Brenda Sparrow Alcázar, gerente de Asuntos Legales y Regulatorios en la Sociedad de Comercio Exterior del Perú (ComexPerú) resaltó que el Reglamento del Decreto de Urgencia N.° 007-2020 sobre el marco de confianza digital, establece una obligación de integración tecnológica entre privados y el Estado peligrosa, porque si esta plataforma central del gobierno fuera vulnerada, la citada integración preexistente podría servir como un puente para que los atacantes se desplacen lateralmente hacia las redes privadas de las empresas conectadas. En lugar de blindar la seguridad nacional pone en riesgo simultáneo a múltiples sectores.
Si hacemos una comparación entre el proyecto de reglamento y reglamento publicado, ¿Se han mantenido la mayoría de los puntos o hay grandes modificaciones?
Se encuentran cambios importantes, siendo estos:
- Uno de los cambios más relevantes se encuentra en las obligaciones de los Proveedores de Servicios Digitales (PSD). En la versión oficial, se agregó una cláusula de salvaguarda en el literal a) del artículo 18, la cual establece explícitamente que la notificación de incidentes al Centro Nacional de Seguridad Digital (CNSD) no exime al proveedor de cumplir con su obligación de notificar a la Autoridad Nacional de Protección de Datos Personales (ANPD) si el incidente compromete datos personales. La notificación de incidentes de datos personales se rige por su propio marco regulatorio vigente.
- El borrador daba a entender que todas las empresas privadas tenían que designar a una persona específica como «Oficial de Seguridad y Confianza Digital». El proyecto aclara que esto es totalmente opcional para los privados.
- Se ordenó mejor quién hace qué para no duplicar funciones. La norma final reconoce que el Ministerio de Transportes y Comunicaciones (MTC) sigue siendo el jefe en temas de telecomunicaciones (internet, líneas telefónicas) y obliga a coordinar con ellos. También se añadió que se debe trabajar de la mano con el Ministerio del Interior para campañas de prevención, enfocándose más en combatir el ciberdelito, algo que no estaba tan claro antes.
- Se ajustó la regla sobre la transparencia de los algoritmos. Antes decía que todas las entidades debían evaluar sus algoritmos. Ahora se especifica que esta obligación es para los que brindan servicios críticos (como luz, agua, bancos, salud). Ellos son los que deben explicarle al usuario si una máquina tomó una decisión automática que le afecte, protegiendo así a la gente frente a errores de la inteligencia artificial (IA) en servicios esenciales.
¿Considera que se tomaron en cuenta los comentarios de los gremios?
En relación con los comentarios que presentamos, únicamente fueron atendidas aquellas observaciones vinculadas a la necesidad de reducir la ambigüedad de determinados términos. No obstante, se han mantenido disposiciones que podrían generar afectaciones de mayor gravedad en materia de protección de datos personales. Ello se debe a lo previsto en uno de los artículos respecto del cual remitimos comentarios, específicamente el artículo 20.2, toda vez que establece un nivel de intromisión significativo al imponer la obligación de integración plataformas del sector privado.
¿Implica eso muchos cambios para el sector privado?
Justamente, se trata de un punto en particular: el 20.2. El primer problema radica en el mandato de integración técnica obligatoria, el cual establece que las plataformas digitales de datos del sector privado (como bancos, empresas de telecomunicaciones o servicios públicos) deben integrarse en el Centro Nacional de Seguridad Digital.
Esto trasciende la simple obligación de reportar incidentes o enviar estadísticas; el término «integrar» implica establecer una conexión tecnológica directa o una interfaz constante entre la infraestructura del Estado y los sistemas centrales de las empresas. Esta medida obligaría a que los privados abran sus arquitecturas de datos al gobierno, lo que podría vulnerar el secreto comercial e industrial, exponiendo información que forman parte de cada negocio.
A esto se suma el riesgo de crear un punto único de falla a nivel nacional. Al centralizar o conectar las infraestructuras críticas del país con el CNSD, el Estado se convierte en el objetivo principal para los ciberdelincuentes. Si esta plataforma central del gobierno fuera vulnerada, la «integración» tecnológica preexistente podría servir como un puente para que los atacantes se desplacen lateralmente hacia las redes privadas de las empresas conectadas. En lugar de blindar la seguridad nacional, esta arquitectura centralizada incrementa la superficie de ataque, poniendo en riesgo simultáneo a múltiples sectores críticos si la seguridad del Estado falla.
Esta situación impacta sobre todo a los privados que no cuentan con un órgano regulador específico. Esto se debe a que el artículo 18.2 del reglamento señala que, cuando exista una normativa especial, los proveedores de servicios sujetos a esa regulación aplicarán este reglamento solo de manera supletoria. Como resultado, quienes no tienen un regulador propio quedan mucho más expuestos a las obligaciones generales del reglamento.
«Esta medida obligaría a que los privados abran sus arquitecturas de datos al gobierno, lo que podría vulnerar el secreto comercial e industrial, exponiendo información que forman parte de cada negocio».
¿Qué se debería hacer en materia normativa?
En el caso del sector bancario, es importante señalar que quien debe definir los lineamientos es la Superintendencia de Banca (SBS), ya que es la autoridad especializada y actualizada en la normativa del sector. Por eso, cualquier cambio o mejora en esos lineamientos, que además ya están bastante regulados, debe provenir de esta entidad. No corresponde que se regulen por otra vía o bajo una modalidad distinta, porque se corre el riesgo de que no tener la especialidad suficiente para regular.
¿Qué más se debería hacer en materia de seguridad?
Más allá de establecer prohibiciones, la normativa debería incentivar la innovación en materia digital catalogándola como una «buena práctica» corporativa y no como una obligación legal. Imponer la innovación por decreto puede generar incertidumbre jurídica y temor al incumplimiento; en cambio, premiar su adopción voluntaria fomenta un desarrollo tecnológico más dinámico y alineado con los objetivos de seguridad.
Es fundamental implementar mecanismos de homologación para que las certificaciones internacionales sean reconocidas automáticamente en el territorio nacional. Dado que el reglamento actual permite el uso de estándares internacionales, pero no regula su validación expresa como prueba de cumplimiento, se debe evitar que las empresas que ya operan bajo altos estándares globales incurran en sobrecostos operativos por duplicidad de auditorías o adecuaciones locales innecesarias.
Finalmente, se debe promover el intercambio de información y la capacitación constante en el sector privado bajo un esquema de colaboración voluntaria y buenas prácticas. En lugar de convertir la formación en una carga regulatoria impositiva, es preferible fomentar una cultura donde el sector privado comparta inteligencia sobre amenazas y fortalezca sus competencias.
Para profundizar más en el tema los invitamos a revisar las siguientes notas y entrevistas:
