Actualidad

Protección de datos y ciberseguridad

Colombia, Perú y República Dominicana / Protección de datos y ciberseguridad

Colombia

En el mes de julio se publicó en Colombia la Ley 2300 del 10 de julio de 2023, de Protección de la Intimidad de los Consumidores, que tiene por objeto proteger el derecho a la intimidad de los consumidores, estableciendo los canales, el horario y la periodicidad en la que estos pueden ser contactados por las entidades vigiladas por la Superintendencia Financiera.

Entre otras medidas, la ley contempla que solamente podrán ser utilizados canales de comunicación aprobados por los clientes, no se permiten contactos por varios canales en una misma semana ni más de una vez al día, se debe contar con autorización del cliente para hacer gestiones de cobranza en su domicilio o lugar de trabajo, no se puede obligar a consumidores a recibir publicidad de asuntos diferentes al producto/servicio adquirido y se debe cancelar el envío de publicidad cuando el consumidor lo solicite.

Ley 2300 de 2023 Protección al Consumidor: AQUÍ

Perú

En la misma línea, el Congreso de Perú aprobó la Ley que modifica la Ley 29571, de Protección y Defensa del Consumidor, prohibiendo el envío de comunicaciones con fines comerciales o publicitarios desde las 8:00 PM a las 7:00 AM del día siguiente, ni los sábados, domingos o días festivos. Asimismo, se advierte que la vulneración a esta prohibición dará lugar a una infracción de carácter muy grave, con sanción.

Mencionar que anteriormente se permitía el envío de este tipo de comunicaciones a los consumidores en el horario señalado, siempre y cuando se contara con su consentimiento previo. Ahora, se prohíbe la comunicación de manera absoluta en dicho horario e implica que se establece la aplicación de la regla del “primer contacto” que faculta a los proveedores a realizar un primer acercamiento con los consumidores únicamente con el fin de recabar su consentimiento expreso para el envío de publicidad.

Asimismo, recientemente se publicó en el país la Resolución de la SBS que modifica el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, que establece que el enrolamiento de un usuario en un canal digital requiere, por lo menos, verificar la identidad del usuario y tomar las medidas necesarias para reducir la posibilidad de suplantación de identidad, lo que incluye el uso de dos factores biométricos o el uso de dos factores de categorías diferentes e independientes, salvo que se trate de productos de seguros incluidos en el régimen simplificado de debida diligencia de conocimiento del cliente, en cuyo caso se puede hacer uso de un único factor biométrico.

Requiere también contar con un control ante ataques de terceros, que puede incluir un código único generado mediante métodos criptográficos, a partir de los datos específicos de cada operación. Da un plazo hasta el 30 de junio de 2024 para adecuar los procedimientos internos.

Ley que modifica la Ley 29571, de Protección y Defensa del Consumidor: AQUÍ

República Dominicana

Por último, la Superintendencia ha publicado la Circular CSB-REG-202300014, con lineamientos y reiteraciones para el cumplimiento de las disposiciones contenidas en la Ley núm. 172-13, que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados.

Así, se exige a las Entidades de Intermediación Financiera:

  • Obtener el consentimiento expreso de los titulares previo a realizar consultas de sus reportes crediticios en las Sociedades de Información Crediticia (SIC)
  • Responder las reclamaciones que le sean notificadas por las SIC en un plazo máximo de 10 días hábiles
  • Realizar de inmediato las modificaciones que correspondan, cuando acojan la reclamación presentada por el titular

También se establece una serie de obligaciones para las SIC, como presentar la información del titular en forma clara, completa y detallada en sus reportes de crédito, y contar con sistemas parametrizados que permitan: i) filtrar la información que no debe ser publicada, ii) el cruce de informaciones para advertir si la fecha del crédito se está reportando mal, y iii) excluir la información que no corresponde. 

Circular CSB-REG-202300014: AQUÍ