Mónica Arias
Michael Villalobos
En la actualidad, el tema de ciberseguridad cobra especial importancia para las empresas que se desempeñan en el ecosistema Fintech que, precisamente, se desenvuelven en la intersección entre las finanzas, la tecnología y la regulación, unido al crecimiento exponencial del uso de medios tecnológicos y digitales para la ejecución de transacciones financieras.
La ciberseguridad o seguridad informática de una entidad o espacio virtual procura mantener la integridad, disponibilidad, privacidad, control y autenticidad de la información contenida, custodiada y administrada en equipos electrónicos e incluso en la nube. Cada día los ciberataques son más comunes, generando grandes afectaciones en las empresas con consecuencias en la esfera privada de los clientes y sus datos personales, financieros y transaccionales, por lo que la ciberseguridad es una de las estrategias utilizadas para prevenir dichos fraudes.
Las empresas del sector Fintech no están exentas a estos ataques, por lo que es importante conocer las obligaciones y deberes, que, en materia de protección de datos, existen en nuestro país sin dejar de lado las normas, que en relación con servicios específicos como los servicios de tarjetas de crédito y débito establecen sobre esta materia, o incluso en materia atinente al consumidor. Lo anterior es válido tanto para las empresas Fintech que atienden directamente al consumidor (B2C) como para aquellas que se dedican a proveer servicios a otras empresas, incluyendo entidades financieras reguladas (B2B).
Actualmente, Costa Rica no cuenta con una normativa específica para el sector Fintech en esta materia. Sin embargo, existe una regulación de alcance general para la protección de datos personales, e incluso para la protección de datos relacionados con el comportamiento crediticio, de interés para aquellas empresas de la industria que presten facilidades crediticias o bien que presten servicios a entidades o empresas que otorguen créditos.
Así, por ejemplo, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, Ley 8968 y su reglamento, garantizan a cualquier persona, nacional o extranjera, lo siguiente:
- El respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada;
- El derecho de la personalidad;
- Defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de datos correspondiente a su persona o bienes.
También establecen los requisitos mínimos aplicables a las bases de datos automatizadas y manuales, y de las personas que intervengan en la recolección, resguardo y utilización de los datos personales.
Adicionalmente, en materia de protección de los derechos del consumidor, el reglamento a la ley de promoción de la competencia y defensa efectiva del consumidor, No. 7472 regula la obligación del comerciante de adoptar medidas de seguridad eficaces para proteger la integridad, veracidad y confidencialidad de los datos personales existentes en sus bases de datos, mientras que, por su parte, el reglamento de tarjetas de crédito y débito regula el derecho de los usuarios de servicios financieros a la protección de datos personales que obtengan las entidades financieras en la prestación de sus servicios, específicamente para la prestación del servicio de tarjetas de crédito y débito. En este mismo sentido, el reglamento del sistema de tarjetas de pago se refiere a la seguridad de la información del dispositivo de pago.
Ahora bien, en forma específica a las empresas Fintech que realizan alguna de las actividades listadas en la Ley sobre estupefacientes, sustancias psicotrópicas, drogas de uso no autorizado, actividades conexas, legitimación de capitales y financiamiento al terrorismo, el reglamento No.7786, la normativa prudencial, específicamente en el acuerdo SUGEF 13-19 (reglamento para la prevención del riesgo de legitimación de capitales, financiamiento al terrorismo y financiamiento de la proliferación de armas de destrucción masiva), aplicable a los sujetos obligados por los art 15 y 15 bis de la ley 7786, regula la obligación de estas empresas de mantener custodiada la información de sus clientes y los documentos de respaldo durante la relación comercial, garantizando la confidencialidad de la información recopilada de sus clientes, y los otros aspectos establecidos en la Ley No. 8968 antes citada. Finalmente, no omitimos indicar que el Código Penal establece los tipos penales sobre conductas ilícitas relacionadas con el incumplimiento a la protección de datos personales.
Sin lugar a duda, el crecimiento tan notorio que han tenido las empresas Fintech en los últimos años, tanto en el ámbito B2B como en el B2C, trae aparejado una serie de obligaciones y responsabilidades en la seguridad de los datos a los que se tiene acceso, interés que alcanza a las autoridades y reguladores que buscan la seguridad de los datos de los usuarios, proveedores y otros involucrados en el engranaje de los servicios y productos que prestan las empresas de esta industria. En ese sentido, es de vital importancia para estas empresas conocer claramente las regulaciones que deben cumplir en esta materia, e incluso aquellas que corresponde atender a sus clientes (en el caso de B2B), por ejemplo, en el sector financiero, con el fin de poder ofrecer un servicio que cumpla los requerimientos y estándares aplicables.