8:00 - 19:00 Our Opening Hours Mon. - Fri. 975.789.098 Call Us For Free Consultation Twitter RSS Search Menu
  >  Artículos   >  El marco legal de la ciberseguridad: preparando tu empresa para la protección de datos personales

El marco legal de la ciberseguridad: preparando tu empresa para la protección de datos personales

La transformación digital ha convertido a los datos en el insumo estratégico por excelencia. Para las empresas que operan en República Dominicana, proteger esa información ya no es solo una cuestión tecnológica: es, sobre todo, una obligación legal. El país cuenta con un marco normativo que combina reglas de protección de datos, delitos informáticos, ciberseguridad y validez jurídica de las transacciones digitales. Conocerlo -y traducirlo en políticas internas, controles y contratos- es la diferencia entre una operación confiable y una exposición a sanciones, litigios y pérdida reputacional.

ciberseguridad

Ley 172-13: Protección de Datos de Carácter Personal

El eje de ese marco es la Ley No. 172-13 sobre Protección de Datos de Carácter Personal, cuyo objeto es garantizar la tutela integral de los datos personales y los derechos de sus titulares. La norma fija principios esenciales (licitud, calidad, información, consentimiento, seguridad y deber de secreto) y exige a los responsables del tratamiento adoptar medidas técnicas, organizativas y de seguridad para evitar alteración, pérdida o acceso no autorizado a los datos.

Cumplimiento y documentación

También impone deberes de cumplimiento, como mantener un manual interno de políticas y procedimientos, permitir  el acceso solo a quienes corresponda y tramitar consultas y reclamos de los titulares (ARCO/hábeas data).

En la práctica, esto significa que cualquier empresa que recolecte, almacene o procese datos personales en el país debe documentar su ciclo de tratamiento, justificar finalidades y bases de legitimación, obtener consentimientos cuando sean necesarios, y mantener evidencias de todo lo anterior.

La Ley 172-13 reconoce, además, el derecho a la rectificación, actualización, supresión y hábeas data, con plazos cortos de respuesta y la posibilidad de accionar judicialmente ante incumplimientos. Estos derechos obligan a tener procedimientos claros y trazables para atender solicitudes de personas físicas.

Un punto especialmente sensible es la transferencia internacional de datos. La 172-13 define y regula el movimiento de información personal fuera del territorio dominicano: requiere consentimiento del titular o que concurra alguna de las bases previstas por la propia ley (por ejemplo, ejecución contractual, salud pública, cooperación internacional o cumplimiento de tratados).

Si su operación usa nube, centros de datos o plataformas ubicadas en terceros países, esta verificación no es optativa: debe estar prevista en la matriz de cumplimiento y en las cláusulas contractuales con proveedores.

Preguntas claves para evaluar el cumplimiento de la Ley 172-13

  • ¿Cuenta su empresa con el consentimiento informado de los titulares de los datos?
  • ¿Sus términos explican de forma clara el uso de tecnologías automatizadas?
  • ¿están sus contratos con terceros que procesan datos personales alineados con los requisitos de la Ley 172-13 y/0 del Reglamento General de Protección de Datos (GDPR)?
  • ¿Capacitan regularmente a su personal sobre la protección de datos y cumplimiento con la Ley 172-13?

Ley 53-07: crímenes y delitos tecnológicos

A la par, la Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología tipifica conductas que suelen estar presentes en incidentes de ciberseguridad: acceso ilícito a sistemas, interceptación de datos o señales, daño o alteración de datos y sabotaje, entre otras, con sanciones penales y multas.

Si un tercero irrumpe en la red corporativa o un empleado excede su autorización para sustraer información, la empresa no solo afronta el incidente operativo: también está frente a un posible delito con consecuencias para los autores y, eventualmente, responsabilidades para la organización si hubo negligencia en sus controles. Incorporar esta dimensión penal en el plan de respuesta a incidentes es indispensable.

Ley No. 126-02: Comercio Electrónico, Documentos y Firma Digital

El tercer pilar es la Ley No. 126-02 sobre Comercio Electrónico, Documentos y Firma Digital, que otorga validez jurídica a los mensajes de datos y firmas digitales siempre que cumplan requisitos de integridad y autenticidad.

