La República Dominicana tiene décadas procurando insertar en su ordenamiento jurídico disposiciones normativas relativas a la seguridad y el buen uso de las telecomunicaciones y las tecnologías de la información las cuales, lógicamente, se han ido adaptando con el devenir del tiempo. De hecho, hoy día, nuestro país se considera como un “referente de ciberseguridad regional”, en virtud de los grandes avances que se han materializado en la materia en estos últimos años. A continuación, plantearemos algunas reflexiones acerca del marco regulatorio general de la seguridad cibernética y de la información en República Dominicana (i) y, sobre el recientemente entrado en vigencia Reglamento de Seguridad Cibernética y de la Información de la Junta Monetaria (ii). A saber:

  1. Marco regulatorio general de la seguridad cibernética y de la información en República Dominicana

La primera ley de telecomunicaciones de la República Dominicana, la Ley No. 118, promulgada en fecha 1 de febrero de 1966 y que hoy se encuentra derogada, contenía varias disposiciones relativas a garantizar la seguridad en ese ámbito. Por ejemplo: en su artículo 16 se estableció la prohibición expresa de la interceptación, divulgación de noticias, mensajes o informes destinados al público sin autorización; en el artículo 40 se establecía la prohibición expresa de divulgar, publicar o aprovechar sin derecho, para sí o para terceras personas, no autorizadas, la existencia, contenido, objeto, efecto o significado, en todo o en parte, de las telecomunicaciones que se escuchan o capten en cualquier forma, por cualquier medio; en su artículo 93 ordenaba a los operadores técnicos de estaciones de radiocomunicación a mantener secreto absoluto sobre las noticias o mensajes no dirigidos a ellos, que casual o intencionalmente oyeren, y a no intervenir maliciosamente ninguna transmisión o señal de radio; y, el artículo 110 consagraba expresamente lo siguiente: “Se prohíbe la transmisión por telecomunicaciones contrarias a la seguridad del Estado, el orden público, a la concordia internacional, a la moral o a las buenas costumbres; o que tengan por objeto cometer delitos contra las personas o contra la propiedad o entorpecer la acción de la justicia”.

En fin, la Ley No. 118 sobre Telecomunicaciones ordenaba a las personas en general y a los actores del sector de las telecomunicaciones en la República Dominicana a utilizar/prestar dichos servicios ajustados siempre a los mandatos de la Constitución, las leyes, los reglamentos pertinentes (art. 50, Ley No. 118 de Telecomunicaciones) y de los tratados o convenios internacionales suscritos por la República Dominicana en este ámbito (artículos 42 y 92, Ley No. 118 de Telecomunicaciones). Lo contrario implicaba la interposición de sanciones penales en casos como los siguientes: violación al secreto de las comunicaciones (Art. 122); casos en el que voluntariamente se cometiera falsedad en el despacho de mensajes telegráficos o telefónicos (Art. 123); contra toda persona que, por cualquier medio, interceptara o tratara de interceptar el contenido de los despachos que se transmitían por el servicio telegráfico y telefónico, así como la divulgación de la información obtenida de ese modo (Art. 125); contra toda persona que redactara o depositara en la oficina de telégrafos algún mensaje de los prohibidos en el art. 110, así como el empleado que a sabiendas lo transmitiera o entregara a su destinatario (Art. 126); contra todo aquel que utilizara el telégrafo o el teléfono para difundir noticias falsas con el propósito de perjudicar, defraudar o engañar a alguna persona o al público y al empleado que conociendo de la falsedad le diera curso a dicha comunicación (Art. 127); entre otras.

