Los casos de seguridad informática dejaron de ser una rareza en Uruguay y muestran un crecimiento sostenido. Solo en 2025 se reportaron más de 42.000 casos, casi el triple que el año anterior, lo que confirma una tendencia al alza que preocupa tanto a nivel técnico como legal.
En ese contexto, la publicación de una nueva guía sobre gestión, documentación y comunicación de vulneraciones de datos personales, pone el foco en las obligaciones de empresas y organismos cuando se enfrentan a este tipo de episodios.
La abogada Giovanna Lorenzi, socia del Departamento Legal de KPMG, explicó en Informativo Carve de Cierre que no todo incidente de seguridad constituye una vulneración de datos personales. “Puede haber filtraciones de información que no identifiquen a una persona. Para que exista una vulneración en términos legales, tiene que verse afectada la confidencialidad, integridad o disponibilidad de datos personales, como nombre, cédula, domicilio o teléfono”, señaló.
Una vez detectado un incidente que involucre datos personales, la prioridad es contener el daño. Según Lorenzi, las primeras 24 horas son clave para minimizar el impacto. “Hay que actuar rápido. Aislar sistemas, revocar accesos, cerrar vulnerabilidades. Esto exige que la organización tenga un protocolo previamente definido, porque improvisar en ese momento suele agravar la situación”, advirtió.
Desde el punto de vista legal, las empresas tienen la obligación de notificar a la Unidad Reguladora y de Control de Datos Personales cuando ocurre una vulneración.
El plazo es de 72 horas desde que se toma conocimiento del incidente. Además, si se determina que hubo una afectación significativa, por ejemplo, exposición de datos financieros o de salud, también se debe informar a los titulares de esos datos.
“Las personas tienen derecho a saber qué pasó, qué información quedó comprometida, qué riesgos existen y qué medidas pueden tomar”, explicó Lorenzi.
El incumplimiento de estas obligaciones puede derivar en sanciones que van desde apercibimientos hasta multas de hasta 500.000 unidades indexadas (unos 80.000 dólares).
En casos graves, incluso se puede disponer la suspensión o clausura de la base de datos, además de eventuales demandas por daños y perjuicios por parte de los afectados.
Entre los errores más comunes, Lorenzi mencionó la falta de control sobre las bases de datos existentes, debilidades en las medidas de seguridad y la ausencia de planes de respuesta. “Muchas veces ni siquiera se sabe cuántas bases de datos se manejan dentro de una organización. Tampoco hay cultura de seguridad, se usan contraseñas débiles, falta de doble autenticación o ausencia de controles”, indicó.
La normativa también prevé herramientas preventivas, como la evaluación de impacto en la protección de datos, especialmente obligatoria cuando se manejan datos sensibles.
Esto implica analizar todo el ciclo de vida de la información, identificar riesgos y definir medidas para mitigarlos, particularmente en casos que involucren datos de salud, biométricos, financieros o de perfilamiento.
El avance de tecnologías como la inteligencia artificial añade complejidad al problema. “Hoy es más fácil suplantar identidades, clonar voces o generar engaños sofisticados para acceder a información”, advirtió Lorenzi.
En ese escenario, el desafío ya no es evitar completamente los incidentes, cada vez más probables, sino estar preparados para responder con rapidez, transparencia y responsabilidad.
Escuchá la entrevista completa.
En Soundcloud:
En Spotify:
