Primera parte: impacto y adaptación tecnológica
Hay un doble motivo, de peso, por el que la ciberseguridad se ha convertido en un tema estratégico para las aseguradoras en Latinoamérica. Por un lado, a nadie se le escapa el imparable aumento de las amenazas digitales y por otro la creciente presión regulatoria para proteger los datos personales de los clientes.
El sector asegurador es uno de los que gestiona, de forma agregada, grandes volúmenes de información sensible —datos financieros, identificaciones personales y datos médicos—, lo que lo convierte en un objetivo atractivo para los ciberdelincuentes.
Sea por ataque de ransomware, filtraciones de datos o cualesquiera variantes de este tipo de incidencias, la reputación de las compañías se ve seriamente perjudicada por no hablar de las graves consecuencias legales y financieras que se pueden generar.
Según un informe de EY sobre ciberseguridad en Latinoamérica, más del 70% de las aseguradoras de la región ha experimentado algún tipo de incidente de seguridad en los últimos tres años (y el último informe sólo cubre hasta 2023!!!) .
No es de extrañar que esta situación haya llevado a los reguladores a imponer medidas más estrictas para garantizar la protección de los datos y mejorar la resiliencia cibernética de las compañías.
Creciente presión regulatoria en Latinoamérica: tendencias y evolución
Como decíamos en la introducción, la digitalización del sector asegurador ha expuesto a las empresas a nuevos riesgos cibernéticos, lo que ha obligado a los gobiernos y a las autoridades reguladoras a fortalecer las normativas sobre protección de datos y seguridad digital.
En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), promulgada en 2010 y reforzada con diversas reformas, establece la obligación de las empresas de implementar medidas de seguridad para proteger la información de los clientes. Las aseguradoras están especialmente vigiladas debido al volumen y la sensibilidad de los datos que gestionan.
Brasil ha seguido un camino similar con la Ley General de Protección de Datos (LGPD), que entró en vigor en 2020. Es una ley que tiene muchos paralelismos con el Reglamento General de Protección de Datos (GDPR) de Europa y ha establecido estándares elevados en términos de gestión y protección de datos personales.
En Argentina, la Ley de Protección de Datos Personales (Ley 25.326) ha estado vigente desde el año 2000, pero en los últimos años ha sido objeto de propuestas de reforma para alinear sus disposiciones con las normas internacionales.
Chile, Colombia y Perú también han desarrollado regulaciones específicas en protección de datos y ciberseguridad.
En Colombia, la Ley 1581 de 2012 regula el tratamiento de datos personales y ha sido complementada con guías técnicas específicas para sectores estratégicos, incluido el asegurador.
El Banco Central de Chile ha emitido recomendaciones para que las empresas del sector financiero, incluidas las aseguradoras, adopten prácticas de ciberseguridad alineadas con estándares internacionales.
Perú, por su parte, cuenta con la Ley de Protección de Datos Personales (Ley 29733), que impone obligaciones sobre el tratamiento de datos sensibles y las medidas de seguridad que deben adoptar las empresas.
Es evidente que, unos más y otros menos, los gobiernos se han ido poniendo las pilas conscientes de la creciente importancia de proteger los datos personales cada vez más expuestos con el progreso de la tecnología y la globalización digital.
El caso de México: impacto de la Ley Federal de Protección de Datos Personales
La LFPDPPP de México ha tenido un impacto directo en las estrategias de ciberseguridad de las aseguradoras. Esta ley obliga a las empresas a establecer políticas claras para la recolección, almacenamiento y procesamiento de datos personales. Además, exige la notificación de cualquier incidente de seguridad que pueda comprometer la información de los clientes.
Aseguradoras como AXA México y MetLife México han implementado medidas avanzadas para cumplir con estas disposiciones, incluyendo la adopción de plataformas tecnológicas que permiten la encriptación de datos, la autenticación multifactor y la monitorización continua de accesos y actividades sospechosas.
Un informe de la Asociación Mexicana de Instituciones de Seguros (AMIS) señala que el 65% de las aseguradoras en México ha reforzado sus protocolos de respuesta a incidentes cibernéticos para cumplir con la LFPDPPP y otras normativas complementarias.
Regulaciones en otros países de Latinoamérica
- Brasil: La LGPD brasileña establece principios claros sobre el consentimiento informado, la portabilidad de datos y el derecho al olvido. Esto ha llevado a las aseguradoras brasileñas a reforzar sus sistemas de almacenamiento y gestión de datos.
- Argentina: La Ley 25.326, aunque más antigua, está siendo modernizada para ajustarse a estándares similares al GDPR y la LGPD.
- Colombia: Las aseguradoras están obligadas a presentar informes periódicos sobre sus prácticas de seguridad de datos y deben notificar incidentes de seguridad en menos de 72 horas.
- Chile y Perú: Las normativas nacionales han establecido obligaciones específicas en la gestión de riesgos cibernéticos y en la notificación de incidentes.
Es evidente que el panorama regulatorio en ciberseguridad está marcando un antes y un después en el sector asegurador latinoamericano.
Poco a poco, la aprobación de distintas leyes obliga a las aseguradoras a replantear sus estrategias de gestión de datos y protección contra ciberataques. La adaptación a estas normativas no solo implica cumplir con las disposiciones legales, sino también modernizar la infraestructura tecnológica para garantizar la seguridad y la privacidad de los datos de los clientes.
En la segunda parte, Panorama regulatorio en ciberseguridad para aseguradoras en Latinoamérica (Parte y 2) veremos los paralelismos con lo que ocurre en Europa y exploraremos cómo las aseguradoras están respondiendo a este desafío y qué tecnologías están implementando para fortalecer su ciberseguridad.
También te puede interesar:
Evolución ciber riesgos en 2024 (1)
Evolución ciber riesgos en 2024 (y 2)