La inusitada experiencia el año pasado de una entidad financiera con la ciberdelincuencia generó una reacción positiva. El ente de control del sector emitió hace poco una disposición compuesta de 33 artículos, cuatro disposiciones generales, dos transitorias y cuatro plazos. Todo esto concerniente a la nueva Ley de Protección de Datos Personales, que comenzó a regir en mayo de 2021 y que otorgó un tiempo perentorio para ajustar prácticas y estándares de protección de datos, y que termina precisamente en mayo de 2023.

Lo de la Superintendencia de Bancos es la primera reacción formal de una preparación que debió iniciarse al día siguiente de la publicación en el Registro Oficial de la Ley de Protección de Datos, como parte de un proceso que implica grandes cambios, que no solo inmiscuyen a las entidades financieras, también a empresas privadas y entidades públicas, tal como lo asegura la exdirectora de la Dirección Nacional de Registro de Datos Públicos (Dinardap), hoy Dirección Nacional de Registros Públicos (Dinarp), Lorena Naranjo Godoy.

“No sabemos cómo se están cumpliendo los procesos para cumplir con lo que determina la ley”, dice Naranjo, quien cuestiona el hecho de que en el primer año de los dos de gracia que determinó la nueva normativa, se haya hecho tan poco. “Aun no se ha definido lo del reglamento a la ley, ni se ha nombrado a la autoridad de Protección de Datos ni tampoco se ha creado a la nueva institución de control”.

En el caso del reglamento, su preparación está a cargo del Consejo de Participación Ciudadana y Control Social (CPCCS), organismo que debía preparar también el instrumento legal para la selección de la autoridad de control, algo que quedó definido a inicios de marzo pasado.

Pero es al Ejecutivo al que le corresponde enviar la terna para su designación. “Debemos esperar a que el CPCCS emita el reglamento para su selección. Cuando contemos con ello podremos elegir y enviar los nombres que integrarán la terna”, le aseguró este lunes a EXPRESO Eduardo Bonilla, el secretario general de Comunicación del Gobierno.

Sin embargo, el reglamento de selección ya está, lo que sí está pendiente es la conformación de la veeduría ciudadana que debe vigilar el proceso de designación del titular de la autoridad de Protección de Datos. La CPCCS cerró el 24 de marzo la fase de inscripción y se encuentra actualmente revisando la información de los candidatos, luego de lo cual, y en el plazo de cinco días, deberá entregar el informe al pleno del Consejo, que en dos días debe aprobarlo y difundir la lista de veedores seleccionados.

Para Santiago Acurio, vicepresidente de la Asociación Ecuatoriana de Ciberseguridad (AECI), la prioridad del Ejecutivo en este momento debe ser nombrar la terna para superintendente. “Es necesario que este funcionario esté en control de lo que se decida como reglamento. De lo contrario, tendríamos otro problema. Está nombrada la persona y esta tendría que pedir reformas y cambios a esta normativa”.

Algo similar opina Lorena Naranjo, directora de la Maestría en Derecho Digital de la Universidad de las Américas (UDLA). “No sería adecuado que sin tomar en cuenta la opinión de la autoridad de Protección de Datos, que aún no ha sido nombrada, se dicte un reglamento que va a ser además un instrumento con el que va a desarrollar su trabajo”.

Naranjo cree que esa podría ser la razón por la que el reglamento a la ley aún no ha sido aprobada por el Ejecutivo. Sobre este punto, el secretario general de Comunicación del Gobierno, no precisó fecha de cuándo sería enviado al Registro Oficial esta normativa, pero sí que se está avanzando en su elaboración. “Por el momento, estamos recibiendo y procesando las observaciones al borrador que tenemos”.

Otro de los temas que preocupa a Naranjo, con la ausencia del superintendente, es que se siga atrasando la creación de la entidad de control. Diseñar una institución como esa no es fácil. “Implica muchos procesos y ajustes”, dice, que luego faltará tiempo.

Sector bancario ya estableció ruta para llegar a punto con la ley a mayo de 2023

Hasta el 31 de marzo las entidades financieras tenían plazo para generar planes y programas que le permitan dar cumplimiento a las disposiciones emanadas en la Ley Orgánica de Protección de Datos Personales.

Así lo determinó la resolución número SB-2021-2263 que la Superintendencia de Bancos emitió el pasado 28 de diciembre de 2021.

El documento de 37 páginas contempla 33 artículos, cuatro disposiciones generales y dos transitorias. Las entidades financieras deberán cumplir en un plazo de no más de nueve meses, contados desde el momento que se emitió la resolución, con 35 ítems.

Entre los diferentes puntos que dispone la Super de Bancos, se establece que el envío de información de sus clientes relacionada con, al menos, números de cuentas y de tarjetas, debe ser realizado bajo condiciones de seguridad de la información, considerando que cuando dicha información se envíe mediante correo electrónico o utilizando algún otro medio vía internet, esta deberá ser enmascarada.

Se deberá mantener como mínimo durante 12 meses el registro histórico de todas las transacciones que se realicen a través de los canales electrónicos, incluye transacciones realizadas con tarjetas. Pondrán a disposición de sus clientes call center u otro medio, para el reporte de emergencias bancarias, que funcionan las 24 horas al día, los siete días de la semana.

Mantener, por lo menos, durante 12 meses la grabación de las llamadas telefónicas realizadas por los clientes a los centros de atención telefónica (call center), específicamente cuando se consulten saldos, consumos o cupos disponibles; se realicen reclamos; o, se reporten emergencias bancarias; para lo cual, se deben establecer procedimientos que permitan validar de manera segura la identidad del cliente. De presentarse reclamos, esa información deberá conservarse hasta que se agoten las instancias legales.

Ciberseguridad. Menos casos de incidentes

En el primer trimestre de 2021, el Centro de Respuesta a Incidentes Informáticos (EcuCert) recibió la notificación de 77.110 casos. En igual periodo de 2022, se han notificado 50.232. El año pasado impuso un récord en los ciberdelitos. La Unidad especializada de la Policía Nacional abrió 1.487 investigaciones por casos confirmados, mientras que en 2021, solo hubo 380.