Riesgos tecnológicos, gobierno corporativo y protección de datos personales

Msc. José León Ávalos *

Lic. Johan Anzora Solano**

I. Introducción.

En el mundo globalizado, la información personal del individuo se ha transformado en un activo más. Por esta razón, cobra importancia cómo las entidades privadas y públicas, poseedoras de dicha información, la recolectan, manejan y resguardan. En específico, merecen especial atención todas las entidades financieras sujetas a supervisión, por el gran flujo de capital y datos que manejan (muchos de estos datos incluso suponen una categoría especial en la legislación).

Distintos sectores han formulado que existe un deber de cuidado para las empresas al manejar datos personales (Mendoza, 2018). La observancia de este deber es imperativa, máxime si se toma en cuenta que empresas de gran tamaño y gobiernos han sido víctimas de ataques cibernéticos o hackeos. En tales casos fue frecuente el robo o filtración de ciertos datos confidenciales o sensibles (direcciones, teléfonos, número de tarjetas, entre otros). A nivel mundial, uno de los casos más conocidos fue el de la cadena mayorista en Estados Unidos llamada Macys, pues en el año 2018 cierta información de sus clientes quedó al descubierto (Gibson, 2018). En nuestro país, instancias gubernamentales como el AyA (Gudiño, 2020) y distintas municipalidades han sido también víctimas de este tipo de ataques (Jiménez y Vargas, 2018).

Frente a este panorama, se vislumbra la necesidad de referenciar los aspectos más relevantes en el tema, para así propiciar la discusión en torno a los riesgos tecnológicos y las medidas que se toman para mitigarlos.

II. Legislación sobre la protección de datos

En Costa Rica existen distintas disposiciones normativas que velan por el uso y resguardo correcto de la información de las personas. En primer término, se encuentra el artículo 24 de la Constitución Política. Este numeral consagra el derecho a la intimidad, a la libertad y al secreto de las comunicaciones. Además, estatuye la inviolabilidad de los documentos privados y las comunicaciones escritas, orales o de cualquier otro tipo.

A nivel legal, se cuenta con la Ley No. 8968, “Protección de la Persona Frente al tratamiento de sus datos personales”. Este cuerpo normativo es de orden público y tiene como objeto, por un lado, garantizar a la persona el respeto a su derecho a la autodeterminación informativa, específicamente en relación con su vida o actividad privada; por otro, pretende la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de sus datos.

Conviene resaltar que el artículo 9 de esta ley contempla 4 categorías distintas de datos. En primer lugar, están los datos personales de acceso irrestricto que son aquellos contenidos en las bases de datos públicos de acceso general, i. e., nombre completo, número de cédula, propiedad sobre bienes, etc. Luego, están los datos personales de acceso restringido. Estos solo pueden ser consultados por el titular de los datos o por la administración para fines públicos.

En tercer lugar, se encuentran los datos sensibles. En esencia, estos son los referentes al origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros. Sobre este tipo de datos se prohíbe su tratamiento, a excepción de casos puntuales.

Finalmente, se cuenta con los datos referentes al comportamiento crediticio. La ley dispone que debe existir un balance entre los datos obtenidos para garantizar un grado de riesgo aceptable por parte de las entidades financieras, y el derecho a la autodeterminación informativa de los usuarios del sistema financiero.

Como se observa, cualquier información de carácter personal es considerada como dato sensible. Por este motivo, es una obligación primordial de las empresas e instituciones públicas garantizar ante todo el cumplimiento del consentimiento informado del cliente o usuario, para así poder recolectar y almacenar determinados datos respetando todos los derechos que consagra la normativa. Adicionalmente, deben velar por un uso correcto de dichos datos y que estos se encuentren resguardados y protegidos, de manera que no tengan acceso personas ajenas al proceso o función.

