Las recientes filtraciones de información en Ecuador han evidenciado debilidades estructurales en la gestión de incidentes de ciberseguridad, especialmente cuando estas comprometen datos personales.
Este contexto activa obligaciones legales inmediatas y anticipa un entorno regulatorio más exigente para organizaciones públicas y privadas.
Doble exigencia normativa: se debe tener en cuenta
Un incidente de seguridad tecnológico que involucre datos personales puede activar dos regímenes legales simultáneos:
- Protección de datos personales (Ley Orgánica de Protección de Datos Personales – LOPDP)
– Notificación a la autoridad en un plazo máximo de 5 días hábiles.
– Obligación de informar a los titulares cuando exista alto riesgo para sus derechos.
- Nueva Ley de Ciberseguridad (próxima a publicación)
– Notificación de incidentes en un plazo de hasta 72 horas al ente rector.
– Aplicación independiente y adicional a la LOPDP.
IMPORTANTE: un mismo incidente puede requerir notificaciones diferenciadas, con plazos y autoridades distintas.
Principales obligaciones que introduce la nueva normativa
Las organizaciones deberán implementar, entre otras medidas:
– Sistemas de gestión de riesgos de ciberseguridad.
– Planes de continuidad operativa.
– Capacidades de detección, monitoreo y respuesta ante incidentes.
– Cooperación obligatoria con autoridades .
– Adecuación al Catálogo Nacional de Infraestructura Crítica Digital.
Sectores con mayor exposición regulatoria
Esta normativa impacta especialmente a:
– Energía y servicios básicos .
– Salud .
– Finanzas y seguros.
– Telecomunicaciones.
– Transporte.
– Servicios tecnológicos esenciales.
Riesgos de incumplimiento
La coexistencia de ambas normativas incrementa el riesgo de:
– Sanciones por notificaciones tardías o incompletas de hasta el 1.5% de los ingresos del ejercicio anterior.
– Falta de coordinación interna ante incidentes.
– Impactos reputacionales y operativos relevantes.
Recomendaciones prácticas
Se sugiere a las organizaciones:
– Revisar y actualizar sus protocolos de gestión de incidentes.
– Definir claramente roles y responsabilidades.
– Integrar ciberseguridad, protección de datos y cumplimiento en una sola estrategia .
– Simular escenarios de incidentes para validar tiempos de respuesta .- Evaluar si su organización podría ser considerada como de infraestructura crítica digital.
Conclusión
El nuevo marco regulatorio obliga a adoptar un enfoque integral que combine ciberseguridad, protección de datos personales y gobernanza corporativa como pilares de cumplimiento y resiliencia organizacional.
Apoyo legal
Si desea evaluar el nivel de cumplimiento de su organización o diseñar un protocolo integral de respuesta a incidentes, nuestro equipo está disponible para asistirle.
Esta información es un resumen de novedades jurídicas de interés y por tanto no podrá ser considerada como una asesoría provista por AVL. Cualquier inquietud comunícate con el equipo de AVL.