Después, fue dictada la Ley No. 153-98, General de Telecomunicaciones, promulgada en fecha 27 de mayo de 1998. Esta normativa derogó la precitada Ley No. 118 de Telecomunicaciones y estableció disposiciones un tanto más generales y abstractas con relación al mantenimiento de la seguridad en el ámbito de las telecomunicaciones. En ese sentido, el artículo 5 de la mencionada ley consagra el principio del secreto y la inviolabilidad de las comunicaciones e informaciones y datos transmitidos mediante los servicios de telecomunicaciones. Por otra parte, el artículo 6 de la misma ley establece expresamente que: “Se prohíbe el uso de las telecomunicaciones contrario a las leyes o que tenga por objeto cometer delitos o entorpecer la acción de la Justicia.” Y, el artículo 105 de la misma norma, en sus literales j) y k), respectivamente, considera como falta muy grave “[l]a intercepción sin autorización de las telecomunicaciones no destinadas al público en general (…) [y] (…) [l]a divulgación del contenido, existencia, publicación o cualquier otro uso, sin autorización, de toda clase de información obtenida mediante la intercepción o recepción de aquellas comunicaciones que no estén destinadas al público en general (…)”

Más adelante, y, de hecho, tomando como una de sus bases fundamentales al precitado artículo 6 de la Ley No. 153-98, fue promulgada en fecha 23 de abril de 2007 la Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología. Esta Ley dio un espaldarazo importante a la ciberseguridad en República Dominicana por consistir en un marco jurídico especializado que introdujo disposiciones relevantes, concretas y especialmente ajustadas para la prevención, persecución y la imposición de sanciones contra la comisión de crímenes y delitos perpetrados en el ámbito de las tecnologías de la información y comunicación. Resaltamos que la Ley No. 53-07 en sus Considerandos, hace referencia a la Resolución AG/RES. 2004 (XXXIV-0/04) de la Asamblea General de la Organización de Estados Americanos (OEA) de fecha 8 de junio de 2004, para la Adopción de una Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética, en la que se resolvió “[a]doptar la Estrategia Interamericana Integral de Seguridad Cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de seguridad cibernética (…)”. Dicha Resolución AG/RES. 2004 (XXXIV-0/04) consagra el compromiso de los países miembro de la OEA de “fomentar una cultura de seguridad cibernética que disuada el uso indebido de la Internet y los sistemas de información asociados e impulse el desarrollo de redes de información que sean de confianza y fiables [lo cual se acordó que se llevaría a cabo] por medio de las acciones de los Estados Miembros y las iniciativas que emprenderán el CICTE, la CITEL, y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA (…)”.  Esto denota el interés de la República Dominicana de ajustar su ordenamiento jurídico interno a las mejores prácticas internacionales en materia de ciberseguridad.

Luego, el Poder Ejecutivo dictó en fecha 16 de septiembre del 2016 el Decreto No. 258-16. Mediante este decreto fue creado el Programa República Digital, consistente en un “conjunto de políticas y acciones que promueven la inclusión de las tecnologías de la información y comunicación en los procesos productivos, educativos, gubernamentales y de servicios a los ciudadanos” (Art 1, Decreto No. 258-16). Este Programa de República Digital cuenta con cuatro componentes estratégicos fundamentales (Educación; Acceso; Productividad y Empleo; y, Gobierno Digital, Abierto y Transparente) y dos ejes transversales, uno de los cuales es, precisamente, la Seguridad Cibernética.

Posteriormente, en fecha 19 de junio de 2018, el Poder Ejecutivo dictó el Decreto No. 230-18 con el objeto de “establecer y regular la Estrategia Nacional de Ciberseguridad 2018-2021” (Art. 1, Decreto No. 230-18), a los fines de incorporar “los mecanismos de ciberseguridad adecuados para la protección del Estado, sus habitantes y, en general, del desarrollo y la seguridad nacional”. Mediante el referido Decreto se ordena la creación del Centro Nacional de Ciberseguridad, presidido por el Ministerio de la Presidencia. Según los considerandos del mencionado decreto, el mismo fue dictado partiendo de varios fundamentos, entre los cuales destacamos los siguientes:

