particular, los derechos de auditoría implican poder verificar que el proveedor está cumpliendo con lo prometido

También es fundamental tener planes de contingencia que especifiquen cuales son los pasos a seguir y qué acciones tomar en caso que un proveedor falle.

En un mundo cada vez más digitalizado, son esenciales la ciberseguridad y la protección de datos.
En un mundo cada vez más digitalizado, son esenciales la ciberseguridad y la protección de datos.

El papel de los acuerdos de nivel de servicio en la gestión de responsabilidades de ciberseguridad

Cuando se redacta un acuerdo de nivel de servicio (SLA) en la gestión de responsabilidades de ciberseguridad, es muy importante definir claramente las responsabilidades de cada parte. 

Se necesitan métricas concretas: 

  • Tiempo de respuesta ante incidentes.
  • Disponibilidad del servicio.
  • Tiempo de recuperación. 
  • Consecuencias si no se cumplen estos niveles. 

“Sin consecuencias claras, un SLA es solo un papel más”, sostiene Daniel.

Impacto de tecnologías como blockchain o IoT en las obligaciones legales relacionadas con la ciberseguridad

Hoy en día hay millones de dispositivos conectados, cada uno generando y compartiendo datos. Frente a este contexto, el desafío legal es enorme

Algunas preguntas que deberían hacerse son las siguientes: ¿Quién es responsable si hackean un dispositivo IoT y lo usan para atacar a otros? ¿El fabricante? ¿El usuario? ¿El proveedor de la red?

Estas tecnologías están creando nuevos tipos de datos personales que antes ni existían. De igual modo, están forzando a repensar conceptos básicos de la protección de datos.

Evolución de las regulaciones legales en ciberseguridad y protección de datos

De acuerdo a la opinión de Daniel Monastersky, vamos hacia un escenario cada vez más exigente y complejo. 

“Estoy viendo una tendencia clara hacia la unificación de criterios a nivel global. Un poco como pasó con el GDPR que, aunque es europeo, terminó influenciando regulaciones en todo el mundo”, analiza.

Por otra parte, las regulaciones van a tener que volverse más ágiles. “No podemos seguir con leyes que tardan años en actualizarse cuando la tecnología cambia cada mes”, subraya el experto. 

Es por ello que probablemente veamos marcos regulatorios más flexibles, con principios generales fuertes, pero con la capacidad de adaptarse rápidamente a nuevas amenazas y tecnologías.

¿Las legislaciones actuales son suficientes para enfrentar las amenazas?

Las legislaciones actuales se están quedando cortas, y no es tanto por falta de regulación, sino por el enfoque. 

No se requieren necesariamente más regulaciones, sino regulaciones más inteligentes

Mientras se discute si se necesitan más reglas, los ciberdelincuentes ya están usando tecnologías que ni siquiera se contemplan en las leyes actuales.

El verdadero desafío es crear un marco regulatorio que sea lo suficientemente robusto para proteger, pero también lo suficientemente flexible para adaptarse a lo que viene.

Conclusión 

En términos de seguridad y protección de datos personales, se necesita un enfoque más colaborativo entre países. Más aún, si tenemos en cuenta que los ciberataques no conocen fronteras.

En un mundo cada vez más interconectado, los ciberataques representan una amenaza global que afecta tanto a gobiernos como a empresas y ciudadanos. 

Frente a esta realidad, es imprescindible un enfoque de cooperación internacional basado en el intercambio de información, el desarrollo de normativas comunes y la creación de alianzas estratégicas. De esta manera se podrá responder de manera efectiva a estas amenazas. 

La ciberseguridad no puede abordarse de forma aislada; requiere un esfuerzo conjunto que combine recursos, tecnología y conocimiento para proteger infraestructuras críticas y garantizar la estabilidad de la economía digital. 

Solo a través de una acción coordinada se podrá enfrentar el desafío de un entorno digital cada vez más complejo y vulnerable.

En IT Patagonia entendemos que el correcto manejo de los datos es crucial en el mundo actual, y es por eso que desde nuestra área de Data Innovation nos enfocamos en desarrollar soluciones que no sólo maximizan el valor de los datos, sino que también garantizan su seguridad y cumplimiento normativo.

Estamos comprometidos en seguir promoviendo buenas prácticas en este ámbito y en contribuir al desarrollo de profesionales capacitados en esta disciplina tan crucial. 

es_ES
es_ES es_AR en_US