by Juan Manuel González | Nov 22, 2022 | Noticias
A fines de octubre de 2022, en la Sala del Senado, se aprobó en general -y por unanimidad- el proyecto que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (Boletín N°14847-06). Asimismo, se fijó como plazo para presentar indicaciones el día 11 de noviembre.
El objetivo principal de la iniciativa es establecer la institucionalidad necesaria para robustecer la ciberseguridad, el trabajo preventivo, la formación de la cultura pública en materia de ciberseguridad digital, y enfrentar contingencias tanto en el sector público como en el privado.
A continuación, encontrarán 3 elementos significativos del proyecto:
- ¿A quiénes aplicaría la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información?
- Órganos de la Administración del Estado.
- Órganos del Estado, como por ejemplo municipalidades, entidades fiscales autónomas; empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.
- Instituciones privadas que posean Infraestructura Crítica de la Información, donde encontramos compañías del sector energético, bancario o del rubro de las telecomunicaciones.
- ¿Cuáles serán los factores a considerar a efectos de determinar si un sector o institución posee infraestructura crítica?
La infraestructura crítica de la Información es definida como las instalaciones, redes, sistemas plataformas, servicios y equipos físicos de tecnología de la información cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción puede tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado, y en general, de los servicios que este debe proveer o garantizar. Sobre la base de lo anterior, cada dos años, la infraestructura de sectores o instituciones podrá ser calificada como crítica considerando los siguientes factores:
- Impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información. El que deberá ser evaluados bajo ciertos criterios.
- Capacidad del sistema informático, red o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.
- Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).
- Afectación relevante del funcionamiento del Estado y sus órganos.
- ¿Cuáles serán las obligaciones de las instituciones que posean infraestructura de la información calificada como crítica?
- Aplicar permanentemente medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad, gestionar riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado.
- Implementar un sistema de gestión de riesgo permanente.
- Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de riesgos.
- Elaborar e implementar planes de continuidad operacional y ciberseguridad. Los que deberán ser actualizados periódicamente, a lo menos una vez al año.
- Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas.
- Adoptar las medidas necesarias para reducir el impacto y propagación de un incidente de ciberseguridad.
- Contar con las certificaciones de los sistemas de gestión y procesos que se determinen.
El proyecto ahora comenzará su discusión en particular, y representantes del Gobierno han hecho patente su objetivo de introducir mejoras y aligerar el modelo de gobernanza, el que considera la creación de la Agencia Nacional de Ciberseguridad. El objeto principal de la Agencia sería asesorar al Presidente de la República en estas materias, como también la colaboración activa en el resguardo de los intereses nacionales en el ciberespacio.
En az estamos siempre monitoreando los avances legislativos con el objetivo de informar y concientizar respecto de la importancia de prevenir contingencias y mitigar riesgos asociados a este tipo de amenazas. Consideramos que la aprobación de una Ley Marco en Ciberseguridad supone un gran avance para nuestro país ya que brindaría certeza jurídica ante amenazas que son cada vez más cotidianas para todos.
Para obtener más información sobre estos temas, pueden contactar a nuestro equipo az Tech:
Eugenio Gormáz | Socio | egormaz@az.cl
Gonzalo Navarro | Director az Tech | gnavarro@az.cl
Antonia Nudman | Asociada IP, Tech and Data | anudman@az.cl
Natalia González | Asociada IP, Tech and Data | ngonzalez@az.cl
Constanza Pasarin | Asociada IP, Tech and Data | cpasarin@az.cl
by Juan Manuel González | Nov 21, 2022 | Noticias
Uno de los temas que ha cobrado más relevancia en materia de ESG es la privacidad y protección de datos personales que deben implementar las empresas como una métrica fundamental respecto a los procesos y prácticas de gobierno y ética corporativa.
Dentro de las transacciones en las que las medidas de privacidad y protección de datos con las que cuenta una empresa o la falta de estas toman particular importancia es a través de los procesos de auditoria en operaciones de fusiones y adquisiciones (M&A).
A este respecto, los puntos relativos a privacidad y protección de datos a considerarse dentro de este tipo de transacciones son:
Auditoria legal
Uno de los pasos más relevantes en los procesos de M&A es la auditoria legal a la empresa o empresas que serán adquiridas o que participarán en el proceso de fusión.
