Home Concientización Incumplimiento en la notificación de incidentes de ciberseguridad en el mercado de...

Incumplimiento en la notificación de incidentes de ciberseguridad en el mercado de capitales

Por Daniel Monastersky, Socio en Data Governance Latam y Director del Centro de Estudios en Ciberseguridad y Protección de Datos (CECIB) de la Universidad del CEMA.

Desde 2017, la Resolución 704 de la Comisión Nacional de Valores establece la obligación de notificar incidentes de ciberseguridad al regulador. Sin embargo, esta normativa crucial no ha tenido la difusión adecuada, poniendo en riesgo la seguridad del mercado de capitales.

En agosto de 2017, la Comisión Nacional de Valores (CNV) de Argentina emitió la Resolución General 704/2017, adoptando estándares internacionales y recomendaciones de la Organización Internacional de Comisiones de Valores (IOSCO) en materia de ciberseguridad y resiliencia cibernética. Esta normativa reconoce los riesgos sistémicos derivados de la interconexión de las infraestructuras críticas del mercado de capitales y establece obligaciones específicas de notificación de incidentes.

A más de cinco años de su entrada en vigencia, la Resolución 704/2017 no ha tenido la difusión y concientización adecuadas, a pesar de su crucial importancia para la seguridad del ecosistema financiero argentino. Esta falta de visibilidad puede llevar a un incumplimiento generalizado de las obligaciones de notificación, dejando al regulador en la oscuridad ante potenciales amenazas e incidentes cibernéticos.

Según lo establecido en los Artículos 84, 104 y 105 de la resolución, las empresas bajo la órbita de la CNV deben notificar cualquier vulnerabilidad o incidente sospechado tanto a nivel interno como al ente regulador. Además, deben colaborar brindando información en caso de incidentes con otras partes interesadas para facilitar las tareas forenses.

El incumplimiento de estas obligaciones de notificación puede acarrear sanciones por parte de la CNV, pero más allá de las consecuencias legales, representa un riesgo latente para la integridad y confianza en el mercado de capitales argentino.

Por otro lado, la Resolución 40/2018 de la Agencia de Acceso a la Información Pública (AAIP) establece una política modelo de Protección de Datos Personales para Organismos Públicos, incluyendo la figura del Delegado de Protección de Datos (DPD).

La CNV, aunque no dependa del Estado de forma directa al ser un ente autárquico bajo la órbita del Poder Ejecutivo Nacional, cumple funciones de organismo público regulador y contralor del mercado de capitales argentino.

Hasta el momento, ningún organismo público ha implementado esta figura clave para garantizar el cumplimiento efectivo de la normativa de protección de datos.

La ausencia del DPD en los organismos públicos representa una grave falencia en el compromiso de las autoridades con la protección de los datos de los ciudadanos, especialmente en un contexto de reiterados incidentes de seguridad y filtraciones de información sensible.

Es urgente que las autoridades competentes tomen medidas concretas para implementar la figura del DPD en todos los organismos públicos del país y, al mismo tiempo, generen una campaña de concientización y capacitación para garantizar el cumplimiento de la Resolución 704/2017 en el sector privado bajo la órbita de la CNV.

La notificación de incidentes de ciberseguridad al regulador es una obligación legal que no puede seguir siendo ignorada. La confianza en el mercado de capitales argentino y la protección de los datos de los ciudadanos dependen de un compromiso real con la seguridad de la información y el cumplimiento efectivo de las normativas vigentes.

Artículos de la Resolución General 704-E/2017 de la CNV que hacen mención a la obligación de notificación de incidentes ante el regulador:

Artículo 84: “Se debe requerir a los empleados y contratistas usuarios de los sistemas de información de la organización, que informen cualquier vulnerabilidad de seguridad de la información observada o sospechada en sistemas o servicios.”

Artículo 104: “En el caso de que alguna de las partes interesadas detecte una amenaza o situación que pueda afectar a la integridad, disponibilidad o confidencialidad de la información en la plataforma de interconexión, deberá dar un aviso al ente regulador, utilizando el canal de contacto establecido anteriormente.”

Artículo 105: “En caso de ocurrencia de incidentes, las partes interesadas involucradas deben colaborar solidariamente brindando información que pueda servir para tareas forenses.”