  • El derecho a la intimidad está consagrado como un derecho fundamental en nuestra Constitución, cuyo ámbito de aplicación incluye la inviolabilidad del secreto de la comunicación telegráfica, telefónica, cablegráfica, electrónica, telemática o la establecida en otro medio, salvo cuando sea mediante autorizaciones otorgadas por un juez o autoridad competente, de conformidad con la ley.
  • La alta incidencia de las telecomunicaciones y las tecnologías de la información y la comunicación (TIC) en el desarrollo de las actividades económicas, sociales y gubernamentales, hace imprescindible la adopción de medidas que garanticen la protección de los activos críticos de información del Estado y la seguridad de la información por parte de las instituciones públicas y privadas y demás sectores que han incorporado el uso de estas tecnologías, razón por la cual el Estado dominicano en el proceso de desarrollo y crecimiento de las políticas y estrategias integrales que propician el uso extensivo e incluyente de las TIC, ha entendido la necesidad de establecer mecanismos eficientes que respondan a las nuevas y graves amenazas que surgen a través de estas.
  • En el mencionado Decreto se recuerda que el Programa República Digital, creado mediante Decreto No. 258-16, del 16 de septiembre de 2016, tiene como eje transversal la ciberseguridad para el desarrollo de un Estado digital.
  • Se indica que el Estado es el responsable de crear un entorno seguro y fiable en el ciberespacio, como eje transversal del esquema de seguridad y defensa nacional preestablecido.
  • Se destaca que la ciberseguridad constituye la garantía para que los Estados salvaguarden sus infraestructuras críticas y el derecho de sus habitantes de utilizar las TIC de manera segura y confiable, basándose en la colección de herramientas, dispositivos, regulaciones y mejores prácticas para proteger el ciberespacio y los activos de los usuarios y organizaciones.
  • De nuevo y al igual que en la Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología, se toma como referencia que la Comisión Interamericana de Telecomunicaciones (CITEL), el Comité Interamericano contra el Terrorismo (CICTE) y la Reunión de Ministros de Justicia o Procuradores Generales de las Américas (REMJA) elaboraron una estrategia hemisférica para la seguridad cibernética en la región, conforme a lo dispuesto por la Resolución AG/RES.2004 (XXXIV-0/04) de la Asamblea General de la Organización de Estados Americanos (OEA), del 8 de junio de 2004.
    • Se indica que mediante la Resolución No. 158-12 del Congreso Nacional, de fecha 11 de junio de 2012, el Estado dominicano ratificó el Convenio sobre la Cibercriminalidad, suscrito en Budapest el 23 de noviembre de 2001. Este es un tratado que, si bien fue impulsado principalmente por los Estados miembros del Consejo de Europa, se ha situado como uno de los instrumentos de referencia en la materia a nivel global. El Convenio de Budapest sobre Ciberdelincuencia consagra un marco para el establecimiento de “una política penal común con objeto de proteger a la sociedad frente a la ciberdelincuencia, en particular mediante la adopción de una legislación adecuada y la mejora de la cooperación internacional” (apartado I.b del Convenio). De manera concreta, se considera que el Convenio de Budapest sobre Ciberdelincuencia “es necesario para prevenir los actos que pongan en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, garantizando la tipificación como delito de dichos actos, tal como se definen en el [referido Convenio], y la asunción de poderes suficientes para luchar eficazmente contra delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones materiales que permitan una cooperación internacional rápida y fiable (…)”, tal y como se indica expresamente en el Preámbulo de dicho instrumento internacional.

II.El Reglamento de Seguridad Cibernética y de la Información de la Junta Monetaria

Aunado a lo anterior, consideramos importante destacar que las autoridades de una de las infraestructuras críticas del Estado dominicano, concretamente del sistema monetario y financiero de la nación, ha dictado un cuadro normativo específico para atender los asuntos de ciberseguridad. La Junta Monetaria aprobó en fecha 1 de noviembre de 2018, mediante la Resolución JM 181101-02, el Reglamento de Seguridad Cibernética y de la Información (el Reglamento). Este Reglamento fue dictado “en consonancia con los esfuerzos realizados por el Estado dominicano para fortalecer las capacidades nacionales en esa materia, conforme las disposiciones establecidas en el Decreto No. 258-16 que crea el Programa de República Digital, de fecha 16 de septiembre del 2016 y, el Decreto No. 230-18 que define y regula la Estrategia Nacional de Ciberseguridad 2018-2021, de fecha 19 de junio de 2019” y como una “respuesta a los incidentes de seguridad cibernética acaecidos en los sistemas monetarios y financieros de otras economías del mundo, cuyos efectos y consecuencias han elevado la prioridad dad a este tema a nivel internacional. Igualmente, debido a la digitalización e interconexión acelerada de todos los servicios y sistemas financieros, se requiere establecer mecanismos de protección de la información, que es su activo principal, para evitar acceso y uso ilegal de la misma, así como de la infraestructura tecnológica que soporta la operatividad de dichos servicios y sistemas”.