Durante este proceso la empresa que será vendida o fusionada pone a disposición del posible adquirente cierta información, relacionada con sus clientes, proveedores y empleados, entre otros; dicha información puede incluir datos personales sujetos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
En virtud de lo anterior, algunas de las consideraciones más relevantes a tomar en cuenta son las siguientes:
- Verificar que la sociedad vendedora determine e identifique la información y datos personales que potencialmente serán divulgados como parte de la auditoría. Respecto de ellos, se debe solicitar los avisos de privacidad con los que cuente la parte vendedora, a fin de revisar que cumplan con los requisitos que establece la regulación de protección de datos en México. Por su parte, el potencial adquirente debe también determinar a quién se les dará acceso a los datos protegidos, incluyendo asesores externos que participarán en la auditoría.
- Previo a que se lleve a cabo la divulgación de datos personales, es indispensable confirmar con la vendedora que esta cuenta con los consentimientos necesarios para llevar a cabo la divulgación.
- Asumiendo que se cuenta con las autorizaciones correspondientes, una vez se determine y delimite la existencia y alcance de la divulgación tanto la parte vendedora como la parte compradora y los demás involucrados como la empresa objeto de la operación, o sus accionistas (dependiendo el alcance de la operación), deberán celebrar un convenio de transferencia de datos en el que establecerán las disposiciones relativas al alcance y contenido de la transferencia. Además, se debe proporcionar al tercero una copia del aviso de privacidad que se proporcionó a los titulares para que dicho responsable receptor procese los datos de la misma manera que el responsable cedente.
Todo el tratamiento de datos por parte del responsable receptor debe estar de acuerdo con el aviso de privacidad, y asumirá las mismas obligaciones que bajo la LFPDPPP, tiene el responsable que transfirió los datos.
Lo anterior, supone un proceso que debe revisarse detenidamente ya que de igual forma entra en juego el tema de confidencialidad de la operación y el manejo de comunicaciones con asesores externos, stakeholders, como empleados o clientes. Así como el resto de las obligaciones que, en materia de protección de datos, dependiendo del alcance de la operación, será relevante garantizar al interior de la empresa vendedora, por ejemplo, contar con medidas de seguridad necesarias y proporcionales.
- Posterior la firma del convenio antes establecido, la empresa vendedora podrá proporcionar al potencial comprador los datos personales para su análisis en los términos y parámetros establecidos en el convenio.
- Finalmente, para el cierre de la auditoria legal desde el punto de vista de protección de datos, existen dos posibles escenarios ya sea que la operación se concrete y por tanto se confirme la transferencia del “control” sobre los datos o bien que esta no se lleve a cabo y por tanto el potencial comprador no asuma dicho “control”. A este respecto, si la transacción se concreta, entonces la información será controlada por el adquirente quien deberá respetar los términos del aviso de privacidad bajo los cuales se obtuvo la información o bien obtener nuevamente el consentimiento de los titulares bajo su propio aviso o bien, de no concretarse el potencial adquirente deberá devolver, destruir o borrar la información que se utilizó en la auditoria de acuerdo a los términos del convenio de transferencia de datos que se hubiere firmado.
Para mayor información contactar a:
Juan José López de Silanes | Socio Basham, Ringe y Correa | lopez_de_silanes@basham.com.mx
by Juan Manuel González | Nov 18, 2022 | Noticias
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
- Registro Nacional de Denuncias;
- Registro Nacional de Inspecciones; y,
- Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
Para mayor información contactar a:
Mario Pinatte | Socio CPB | mpinatte@cpb-abogados.com.pe
by Juan Manuel González | Nov 17, 2022 | Noticias
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
- Registro Nacional de Denuncias;
- Registro Nacional de Inspecciones; y,
- Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
by Juan Manuel González | Nov 15, 2022 | Noticias
El Banco Central de Bolivia (“BCB”) a través de la Resolución de Directorio No. 079/2022 del 6 de septiembre de 2022, ha aprobado y publicado el Reglamento de Servicios de Pago, Instrumentos Electrónicos de Pago, Compensación y Liquidación (el “Reglamento”), aplicable a todas las operaciones financieras de servicios de pagos electrónicos y las actividades de compensación y liquidación derivada de estos instrumentos.
