Seguridad de la Información y cumplimiento normativo en la SEPS

Por: Cristian Aguirre Director Nacional de Seguridad de la Información , SEPS

Para la Superintendencia de Economía Popular y Solidaria, SEPS, como un organismo de control es importante y mandatorio  cumplir con normativas externas esenciales y alinear a este cumplimiento a los procesos y consecución de objetivos institucionales.

En este sentido, nuestro compromiso se refleja no solo en la emisión de regulaciones para mantener la estabilidad en el sector financiero popular y solidario, sino también en la estricta observancia de las normativas superiores. Al respecto desde el punto de vista de seguridad de la información y normativas vigentes, destacan aquellas normativas como: la Ley Orgánica de Protección de Datos, LPDP; Ley Orgánica de Acceso a la Información Pública, LOTAIP, La Ley de Transformación Digital y Audiovisual, Ley de Comercio Electrónico, Firmas Electrónica y Mensajes de Datos, La Ley de Economía Popular y Solidaria, y el Código Monetario, entre otras.

Las normas en mención se han analizado y aplicado conforme a sus exigencias, sin embargo en este último tiempo han tenido especial atención por su impacto y la  temporalidad de cumplimiento la LPDP cuyo cumplimiento entró en vigencia en la parte sancionatoria  en mayo de 2023. y la Nueva LOTAIP que nos dio un plazo de 6 meses para su aplicación en ciertos cambios

Ante lo expuesto, la SEPS inicio ejecutando un proyecto interno que permita la implementación de la LPDP, identificando los procesos con tratamiento de datos personales analizando los riesgos a los que se exponen los mismos y el impacto que implicaría la aplicación de controles y normas para asegurar el tratamiento de estos datos de acuerdo a las exigencias de la normativa. Esto permitió priorizar  y articular la aplicación de los controles de acuerdo a las categorías establecidas en alto, medio y bajo; en el transcurso de dicha ejecución se emite la nueva LOTAIP; lo que exigió analizar la nueva normativa y encontrar los puntos que intersecan entre estas y reestructurar el proyecto.

Cabe mencionar que con esta nueva versión de la LOTAIP se implementaron cambios sustanciales, que van desde que información se debe exponer en los sitios web de las instituciones, los justificativos para solicitar información pública, la fundamentación que se debe cumplir para reservar información, entre otros cambios.

Adicionalmente esta Ley establece criterios específicos para diferenciar entre información catalogada como pública, confidencial y reservada.

Sobre la categorización de la información «reservada», la SEPS ha llevado a cabo un minucioso proceso de revisión de la información y de los procesos institucionales para la  aplicación de los siguientes cinco requisitos específicos establecidos en la Ley requisitos  como:

1. El señalamiento expreso de la norma legal que autoriza al sujeto obligado a realizar la clasificación de información pública como reservada;
2. El señalamiento expreso del derecho constitucional, el bien jurídico o el interés público que se busca proteger con la clasificación de información pública como reservada;
3. Un análisis de los riesgos o perjuicios que implicaría para el Estado, para la sociedad o los ciudadanos, la libre circulación de la información que se va a reservar;
4. El señalamiento expreso de las ventajas o beneficios que obtiene el Estado, la sociedad o los ciudadanos con la realización de la clasificación de la información pública como reservada, demostrando que existe proporcionalidad en la decisión de impedir el acceso a la información pública y los beneficios que esto implicará para el Estado o la sociedad; y,
5. El señalamiento expreso del tiempo que durará la reserva de la información pública, que en ningún caso será superior al tiempo que duren las causas legítimas que motivaron la reserva, ni por más tiempo que el que se ha establecido en la ley.

La LOTAIP dispone que luego de ejecutar los cinco pasos antes mencionados, se debe emitir una resolución con un “Índice temático de documentos catalogados como reservados, es decir un catálogo público de información institucional de documentos con restricciones de acceso al público en general. Como ente de control, se le prestó especial atención al punto “C” de la normativa, evaluando el riesgo de la información al ser expuesta y su afectación, de cierto modo, a la estabilidad del sector de la economía popular y solidaria. También hay que recordar el Código Monetario  también aplica ciertas reglas para información reservada.

En términos de seguridad de la información, Una vez que hemos identificado la información en sus diferentes categorías y poniendo  atención a las reservadas y confidenciales (datos personales),  implica que dicha información debe contar con un nivel adicional de seguridad y se deben aplicar, políticas, procedimientos y controles tanto internos como externos, sobre todo para garantizar la fluidez de la información sin entorpecer los procesos internos y por supuesto proteger el acceso a dicha información reservada.

Cabe señalar que la información considerada como reservada, no se encuentra bloqueada necesariamente, pues la normativa también establece quién tiene la autoridad para desclasificar dicha información.

Dentro de los esfuerzos para la implementación de la nueva LOTAIP, se encontraba el proyecto de implementación de la Ley de protección de datos, para el cual se buscó puntos que de intersección, aprovechando el trabajo desarrollado previamente. Así, se realizó un análisis detallado de los tipos de datos presentes en cada proceso y productos de la SEPS, identificando aquellos que correspondían a datos personales; además, se evaluó si la información clasificada con datos personales debía ser catalogada como reservada o pública. En el caso de que fuera catalogada como reservada, se implementaron controles adicionales; si se consideraba pública, se aplicaban, por ejemplo, controles de anonimización. Consentimiento informado, política de tratamiento de datos personales, guías  para ejercer los derechos ARCO, etc. De esta manera, se aseguró la adecuación de cada proceso a los requisitos establecidos tanto en nueva LOTAIP y la LPDP.

Considerando que la identidad digital es el conjunto de atributos que individualiza y permite identificar a una persona en entornos digitales, se ha trabajado  en la aplicabilidad de La ley de Transformación Digital en relación a la identidad digital.

Para esto las Entidades y Organizaciones  de la economía popular y solidaria a través del gerente reciben de la SEPS un usuario, una contraseña y se les crea  un casillero electrónico denominado “CASILLERO SEPS”   mediante el cual es posible conocer y autenticar a un individuo o entidad en el  entorno digital SEPS.

Para esto se ha reforzado nuestros controles de seguridad, siempre analizando el proceso, el riesgo y la protección de los datos de los usuarios, nuestro objetivo principal es cumplir y hacer cumplir con las normativas vigentes.

De esta manera, la SEPS se posiciona como una de las primeras en el sector público en cumplir con la LPDP, LOTAIP y Ley de Transformación Digital y Audiovisual. Pues ha superado las etapas de revisión por parte de la Dirección Nacional de Registro de Datos Públicos (DINARP) el ente estatal que tiene como competencias la revisión y control sobre el uso de los datos públicos. Los datos que utiliza la SEPS como organismo de control están en el ámbito de sus competencias, por lo en la revisión realizada por DINARP, se presentaron los procedimientos para garantizar el cumplimiento de la LPDP.

Asimismo, se proporcionó la información requerida por la normativa de LOTAIP a la Defensoría del Pueblo y se publicó  la resolución del índice temático en el Registro Oficial, en total concordancia con los requisitos legales.

Como último punto destacar que esta implementación no hubiese sido posible sin el apoyo de nuestra máxima autoridad, las autoridades y el equipo multidisciplinario que se formó para la consecución de los objetivos.