Del Reglamento se pueden extraer varias cuestiones muy interesantes, por ejemplo:

  1. El Reglamento contiene disposiciones de carácter vinculante (de obligatorio cumplimiento) no solo para las entidades de intermediación financiera (EIF´s) en general, sino también para las Administradoras de Sistemas de Pago y Liquidación de Valores; Participantes del Sistema de Pagos de la República Dominicana (SIPARD) autorizados por la Junta Monetaria; así como cualquier otro tipo de entidad del SIPARD, que la Junta Monetaria autorice en el futuro y a las entidades de apoyo y servicios conexos vinculadas a la intermediación financiera, que funcionen “mediante el mantenimiento de una conexión electrónica o el intercambio de información esencial, a través de cualquier medio digital, en la medida en que dicha vinculación pueda comprometer los objetivos del SIPARD”. Esto significa que las empresas tecnológico-financieras (o sea, empresas que aplican la tecnología en la prestación de facilidades, servicios y productos financieros), mejor conocidas como FinTech´s, que se desempeñen en el ámbito de los sistemas de pagos, tienen en este Reglamento disposiciones de obligatorio cumplimiento de gobernanza corporativa y de gestión de riesgos tecnológicos. Por lo que este Reglamento puede considerarse como uno de los primeros instrumentos de regulación especial de las FinTech´s en República Dominicana.
  2. El riesgo tecnológico debe tratarse y evaluarse adecuadamente, o sea, que debe ser correctamente identificado, medido, gestionado y mitigado. El riesgo tecnológico es uno de los tantos elementos a tomar en consideración en la gestión integral de riesgos, por ende, se consideraría como una buena práctica de gobierno corporativo que en ocasión de grupos o conglomerados financieros, la implementación del Reglamento y, concretamente, el diseño y ejecución del Programa de Seguridad Cibernética y de la Información, así como de las políticas internas complementarias, se hagan de manera consolidada, que tengan alcance hacia todas las filiales y subsidiarias del grupo financiero de que se trate, bajo la supervisión de la casa matriz o holding. En adición, el artículo 14 del Reglamento indica que las entidades obligadas “deben procurar, de manera periódica, la gestión de riesgos tecnológicos a las entidades interconectadas con las que actualmente mantengan relación contractual” debiendo proceder a la “desconexión” cuando la evaluación de riesgo tecnológico realizada de un resultado no satisfactorio.
  3. Que las EIF´s y demás entidades sujetas al ámbito de aplicación del Reglamento, deberán crear una estructura gerencial y funciones de control de Seguridad Cibernética y de la Información. En otras palabras, el Reglamento impone una estructura de gobierno corporativo que responda, específicamente, a los aspectos de Ciberseguridad. El Reglamento exige la existencia de un Comité en la materia, que reporte directamente al Consejo de Directores de la entidad obligada de la que se trate (que podría ser el mismo Comité de Gestión Integral de Riesgos u otro comité similar que se tenga en funcionamiento), dirigido por un alto ejecutivo designado por el Consejo de Directores (ver las funciones de este comité en el artículo 9 del Reglamento); contar con una unidad funcional especializada en Seguridad Cibernética y de la Información; y, contar con un Oficial de Seguridad Cibernética y de la Información (el cual debe ser una persona distinta al alto ejecutivo que sea designado por el Consejo para dirigir el Comité de Seguridad Cibernética y de la Información), quien deberá reportarse ante el CEO de la empresa y que participará como miembro en el Comité de Seguridad Cibernética y de la Información. Las responsabilidades del Oficial de Seguridad Cibernética y de la Información se enumeran en el artículo 11 del Reglamento.
  4. El Consejo de Directores de las EIF´s y demás entes sujetos al Reglamento, están llamados a aprobar un Programa de Seguridad Cibernética y de la Información, constituido por el conjunto de “políticas, estrategias y actividades que las entidades deben documentar, desarrollar e implementar, a fin de cumplir las disposiciones y requerimientos establecidos” en el Reglamento (Art. 5, literal bbb) Así las cosas, las entidades sujetas al Reglamento deberán contar con una “política general o varias políticas segregadas que contemplen los aspectos, procesos y procedimientos para la gestión de la Seguridad Cibernética y de la Información, debiendo dar a conocer dichas políticas a sus colaboradores.” (Art. 16, del Reglamento) Pero más aún, los miembros del Consejo de Directores están llamados a comprender muy bien los pormenores de la gestión del riesgo tecnológico, a la luz de las disposiciones del Reglamento, por lo que resulta absolutamente necesario que estos temas se incluyan en los programas de capacitación continua de los consejeros, cumpliendo así con los requerimientos de la Superintendencia de Bancos en cuanto a los aspectos de idoneidad y capacidad que exige el “Instructivo de Idoneidad”, contenido en la Circular SIB No. 010/2017, publicada el 4 de diciembre de 2017.
  5. Las entidades obligadas a cumplir con el Reglamento no pueden pretender contentarse con simplemente elaborar una retahíla de documentos relativos a la Seguridad Cibernética y de la Información. No se trata de realizar un mero check list de “políticas aprobadas” en ciberseguridad. Y es que la implementación adecuada del Reglamento implica un asunto mucho más complejo: crear una “Cultura de Seguridad Cibernética y de la Información”. Es decir, el Programa y las Políticas internas de Seguridad Cibernética y de la Información deben permear todo lo largo y ancho de la entidad (o grupo financiero) de que se trate, lo que significa que dichos contenidos deben comprenderse e interiorizarse a todos los niveles (muy especialmente por el Consejo de Directores, que son los que tienen la responsabilidad última de supervisión y quienes trazan el apetito al riesgo tecnológico) y crear una costumbre, un juicio crítico que sea inherente al desempeño de las funciones cotidianas de los colaboradores, con relación a la ciberseguridad. Esta “Cultura de Seguridad Cibernética y de la Información” se fomenta, según el artículo 18 del Reglamento, mediante:
      1. El establecimiento de programas continuos de sensibilización sobre el rol de los colaboradores en la Seguridad Cibernética y de la Información, el uso correcto de los sistemas de información e infraestructura tecnológica, y la gestión de sus riesgos a través de los programas de inducción, cápsulas informativas, boletines, charlas concernientes a la seguridad y cualquier otro mecanismo de notificación hábil;
      2. La definición de las responsabilidades de los colaboradores relacionados con la Seguridad Cibernética y de la Información en todos los niveles de la organización;
      3. La instauración de programas continuos de capacitación técnica dirigido a los colaboradores responsables de la seguridad Cibernética y de la Información; y,
      4. La provisión de los recursos adecuados para apoyar la efectividad de los programas continuos de sensibilización de Seguridad Cibernética y de la Información.

    6. Resaltamos también que el Reglamento plantea en su artículo 49 la creación de un Consejo Sectorial para respuesta de incidentes de seguridad cibernética del sector financiero, con un catálogo de facultades enumeradas en su Art. 50, las cuales son: i) Definir las prioridades y lineamientos para la coordinación del Equipo de Respuesta a Incidentes de Seguridad Cibernética (CSIRT); ii) Dar seguimiento a las actividades del CSIRT y al funcionamiento de sus programas; iii) Coordinar los esfuerzos de cooperación entre los sujetos obligados al Reglamento para la prevención, detección, manejo y recopilación de información sobre incidentes de seguridad cibernética; iv) Realizar recomendaciones para la consecución de objetivos estratégicos del CSIRT; v) Definir el marco de cooperación y comunicación del CSIRT con las áreas funcionales de seguridad cibernética de las entidades sujetas al Reglamento; vi) Definir el marco de cooperación y comunicación con otras comisiones de similar naturaleza y con aquellas indicadas por Ley; vii) Definir los protocolos de comunicación a los demás sectores económicos y sociales de RD; y, viii) Cualquier otra facultad atribuida por la Junta Monetaria. Asimismo, resaltamos que, según el Reglamento, el CSIRT se encuentra bajo la dependencia administrativa del Banco Central y funcional del Consejo Sectorial; su sistema de información e infraestructura tecnológica funciona en un lugar aislado, restringido y asegurado; y, que ejecuta sus funciones tomando en consideración la protección de la información sensible recibida y almacenada en sus sistemas de información (Art. 56). Este equipo de Respuesta a Incidentes de Seguridad Cibernética o CSIRT (como se le ha denominado en el Reglamento, por sus siglas en inglés) dará apoyo a las entidades financieras en sus procesos de respuesta a incidentes de seguridad cibernética.

Consideraciones finales:

Es innegable que los aspectos sobre Seguridad Cibernética y de la Información inciden, en distintas medidas, en una gran diversidad de ámbitos de la economía y los mercados en general, siendo uno de los más sensibles el sistema financiero. En el caso dominicano, hacemos especial énfasis en que las EIF´s y otras entidades concernidas, según hemos indicado, tienen ante sí un verdadero reto: dar cumplimiento cabal y adecuado a todas las disposiciones del Reglamento, las cuales han entrado completamente en vigencia desde el mes de noviembre del 2019, por haber concluido el año de gracia otorgado a fines de adecuación (Art. 62 del Reglamento).

Consideramos importante destacar que el Financial Stability Board (FSB) en un documento intitulado como Supervisory and Regulatory Issues Raised by FinTech that Merit Authorities´ Attention, publicado en junio de 2017, explica que las entidades que ofrecen servicios financieros pero quedan fuera del perímetro regulatorio o están sujetas a normas reglamentarias o de supervisión menos estrictas, como algunos terceros que ofrecen servicios a instituciones financieras reguladas, pueden no estar sujetas al mismo nivel de supervisión o escrutinio de su gobernanza y procesos de negocio a los que están sujetas las instituciones financieras reguladas. Así las cosas, se considera que esto podría convertirse en un riesgo para el sistema financiero a medida que dichas entidades crecen y ganan mayor influencia e incidencia en el sistema financiero. Asimismo, considera el FSB en el mismo documento que: Los ciberataques son una amenaza creciente para todo el sistema financiero, y FinTech podría servir para acentuar este riesgo. Es probable que la susceptibilidad de la actividad financiera a los ciberataques sea mayor cuanto más conectados estén los sistemas de las diferentes instituciones, entre los cuales existe un eslabón débil. (Traducción libre)

Es en virtud de lo anterior que entendemos que el mayor reto con relación al Reglamento de Seguridad Cibernética y de la Información lo tienen las FinTech´s dominicanas, que se encuentren en el ámbito de aplicación de dicha normativa. Esto así no solo por estar especialmente expuestas a este tipo de ataques en virtud de su naturaleza, tal como indica el FSB, sino también pues se trata de empresas con regulación aún muy incipiente, que suelen tener una estructura de gobierno corporativo, cuanto menos, muy pobre. Y es que generalmente, las FinTech´s:

  1. no cuentan con un consejo de directores profesional y experimentado (ya que quienes crean las empresas Fintech son normalmente personas jóvenes, emprendedores, sin experiencia corporativa previa); y,
  2. no tienen mecanismos, herramientas, políticas ni estructuras corporativas formales ni plasmadas por escrito, que aseguren una adecuada rendición de cuentas, transparencia, gestión de riesgos y de cumplimiento regulatorio.