10 Unidad : Protección de Datos y Cumplimiento Legal
10.1 Introducción de la Unidad
La clasificación de la información conforme a ISO/IEC 27001, ISO/IEC 27701 y la LOPDP segmenta los datos en públicos, privados y sensibles, aplicando medidas de seguridad proporcionales a su criticidad.
Este control es importante porque permite priorizar recursos de protección, evitando que información sensible como datos financieros o personales quede expuesta sin controles adecuados.
Conforme a la normativa, los datos sensibles deben cifrarse en reposo y tránsito (AES-256, TLS 1.3), someterse a auditorías frecuentes y contar con políticas de retención y eliminación seguras.
ISO/IEC 27001:2022 – A.5.12 y A.5.13
Exige que toda la información sea clasificada en función de su valor, requisitos legales, sensibilidad y criticidad.ISO/IEC 27002:2022 (Controles de Seguridad de la Información)
Recomienda clasificar la información en niveles como pública, interna, confidencial, restringida.ISO/IEC 27701 (Extensión de privacidad para ISO 27001)
Enfatiza la clasificación de datos personales y sensibles conforme a su impacto en la privacidad.Ley Orgánica de Protección de Datos Personales (LOPDP) – Ecuador, 2021
Obliga a definir categorías de datos:Datos personales (nombre, correo, etc.).
Datos sensibles (salud, biometría, opiniones políticas, origen étnico, etc.).
Normativa de la Contraloría General del Estado (CGE)
En sus Normas de Control Interno – Administración de Tecnologías de Información (2019) establece que las entidades públicas deben clasificar la información como:Pública
Reservada
Confidencial
PCI DSS v4.0 – Requisito 3
Establece clasificación especial para información de tarjetas de crédito (PAN, CVV, Track Data), tratada como datos altamente sensibles.
Con este antecedente se recomienda realizar la clasificación de la información de la siguiente manera.
Pública → incluye solo lo que ya es visible o no compromete la seguridad.
Interna → lo que se usa dentro de la organización, sin ser sensible.
Confidencial → datos personales básicos, documentos financieros, contratos.
Reservada/Secreta → información crítica (estrategias, configuraciones, auditorías).
Sensible → datos personales especiales (biometría, salud, finanzas, religión, política).
Ejemplo:
| Nivel | Descripción | Información incluida | Normativa de Referencia | Controles Recomendados |
|---|---|---|---|---|
| Pública | Información accesible sin restricción, cuya divulgación no causa daño. | - Nombres y apellidos de funcionarios públicos (cuando consten en directorios). - Cargo o puesto institucional. - Edad (cuando es información estadística no personalizada). - Comunicados oficiales. - Información de contacto general (teléfonos de oficinas, correos institucionales genéricos). - Información publicada en la web oficial. |
ISO 27002 (información pública), CGE (Pública) | Libre acceso. Control de integridad y autenticidad. Monitoreo contra alteraciones. |
| Interna | Información para uso exclusivo de la organización, no destinada al público. | - Manuales de procesos. - Políticas internas de trabajo. - Organigramas internos. - Cronogramas de actividades. - Informes de gestión no financieros. -Procedimientos de soporte. |
ISO 27002 (información interna), CGE | Acceso solo a empleados autorizados. Restricción por rol. Autenticación básica. |
| Confidencial / Privada | Información que si se divulga afecta a la operación o reputación. Incluye datos personales no sensibles. | - Nombres, apellidos, edad, dirección, teléfono, correo personal. - Datos laborales de empleados. - Estados financieros preliminares. - Contratos con clientes y proveedores. - Correspondencia interna no pública. - Credenciales de acceso no privilegiadas. |
ISO 27001 (gestión de accesos), CGE (Confidencial), LOPDP (datos personales) | Cifrado en tránsito y reposo. Acceso por necesidad de saber. MFA en accesos remotos. Auditorías periódicas. |
| Reservada / Secreta | Información crítica y estratégica que compromete la seguridad o estabilidad de la institución. | - Estrategias de negocio. - Informes de auditoría. - Resultados de investigaciones internas. - Configuración de seguridad de sistemas (firewalls, IDS/IPS, WAF, AD). - Información de cuentas de alto privilegio (administradores, root, DBA). - Información clasificada por organismos reguladores. |
