La Comunicación “A” 8280/2025 del Banco Central de la República Argentina actualizó los Lineamientos para la Respuesta y Recuperación ante Ciberincidentes (en adelante, los “Lineamientos”).
La versión original de los Lineamientos, publicada en abril de 2021, estableció una serie de prácticas de respuesta y recuperación ante ciberincidentes con el fin de limitar los riesgos en la estabilidad financiera e impulsar la ciberresiliencia del ecosistema en su conjunto.
Estos lineamientos aplican de forma obligatoria a tres clases de entidades: a) bancos, b) proveedores de servicios de pago, como billeteras virtuales, agregadores o facilitadores de pago, y c) infraestructuras del mercado financiero conocidas como sistemas de pago de importancia sistémica, como la cámara compensadora electrónica.
Uno de los aspectos más relevantes de la nueva comunicación que actualiza los Lineamientos es la incorporación de una obligación expresa para las entidades alcanzadas de notificar los ciberincidentes al BCRA. En su nueva versión, los Lineamientos también detallan que dentro de los ciberincidentes a notificar estarán aquellos que impliquen la pérdida o divulgación no autorizada o fraudulenta de datos críticos o confidenciales de los clientes.
Según la norma, la notificación inicial debe realizarse dentro de la primera hora desde que el incidente ocurra o sea detectado, aportando toda la información disponible en ese momento. Posteriormente, la entidad afectada deberá enviar actualizaciones periódicas que incluyan el detalle de las tareas y planes de remediación aplicados, y actualizar acerca de toda otra acción realizada hasta su normalización. Por último, con posterioridad a la contención, recuperación y resolución del incidente, la entidad deberá preparar un reporte final y enviarlo dentro de un plazo de 5 días corridos, indicando el análisis y estado de avance en la resolución de la causa que originó el ciberincidente.
Cabe señalar que la versión original de los Lineamientos ya preveía la obligación de notificación de los ciberincidentes, tanto a las autoridades como al público. Sin embargo, la nueva comunicación también menciona que, en caso de corresponder, la entidad deberá notificar a los terceros afectados. Respecto de la notificación al público, los Lineamientos recomiendan contar con una estrategia previamente definida e involucrar a distintas áreas, como comunicación, legales, tecnología y ciberseguridad, aunque no se establecen mayores precisiones o plazos concretos en los Lineamientos ni en su versión original ni en su versión actualizada.
A diferencia de legislaciones más modernas, como las de la Unión Europea, Brasil y Chile, esta última aún pendiente de entrada en vigor, la Ley de Protección de Datos Personales de Argentina no contempla la obligación de notificar estos incidentes ni a las autoridades ni a los titulares. Sin embargo, la autoridad de protección de datos local ha publicado guías en las que recomienda que, ante incidentes de seguridad que puedan comprometer datos personales, las empresas tomen acciones para mitigar los daños, elaboren informes sobre lo ocurrido y los remitan a la autoridad.
Además, el Convenio 108+, del cual Argentina es parte, establece que los Estados adherentes deberán disponer que las filtraciones de datos que puedan afectar gravemente los derechos y libertades fundamentales de las personas sean notificadas a las autoridades. Dado que faltan pocas ratificaciones para la entrada en vigor del Convenio, en los próximos años, las entidades sujetas al control del BCRA no serán las únicas obligadas a notificar incidentes.
En este sentido, resulta interesante que los Lineamientos, si bien están destinados a los sujetos obligados indicados más arriba, por su carácter general, pueden ser también adaptados y adoptados como buena práctica por otros actores del ecosistema financiero (como proveedores de servicios de tecnología de entidades financieras) e incluso por los demás sectores de la economía digital. En este sentido, la adopción de este tipo de prácticas es una forma en la que las diferentes entidades de la economía digital pueden comenzar a prepararse, de cara a las futuras obligaciones que acarreará la entrada en vigor del Convenio 108+.
Byline: Gabriela Szlak es abogada, socia directora de la firma Lerman & Szlak y copresidente del capítulo KnowledgeNet de la IAPP en Buenos Aires.