III. Riesgos tecnológicos como riesgos operacionales y mecanismos de gestión

El riesgo se puede entender como la probabilidad de manifestación de una amenaza y el impacto que esta tiene sobre los objetivos de una organización o de una persona. Existen distintos tipos de riegos, pero el que nos ocupa es el tecnológico, el cual se ubica dentro del marco del Riesgo Operacional. Este último ha sido entendido por el Comité de Supervisión Bancaria de Basilea como aquel riesgo de “(…) sufrir pérdidas debido a la inadecuación o a fallos en los procesos, personal y sistemas internos o bien por causa de eventos externos”(Comité de Supervisión Bancaria de Basilea, 2003, p. 2).

Dicho de otra manera, los riesgos tecnológicos son precisamente operativos, porque encuentran su génesis en fallos de los procedimientos informáticos automatizados, en errores humanos o por razones exógenas. Además, en tanto son riesgos operativos, pueden generar pérdidas económicas a la entidad por el mal manejo y uso de los datos que posea. Dentro de los múltiples riesgos que pueden materializarse, se pueden citar, a manera de ejemplo, los fallos en los sistemas informáticos (sean de hardware o de software), así como errores relacionados con la ejecución, entrega y procesamiento de datos —resultando incluso en la concesión de acceso no autorizado a las cuentas de los clientes, etc.— (Comité de Supervisión Bancaria de Basilea, 2003).  

Por otra parte, el robo de información representa un peligro enorme: puede utilizarse incluso para fraudes o extorsiones. Por consiguiente, es esencial que el manejo de datos posea los más altos estándares de protección informática, con servidores seguros. Es claro que en el ámbito tecnológico no existe garantía de invulnerabilidad perpetua de los sistemas, pero el correcto uso de la información y las medidas idóneas para su resguardo, ayudan a reducir las posibilidades de este tipo de sucesos.

En ese sentido, conviene destacar que toda actividad genera determinado riesgo; es decir, no existe el “riesgo cero”. Por más medidas que se apliquen para disminuirlo, siempre existe la posibilidad de ocurrencia del hecho, porque resulta imposible anticipar la multiplicidad de causas que pueden llegar a materializar el riesgo. Debido a esto, no hay organización que pueda garantizar el manejo totalmente seguro de la información que posean, pero esto no es óbice para omitir mecanismos para el adecuado resguardo de esos datos.

Bajo esta óptica, las empresas se encuentran constreñidas a encontrar mecanismos para mitigar estos riesgos como parte de sus políticas del gobierno corporativo.

COBIT 5

Uno de los mecanismos más famosos a nivel internacional es Control Objectives for Information and related Technology 5 o COBIT 5 por sus siglas en inglés. Este resalta como un estándar de buenas prácticas en el uso de la información, otorga a las empresas un frameworkque funge como medio para alcanzar sus objetivos de buen gobierno y coadyuva en la gestión de las Tecnologías de la Información (en adelante, TI) corporativas (Mora Aristega et al., 2017).

En este sentido, el Acuerdo No. 14-17 de la Superintendencia General de Entidades Financieras (SUGEF), denominado “Reglamento General de Gestión de la Tecnología de la Información” (en adelante, RGGTI) y aprobado por el Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF), reconoce la legitimidad en el uso marcos de referencia como COBIT 5 e Information Technology Infrastructure Library (ITIL), y estándares como ISO (Sanchez et al., 2013). Este reglamento es aplicable a todas las entidades supervisadas del sistema financiero nacional y establece los requerimientos mínimos para la gestión de la TI. De conformidad con cuerpo normativo, cada entidad debe valorar la manera de implementar un marco de gestión de TI, considerando sus particularidades como su naturaleza, la complejidad de su actividad, el tipo y el modelo de negocio, el tamaño, entre otros.

IV. Gobierno de TI: componente del gobierno corporativo.

El Reglamento sobre Gobierno Corporativo, acuerdo de SUGEF No.16-16, define la noción de gobierno corporativo como el conjunto de relaciones (lo cual incluye normas, principios y procedimientos) entre el órgano de dirección de una empresa, sus propietarios, las administración o gerencias y otras partes interesadas. Dicho de otra forma, engloba la manera en la que se gobierna una empresa y cómo actúa cada uno de sus órganos para el cumplimiento de sus objetivos.

