Panorama regulatorio en ciberseguridad para aseguradoras en Latinoamérica (Parte y 2)

Segunda parte: adaptación tecnológica

En la primera parte de nuestro post Panorama regulatorio en ciberseguridad para aseguradoras en Latinoamérica  constatamos la creciente presión regulatoria en ciberseguridad que ha llevado a las aseguradoras en Latinoamérica a replantear sus estrategias digitales.

Los ejemplos nombrados, como la LFPDPPP de México y la LGPD de Brasil han elevado los estándares de protección de datos, obligando a las compañías a implementar medidas más estrictas para garantizar la seguridad y privacidad de la información.

En esta segunda parte, analizaremos cómo las aseguradoras están respondiendo a estas regulaciones, compararemos el impacto con el GDPR europeo y exploraremos las tecnologías que están adoptando para mejorar su ciberresiliencia.

Comparación con regulaciones globales: GDPR en Europa

​El Reglamento General de Protección de Datos (GDPR) de la Unión Europea ha establecido un referente mundial en materia de protección de datos personales y ciberseguridad. La influencia, a partir de su publicación, en otras leyes similares de distintos países ha sido evidente (aquí incluimos a Brasil y México) .

Es importante, para poner en contexto la temática que estamos desarrollando, conocer las similitudes y diferencias clave entre el GDPR europeo y las dos leyes nombradas: la Ley General de Protección de Datos (LGPD) de Brasil y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México.​

Similitudes del GDPR con la LGPD y la LFPDPPP:

[1] Consentimiento explícito para el tratamiento de datos personales.

• GDPR: Requiere que el consentimiento para procesar datos personales sea libre, específico, informado e inequívoco. A todos los europeos nos es muy familiar encontrarnos en los formularios una opción de Aceptación de esta cláusula.​

• LGPD: Establece que el consentimiento debe ser otorgado de forma libre, informada e inequívoca por el titular de los datos. (a)

• LFPDPPP: También exige que el consentimiento sea libre, específico e informado; sin embargo, permite el “consentimiento tácito” en ciertos casos, lo que implica que el consentimiento puede inferirse de la conducta del titular, excepto cuando se trate de datos sensibles.  (b) Este punto, en España, ha generado algunos conflictos e interpretaciones que han acabado en denuncias ante la Agencia de Protección de Datos.

[2] Derechos de acceso, rectificación y eliminación de datos:

• GDPR: Los individuos tienen, en este punto, unos derechos muy amplios sobre sus datos personales, incluyendo acceso, rectificación, eliminación (derecho al olvido), portabilidad y oposición al procesamiento. (c) 

• LGPD: Muy parecido a la GDPR europea pues proporciona derechos similares, permitiendo a los titulares acceder, corregir, eliminar, anonimizar o bloquear sus datos personales, además de garantizar la portabilidad y el derecho a oponerse al procesamiento.​

• LFPDPPP: Reconoce los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), que permiten a los titulares ejercer control sobre sus datos personales. (d)​

[3] Obligación de notificación en caso de filtración de datos:

• GDPR: Establece que las organizaciones deben notificar a la autoridad de supervisión correspondiente sobre una violación de datos personales dentro de las 72 horas posteriores a su detección, a menos que sea improbable que la violación resulte en un riesgo para los derechos y libertades de las personas.​

• LGPD: Requiere que las organizaciones informen a la autoridad nacional y a los titulares afectados sobre incidentes de seguridad que puedan causar daño o riesgo significativo, en un plazo razonable. No se especifica un plazo tiempo exacto dejándose en manos de la Autoridad Nacional de Protección de Datos.

• LFPDPPP: Tampoco impone una obligación explícita de notificar a la autoridad en caso de una violación de datos personales.  (a)

Diferencias clave entre el GDPR, la LGPD y la LFPDPPP:

1. Sanciones por incumplimiento:

   • GDPR: Las sanciones son realmente duras. La ley permite imponer multas de hasta el 4% de la facturación anual global de una empresa o 20 millones de euros, escogiéndose la cantidad superior.  (e)

   • LGPD: Establece sanciones de hasta el 2% de los ingresos totales de la empresa en Brasil en el año fiscal anterior, limitadas a 50 millones de reales brasileños por infracción. (e) 

   • LFPDPPP: Prevé sanciones económicas que varían según la gravedad de la infracción, pero generalmente son menos severas que las impuestas por el GDPR y la LGPD.​

2. Designación de un Oficial de Protección de Datos (DPO):

   • GDPR: Obliga a las organizaciones a designar un DPO cuando las actividades principales implican una monitorización regular y sistemática de interesados (gran volumen) o el procesamiento a gran escala de categorías especiales de datos. 