Más allá de la contratación electrónica, esto habilita esquemas de prueba de cumplimiento: políticas y consentimientos firmados digitalmente, bitácoras inmutables, evidencias de auditoría y notificaciones fehacientes. En otras palabras, no basta con cumplir: hay que poder demostrar que se cumplió.

¿Cómo aterrizar obligaciones legales en un programa de ciberseguridad y privacidad que funcione en la vida real?

  • Gobierno y roles. Designe formalmente a un responsable del tratamiento y un comité de seguridad y privacidad con autoridad para aprobar políticas, gestionar riesgos y coordinar incidentes. Documente la matriz RACI para cada proceso que involucre datos personales (recolección, almacenamiento, acceso, transferencia y eliminación). La Ley 172-13 exige manuales y controles; su ausencia se nota de inmediato en auditorías o litigios.
  • Inventario y clasificación de datos. Mapee sistemas, flujos y bases de datos (on-premise y nube), identifique categorías especiales y minimice lo no necesario. Etiquete por sensibilidad y defina medidas proporcionales: cifrado en tránsito y reposo, control de accesos basado en roles, segregación de ambientes y retención con borrado seguro.
  • Bases de tratamiento y consentimiento. Vincule cada tratamiento a su base legal (consentimiento expreso, ejecución contractual, obligación legal u otra exención prevista). Cuando use consentimiento, que sea libre, específico e informado, y guarde evidencia verificable.
  • Derechos del titular. Establezca un procedimiento de atención de derechos con SLAs: recepción, verificación de identidad, evaluación, respuesta y registro. La ley prevé plazos breves y la posibilidad de accionar hábeas data; incumplirlos abre exposición judicial.
  • Seguridad por diseño. La 172-13 impone medidas técnicas y organizativas; traduzca esto en controles concretos: gestión de vulnerabilidades, Autenticación Multifactor (MFA), segmentación de red, hardening, registro y monitoreo, pruebas de penetración periódicas, y evaluación de proveedores críticos. Capacite al personal y ejecute campañas de phishing simulado para reducir el riesgo humano.
  • Contratos con encargados. Todo proveedor que trate datos por cuenta de la empresa debe estar sujeto a acuerdos de encargo de tratamiento, con cláusulas de seguridad, subencargos, auditoría, cooperación en derechos del titular y transferencias internacionales cuando apliquen.
  • Evidencia electrónica. Use capacidades de firma digital y conservación íntegra de mensajes de datos para respaldar consentimientos, notificaciones y logs. Esto reduce incertidumbre probatoria ante disputas regulatorias o judiciales.
  • Respuesta a incidentes. Defina un plan de gestión de incidentes que considere vectores tipificados por la Ley 53-07 (acceso ilícito, daño, interceptación). Incluya criterios de severidad, preservación forense, comunicación a clientes y coordinación con autoridades competentes cuando haya indicios de delito. Aunque la 172-13 no establece un régimen general de notificación obligatoria de brechas, el deber de seguridad y el riesgo penal hacen aconsejable comunicar de forma transparente y oportuna a los afectados cuando exista probabilidad de daño.
  • Transferencias y nube. Antes de almacenar datos fuera del país o utilizar servicios globales, verifique que la transferencia encaje en alguno de los supuestos permitidos (consentimiento, ejecución contractual, salud pública, tratados o cooperación). Documente la evaluación y refleje obligaciones en el contrato.
  • Mejora continua. Audite el programa al menos una vez al año o tras cambios relevantes (nuevas apps, integraciones, mercados). La seguridad y el cumplimiento no son un proyecto, son un proceso permanente.

Conclusión

La ciberseguridad bien gobernada agrega valor: reduce pérdidas operativas, facilita alianzas con socios globales y fortalece la confianza del mercado. En República Dominicana, cumplir no es solamente evitar sanciones; es crear una ventaja competitiva sostenible soportada por un marco legal que protege a las personas y también a los negocios que hacen las cosas bien. La ruta está clara: entender la Ley 172-13 y sus principios y deberes; anticipar la dimensión penal de la 53-07 en su plan de incidentes; y consolidar evidencia jurídica con la 126-02.

 

 

by
Artículos
0

Related Posts

by
by
by
by