En este contexto, el RGGTI establece que la gestión de las TI forman parte de un marco de gobierno corporativo. La TI es necesaria para el desarrollo normal de las actividades de muchas organizaciones. Se emplean para gobernar, gestionar y administrar las empresas. Debido a esto, el RGGTI estipula que el órgano de dirección y la gerencia se encuentran obligados a evaluar, controlar y dirigir el uso actual y futuro de las TI a lo interno de estas entidades. Desde luego, el manejo correcto de la TI, bajo un esquema de buenas prácticas empresariales, permite a las empresas del sector financiero asegurarse, por un lado, que la TI está sirviendo de ayuda en la consecución de las metas de la entidad, y, por otro, que su empleo se ajusta a la normativa nacional y a los estándares o marcos de referencia que hayan decidido adoptar.

Siguiendo esta línea de ideas, como parte de su gobierno corporativo de TI, las entidades supervisadas por el CONASSIF deben contar con el apoyo de expertos en el área de riesgos tecnológicos y uso de la información. Sólo de esta forma resulta factible  brindar seguridad de que los sistemas empleados, y los servidores donde se almacenen las bases de datos, cumplen con los estándares en la materia. Además, por medio de las asesorías se puede elaborar  políticas internas más robustas, para implementar buenas prácticas que disminuyan la posibilidad de cualquier fuga de información.

Con todo, aunque la normativa no lo disponga expresamente, también resulta idóneo que se cuente con un departamento o sección especializada  en dar y llevar los registros sobre los accesos a las bases de datos de la compañía. Todas las entidades deben velar porque la información que posean sea de acceso limitado; es decir, solo determinados colaboradores deberán poder acceder a ella, y entre más sensibles sean los datos, mayores restricciones sobre su acceso deben existir. Es primordial el registro de acceso, a fin de evitar que la información sea consultada o accedida por personas no legitimadas para ello.

Este registro debe incluir el nombre de la persona que ingresa al sistema, en cuál fecha y en qué hora, qué tipo de información consultó, entre otros aspectos. Solo así se garantiza el rastreo adecuado en caso de irregularidades.

En resumen, es responsabilidad de cada entidad financiera implementar estándares, mecanismos y políticas para generar un entorno de trabajo que permita alcanzar sus objetivos, a la vez que genera la confianza en las personas de que su información se usará correctamente.

V. Conclusión

En general, los datos e información de las personas pueden usarse de forma positiva en el desarrollo de estrategias focalizadas (comerciales y públicas), lo cual se traduce en un mejor desempeño o en un aumento del bienestar de la población. No obstante, esos datos también pueden generar múltiples problemas si no son manejados de forma adecuada y  no se cuenta con los controles necesarios para su almacenamiento.

El manejo de datos debe ser parte de una cultura empresarial, gubernamental y personal. La información que cada individuo genera en su día a día es un activo de alto valor y como tal amerita resguardarse de la mejor forma posible. A nivel personal, es preciso que cada individuo esté consciente sobre qué información genera, quién la tiene y en qué condiciones, cómo la utiliza o si los transfiere a terceros.

En cuanto al Estado y las empresas, deben centrarse en qué tipo de información recolectan, cómo la categorizan y en cómo almacenarla de forma segura. Con este propósito, pueden adoptar alguno de los marcos de referencia o estándares internacionales mencionados. No obstante, se observa un gran reto en este tema, porque la normativa que regula la gestión de la TI es escaza. Según se vio, la referencia obligatoria en el país es la reglamentación emitida por la SUGEF y el CONASSIF, pero esta aplica prima facie solo para las entidades supervisadas del sector financiero.