Sin perjuicio de lo anterior, el Reglamento deja sin efecto las disposiciones establecidas en las Resoluciones de Directorio N° 069/2021 de 27 de abril de 2021, y N° 129/2021 del 18 de noviembre de 2021, así como todas las disposiciones contrarias de igual o menor jerarquía.
Sobre esa base, el Reglamento presenta los siguientes aspectos a considerar:
1 – Incluye una definición y concepto de lo que se entiende por una empresa Administradora de Pasarela de Pago: Según el Reglamento, se entiende como empresa Administradora de Pasarela de Pagos (“APP”) como la persona jurídica pública o privada que, entre sus actividades, realiza la provisión de un canal de pago entre comercios o establecimientos afiliados y Entidades de Intermediación Financiera o Empresas de Servicios de Pago, misma que permite registrar y transmitir órdenes de pago exclusivamente con Instrumentos Electrónicos de Pago “IEP”.
2 – Establece las modalidades de servicio de pasarla de pagos (i) Agregador o (ii) Facilitador: Las APP podrán proveer las siguientes modalidades de servicio
a) Agregador: APP que provee un sistema o infraestructura tecnológica de integración para facilitar el comercio electrónico permitiendo que los comercios o establecimientos afiliados reciban pagos efectuados a través de los Instrumentos Electrónicos de Pago (“IEP”). En este proceso, reciben, agrupan y transfieren los pagos a los establecimientos en un plazo determinado.
b) Facilitador: APP que provee infraestructura tecnológica para enrutar y facilitar el procesamiento de una transacción de pago en línea. En este proceso, los recursos se transfieren directamente a la cuenta del aceptante.
3 – Establece y delimita la responsabilidad entre las Entidades de Intermediación Financiera y/o Empresas de Servicios de Pagos Móviles (ESPM) frente a los usuarios de pasarelas de pagos: Dentro del Reglamento, el BCB estableció, mediante el Art. 38, que las Entidad de Intermediación Financiera (“EIF”) y/o Entidades de Pagos Móviles (“ESPM”) que operen y mantenga relación contractual con una APP asumirán la responsabilidad por la prestación del servicio de pasarelas de pago en las condiciones pactadas y en última instancia asumirán los posibles daños emergentes del servicio deficiente prestado a los usuarios del sistema financiero.
4 – Inclusiones y disposiciones adicionales: El Reglamento, además de lo señalado anteriormente, establece las siguientes disposiciones adicionales:
a) Las EIF que tengan habilitado el servicio de banca móvil deberán habilitar el servicio de pagos inmediatos, con el uso de códigos QR, en condiciones de interoperabilidad con participantes de los Módulos de Liquidación Diferida (“MLD”) y las Cámaras de Compensación y Liquidación (“CCL”) en un plazo de 90 días hábiles.
b) Las EIF que se encuentren en proceso de habilitación de canales electrónicos o no tengan habilitada banca móvil deberán remitir al BCB y a la Autoridad de Supervisión del Sistema Financiero (“ASFI”) un cronograma para la habilitación de banca móvil y el procesamiento de pagos inmediatos con el uso de código QR, en condiciones de interoperabilidad, hasta el 28 de octubre de 2022.
Finalmente, es importante mencionar que ASFI en el marco de sus atribuciones de supervisión del sistema financiero, verificará constantemente el cumplimiento de las disposiciones incluidas en el Reglamento. Servicios de Pago, Instrumentos Electrónicos de Pago, Compensación y Liquidación.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
by Juan Manuel González | Nov 14, 2022 | Noticias
En el año 2019 SENACLAFT y la Secretaría Nacional de Deporte (SND) suscribieron un acuerdo de cooperación para la supervisión de organizaciones sin fines de lucro en materia de lucha contra el Lavado de Activos y el Financiamiento del Terrorismo.
Desde hace unos meses ambos organismos se encuentran trabajando en un proyecto de ley para integrar a las Sociedades Anónimas Deportivas (SAD) al grupo de sujetos obligados bajo la ley de prevención en el lavado de activos, financiamiento del terrorismo y armas de destrucción masiva.
Si bien el proyecto todavía no ha sido puesto a consideración del público, es previsible que el mismo pretenda darle el mismo tratamiento a las SAD que a las demás organizaciones sin fines de lucro sujetas a supervisión de SENACLAFT.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
