Con el fin de evaluar qué tan preparado está el sector financiero para la implementación de la Ley de Protección de Datos Personales, que entra en vigencia en diciembre de 2026, la consultora global de servicios profesionales EY, entrevistó a gerentes de 15 bancos, cooperativas y cajas de compensación.
Según el reporte, la mitad de las entidades financieras encuestadas ya designó al delegado de protección de datos personales (DPD) y un 43% está “en proceso” de hacerlo.
La gerenta senior de Tecnología en Servicios Financieros de EY, Laura Galarce, dijo que “todas las instituciones han avanzado, aunque sea de forma inicial. Ninguna nos dijo que no ha hecho nada” y agregó que la designación del DPD “demuestra que la industria está asumiendo las exigencias de la ley”.
Gestión de riesgos y tratamiento de datos
En materia de seguridad, hay avances y pendientes.
Entre los primeros, el 64% cuenta con procedimientos para reportar vulneraciones y el 57% implementó medidas de seguridad para proteger los datos personales.
Sin embargo, ninguna ha implementado un modelo de prevención de infracciones en la protección de datos, aunque el 71% afirmó estar en proceso de desarrollarlo.
Además, solo un 21% cuenta con un mapa de riesgos para detectar amenazas críticas y medidas de mitigación y un 29% ha realizado evaluaciones de impacto.
Otra de las áreas donde hay menos avances es el tratamiento de datos.
Galarce explicó que una de las principales tareas pendientes del sector es determinar los procesos donde se tratan datos personales.
“Para implementar bien la ley, las instituciones tienen que identificar todas las actividades en que usan datos personales. Hoy, solo un 21% tiene ese registro totalmente implementado”, dijo.
En derechos del titular, el estudio indica que solo un 21% de las entidades de la muestra ha desarrollado procedimientos para responder solicitudes de acceso, rectificación, eliminación o portabilidad, mientras que el 43% no lo ha abordado.
Galarce recalcó que estos flujos serán obligatorios en diciembre de 2026. “Si un cliente pide todos los datos que la institución tiene de él, esta tiene que poder entregarlos en plazos muy acotados”, explicó.
En relación al consentimiento, el informe muestra que solo un 29% ha implementado mecanismos de consentimiento explícito y 21% ha documentado bases legales alternativas para el tratamiento. Galarce afirmó que este tema será uno de los “ejes más importantes” para el sector en los próximos meses.
“El consentimiento va a ser la palabra del 2026. La Ley de Datos Personales, la Ley Fintech y el Registro de Deuda Consolidada lo exigen, pero cada una con flujos distintos, y las instituciones deben gestionarlos por separado”, explicó Galarce.
Por otro lado, solo un 5% ha evaluado el uso de decisiones automatizadas o modelos algorítmicos.
Según Galarce, esta área es la que tiene el rezago más significativo: “La evaluación del uso de datos en decisiones automatizadas es la pregunta con los resultados más bajos de todo el estudio”.
VER MÁS
MARKET DATA
<%userdata?.email%>
Editar perfil
Credencial
Salir
(Twitter)
Instagram
Facebook
LinkedIn
YouTube
TikTok
Alto contraste