A pesar lo mencionado, conviene recordar la reforma del artículo 32 ter del Código de Comercio, efectuada mediante la Ley No. 9392, “Ley de Protección al Inversionista Minoritario”. Según este numeral, todas las empresas y sociedades mercantiles deben adoptar políticas de Gobierno Corporativo. Este artículo cita, de manera ejemplificativa, el contenido mínimo de un eventual Código de Gobierno Corporativo en las sociedades mercantiles. Como la ley regula solo los mínimos, se abre la posibilidad de que las sociedades mercantiles puedan recurrir a distintas referencias normativas, para implementar su propio Código de Gobierno Corporativo y dotarlo de contenido más allá del mínimo fijado por el Código de Comercio.

Así las cosas, sería factible aplicar de manera extensiva, gracias al 32 ter ejusdem, el reglamento y lineamientos emitidos por la SUGEF en materia de gestión de riesgos de TI. De esta forma, las empresas y sociedades mercantiles están legitimadas y obligadas a implementar mecanismos para la gestión de las TI. Precisamente, esta es una oportunidad de mejora inigualable que las empresas pueden aprovechar, para así aumentar la confianza del público en general sobre su gestión y sobre su nivel de cumplimiento normativo.

V. Conclusión

En general, los datos e información de las personas pueden usarse de forma positiva en el desarrollo de estrategias focalizadas (comerciales y públicas), lo cual se traduce en un mejor desempeño o en un aumento del bienestar de la población. No obstante, esos datos también pueden generar múltiples problemas si no son manejados de forma adecuada y  no se cuenta con los controles necesarios para su almacenamiento.

El manejo de datos debe ser parte de una cultura empresarial, gubernamental y personal. La información que cada individuo genera en su día a día es un activo de alto valor y como tal amerita resguardarse de la mejor forma posible. A nivel personal, es preciso que cada individuo esté consciente sobre qué información genera, quién la tiene y en qué condiciones, cómo la utiliza o si los transfiere a terceros.

En cuanto al Estado y las empresas, deben centrarse en qué tipo de información recolectan, cómo la categorizan y en cómo almacenarla de forma segura. Con este propósito, pueden adoptar alguno de los marcos de referencia o estándares internacionales mencionados. No obstante, se observa un gran reto en este tema, porque la normativa que regula la gestión de la TI es escaza. Según se vio, la referencia obligatoria en el país es la reglamentación emitida por la SUGEF y el CONASSIF, pero esta aplica prima facie solo para las entidades supervisadas del sector financiero.

A pesar lo mencionado, conviene recordar la reforma del artículo 32 ter del Código de Comercio, efectuada mediante la Ley No. 9392, “Ley de Protección al Inversionista Minoritario”. Según este numeral, todas las empresas y sociedades mercantiles deben adoptar políticas de Gobierno Corporativo. Este artículo cita, de manera ejemplificativa, el contenido mínimo de un eventual Código de Gobierno Corporativo en las sociedades mercantiles. Como la ley regula solo los mínimos, se abre la posibilidad de que las sociedades mercantiles puedan recurrir a distintas referencias normativas, para implementar su propio Código de Gobierno Corporativo y dotarlo de contenido más allá del mínimo fijado por el Código de Comercio.

Así las cosas, sería factible aplicar de manera extensiva, gracias al 32 ter ejusdem, el reglamento y lineamientos emitidos por la SUGEF en materia de gestión de riesgos de TI. De esta forma, las empresas y sociedades mercantiles están legitimadas y obligadas a implementar mecanismos para la gestión de las TI. Precisamente, esta es una oportunidad de mejora inigualable que las empresas pueden aprovechar, para así aumentar la confianza del público en general sobre su gestión y sobre su nivel de cumplimiento normativo.

*José León Ávalos es Analista de Riesgo de Crédito para Norteamérica en C.B.S.

**Johan Anzora Solano es Abogado en ELS Estudio Legal en el Área de Gobierno Corporativo y Compliance.

Anterior
Anterior

La prueba electrónica y digital en el ámbito procesal

Siguiente
Siguiente

El uso de la firma electrónica en los contratos de consumo: comentario de la resolución RSC-128-2020 de la Superintendencia de Telecomunicaciones (SUTEL)