   • LGPD: Requiere que los controladores de datos designen un DPO, sin especificar las circunstancias exactas, lo que sugiere que todas las empresas, independientemente de su tamaño o tipo, deben nombrar uno. Sin embargo, la ANPD puede ajustar este requisito y emitir reglas complementarias. ​

   • LFPDPPP: No establece la obligación explícita de designar un DPO, aunque recomienda que las organizaciones asignen a una persona o departamento la responsabilidad de la protección de datos personales.

Adaptación tecnológica y operativa en las aseguradoras

Tal como venimos detallando en este post, la creciente presión regulatoria en materia de ciberseguridad y protección de datos ha impulsado a las aseguradoras latinoamericanas a adoptar tecnologías avanzadas para garantizar el cumplimiento normativo y fortalecer la seguridad de la información.

Entre estas tecnologías, las soluciones basadas en la nube y herramientas de inteligencia artificial (IA) han cobrado especial relevancia.​

Adopción de tecnologías en la nube

La computación en la nube se ha convertido en un pilar estratégico para la transformación digital de las aseguradoras en América Latina. Según un estudio de NTT Data y MIT Technology Review (f), el 80% de las empresas en la región han alcanzado una fase avanzada en la adopción de la nube, incorporando regularmente esta tecnología en sus operaciones.

Las plataformas de Software como Servicio (SaaS) ofrecen a las aseguradoras múltiples beneficios, entre los que destacan:​

• Gestión centralizada de datos: Facilita el almacenamiento y acceso a la información desde ubicaciones diversas, mejorando la eficiencia operativa.​

• Monitoreo en tiempo real: Permite supervisar continuamente las operaciones y detectar anomalías o incidentes de seguridad de manera inmediata.​

• Implementación de medidas de seguridad automatizadas: Incluye actualizaciones y parches de seguridad automáticos, reduciendo vulnerabilidades y asegurando el cumplimiento de las normativas vigentes.

Sin embargo, la adopción de la nube también presenta desafíos, especialmente en sectores altamente regulados como el asegurador. La seguridad de los datos y el cumplimiento normativo son preocupaciones críticas que requieren una planificación meticulosa y la implementación de controles adecuados.

Tecnologías implementadas para fortalecer la ciberseguridad

Además de la migración a la nube, las aseguradoras están incorporando diversas tecnologías para mejorar su postura de ciberseguridad:​

• Encriptación de datos: Protege la información sensible mediante algoritmos que convierten los datos en formatos ilegibles para usuarios no autorizados, asegurando la confidencialidad y la integridad de la información.​

• Autenticación multifactor (MFA): Añade capas adicionales de seguridad al requerir múltiples formas de verificación antes de conceder acceso a sistemas o datos, reduciendo el riesgo de accesos no autorizados.​

• Inteligencia Artificial y Machine Learning: Estas tecnologías permiten analizar grandes volúmenes de datos para identificar patrones sospechosos y detectar amenazas en tiempo real, mejorando la capacidad de respuesta ante incidentes cibernéticos.

Conclusión

A lo largo de las dos partes de este post, ha quedado claro que las regulaciones en ciberseguridad en Latinoamérica han forzado, en positivo, una transformación en el sector asegurador. Y la transformación sigue.

Las aseguradoras no solo están ajustando sus políticas de protección de datos, sino que también están adoptando nuevas tecnologías para garantizar el cumplimiento normativo y fortalecer la ciberresiliencia  (capacidad de una empresa o sistema para resistir, recuperarse y prevenir ataques cibernéticos).

La comparación con el GDPR europeo ha reforzado la convicción de todos los expertos  de que las regulaciones en la región seguirán evolucionando hacia estándares más estrictos.

También te puede interesar:

Evolución ciber riesgos en 2024 (1)

Evolución ciber riesgos en 2024 (y 2)

Fuentes SEGUNDA PARTE:

((a)) https://www.ey.com/content/dam/ey-unified-site/ey-com/es-mx/insights/law/documents/ey-law-latam-guia-data-privacy-2022-es.pdf

((b)) https://showheroes-group.com/es/2023/03/23/comprendiendo-la-privacidad-de-los-datos-en-america-latina/

((c)) https://medium.com/%40martin.jurado.p/an%C3%A1lisis-comparativo-lfpdppp-vs-gdpr-c1005260d11d

((d)) https://www.gob.mx/cenagas/acciones-y-programas/los-derechos-arco#:~:text=Acceso%3A%20Derecho%20de%20acceder%20a,uso%20de%20tu%20informaci%C3%B3n%20personal.

((e)) https://www.endpointprotector.es/blog/lgdp-vs-gdpr-las-mayores-diferencias/

((f)) https://gestionynegocios.co/america-latina-acelera-la-adopcion-de-la-nube-el-80-de-las-empresas-ya-esta-en-fase-avanzada/