CGE (Reservada), ISO 27001 (información crítica) | Acceso bajo principio de mínimo privilegio. MFA obligatorio. Registros en SIEM. Segregación de redes. Acceso temporal y controlado. |
| Sensible | Datos que revelan aspectos íntimos, financieros o personales. Su mal uso genera un impacto directo en la privacidad y derechos de las personas. | - Número de identificación (cédula, pasaporte). - Información biométrica (huellas, rostro, iris, voz). - Datos financieros: número de tarjeta de crédito/débito, CVV, cuentas bancarias. - Historial crediticio y de pagos. - Información de salud (diagnósticos, historia clínica). - Opiniones políticas, afiliación sindical, creencias religiosas. - Origen racial o étnico. - Datos de geolocalización en tiempo real. - Información de clientes bancarios. - Datos protegidos bajo PCI DSS. |
LOPDP (Datos sensibles), PCI DSS Req. 3, ISO 27701 | Cifrado fuerte (AES-256). Tokenización. Anonimización y seudonimización. Acceso mínimo y auditado. Reportes de impacto (DPIA/PIA). |
Una vez que se tiene claro el tipo de información que estamos utilizando podemos realizar las siguientes medidas de seguridad:
10.2 Anonimización y Seudonimización
La anonimización y la pseudonimización son mecanismos clave para proteger datos en entornos de prueba, análisis y transferencia a terceros, entre las cuales se utilizan:
Anonimización total: transformación de los datos de manera que no puedan vincularse con una persona natural identificada o identificable. Ejemplo: reemplazar un número de cédula real por un valor aleatorio irreversible.
Pseudonimización: sustitución de identificadores directos por códigos o tokens, manteniendo la posibilidad de revertir el proceso bajo control estricto (ejemplo: cifrado reversible con clave).
Enmascaramiento de datos: ocultar parcialmente información (ejemplo: mostrar solo los últimos 4 dígitos de una tarjeta).
Agregación: combinar registros para que solo se vean valores estadísticos (ejemplo: “100 clientes con ingresos de 1.000–1.500 USD” en lugar de cada cliente individual).
Perturbación: modificar los datos añadiendo ruido o alterando algunos valores para que el conjunto global sea útil pero no identificable.
En banca y finanzas, lo recomendable es usar pseudonimización para entornos de producción (porque en ciertos casos puede ser necesario recuperar el dato real) y anonimización irreversible en entornos de pruebas, QA o compartición con terceros.
Estas técnicas permiten usar datos en análisis, pruebas o investigación sin comprometer la privacidad.
10.3 Qué indica la LOPDP en caso de vulneración de datos
La LOPDP establece que, en caso de una violación de seguridad de datos personales, el responsable del tratamiento debe:
Notificar a la Autoridad de Protección de Datos (Superintendencia de Protección de Datos en Ecuador) en un plazo razonable (generalmente no mayor a 5 días).
Informar a los titulares de los datos afectados sobre la naturaleza de la vulneración, riesgos potenciales y medidas adoptadas.
Adoptar medidas de contención inmediatas para mitigar el impacto del incidente.
En caso de incumplimiento, la ley contempla sanciones económicas que pueden llegar hasta el 1% de la facturación anual de la entidad, además de sanciones administrativas y civiles. En el sector financiero, la Superintendencia de Bancos también puede imponer medidas correctivas adicionales y restricciones operativas.
10.4 Implementación de la LOPDP en Entornos Financieros
Diagnóstico inicial (Gap Analysis): evaluar el estado actual de la organización frente a los requisitos de la LOPDP e identificar brechas.
Clasificación de datos personales: identificar datos sensibles, confidenciales y públicos (clientes, empleados, proveedores).
Definir el rol de Oficial de Protección de Datos (DPO): responsable de coordinar y supervisar el cumplimiento legal.
Política de tratamiento de datos personales: documento oficial que detalle cómo se recolectan, almacenan, procesan y eliminan datos.
Gestión de consentimientos: establecer mecanismos para obtener, registrar y auditar el consentimiento explícito de clientes.
Medidas técnicas de seguridad: cifrado, control de accesos, anonimización/pseudonimización, segmentación de bases de datos, respaldo y monitoreo.
Auditoría y trazabilidad: implementar sistemas de registro de accesos, modificaciones, transferencias y eliminaciones de datos.
Gestión de incidentes: establecer protocolos de notificación en caso de violación de seguridad de los datos.
Capacitación y concienciación: formar a empleados en buenas prácticas y obligaciones legales.
Monitoreo continuo y auditorías periódicas: verificar el cumplimiento y adaptar controles frente a cambios regulatorios.
Auditoría y trazabilidad Para cumplir la LOPDP y normativas internacionales (ISO 27701, PCI DSS):
Registro de accesos: todo acceso a datos sensibles debe generar un log con usuario, hora, IP y acción realizada.
Registro de modificaciones: debe quedar constancia de qué campos fueron modificados, por quién y cuándo.
Registro de transferencias: si los datos son compartidos con terceros, se debe registrar el destinatario, finalidad y fecha.
Registro de eliminación o anonimización: toda eliminación o anonimización debe quedar registrada para fines de trazabilidad.
Integración con SIEM: los registros deben consolidarse en una plataforma central para correlación y detección de anomalías.
Auditorías periódicas: la organización debe realizar revisiones internas y externas para validar que la gestión de datos se ajusta a la LOPDP.
10.5 Checklist de Protección de Datos y Cumplimiento Legal
| Elemento a Revisar | Detalle / Revisión | Área Responsable | Qué ocurre si no se cumple / Por qué es importante |
|---|---|---|---|
| Clasificación de la información | Identificar datos públicos, internos, confidenciales, sensibles y secretos. | Seguridad / Cumplimiento | Sin clasificación, no se aplican controles adecuados y aumenta el riesgo de fuga. |
| Cifrado de datos | Cifrar discos, bases de datos, respaldos y comunicaciones. | Seguridad / TI | Sin cifrado, datos sensibles pueden ser robados en texto plano. |
| Control de acceso | Aplicar RBAC y mínimo privilegio sobre información personal. | Seguridad | Sin control de accesos, cualquier usuario puede ver o modificar datos sensibles. |
| Anonimización y pseudonimización | Implementar técnicas de protección según finalidad (pruebas, estadísticas, producción). | TI / Seguridad | Sin técnicas de protección, datos reales pueden exponerse en entornos no seguros. |
| Consentimiento de clientes | Registrar y auditar el consentimiento para tratamiento de datos. | Cumplimiento / Legal | Sin consentimiento documentado, se incumple la LOPDP y se expone a sanciones. |
| Auditoría y trazabilidad | Logs de accesos, modificaciones, transferencias y eliminaciones. | SOC / Cumplimiento | Sin trazabilidad, no se pueden investigar incidentes ni demostrar cumplimiento. |
| Gestión de terceros | Establecer acuerdos de confidencialidad y auditorías de proveedores. | Cumplimiento / Seguridad | Sin control a terceros, proveedores pueden ser el eslabón débil en fuga de datos. |
| Respuesta a incidentes | Protocolo de notificación a autoridad y clientes, con medidas de mitigación. | Seguridad / Cumplimiento | Incumplir plazos de notificación implica sanciones legales y pérdida de confianza. |
10.6 Advertencia
El uso de Inteligencia Artificial (IA) en el sector financiero ofrece grandes beneficios en la detección de fraudes, análisis de riesgos y eficiencia operativa; sin embargo, también implica riesgos significativos en materia de protección de datos. La norma ISO/IEC 42001 establece que los sistemas de IA deben gestionarse bajo principios de transparencia, trazabilidad y respeto a la privacidad. Es fundamental aplicarla porque los modelos de IA pueden correlacionar información y llegar a reidentificar a los clientes incluso a partir de datos que fueron anonimizados. Si no se controla adecuadamente su uso, la institución se expone a violaciones de la LOPDP, sanciones regulatorias, demandas civiles y pérdida de confianza de clientes y reguladores. Por ello, el tratamiento de datos en IA debe estar limitado a lo estrictamente necesario, emplear tokenización o seudonimización, y asegurar que los algoritmos funcionen como sistemas de apoyo que generen alertas, manteniendo siempre la decisión final en manos de expertos humanos.