El Reglamento del Decreto de Urgencia que aprueba el Marco de Confianza Digital obliga a ministerios, bancos digitales, fintechs, a las empresas que proveen nube, hosting, certificación digital, firmas electrónicas, etc. a implementar, a partir de febrero de 2026, sistemas de gestión de seguridad digital y notificar incidentes sobre datos de sus usuarios y verificar la identidad de los usuarios.
A la par que avanza la transformación digital, la ciberdelincuencia le sigue los pasos. Esto lo podemos ver en las cada vez más frecuentes filtraciones de datos personales, llamadas extorsivas, suplantación de identidad, estafas o diferentes delitos informáticos, vulnerabilidades, nuevos vectores de ciberataques, entre otros. Es por ello que se hace necesario implementar medidas que contrarresten el accionar delictivo.
Es así que el Poder Ejecutivo publicó el Reglamento del Decreto de Urgencia Nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento. Con esta norma se busca garantizar que las interacciones digitales de las personas con los servicios digitales prestados en el país se desarrollen de forma veraz, predecible, ética, proactiva, transparente, segura, inclusiva, confiable y de calidad.
El punto clave de esta norma es que a partir de febrero de 2026, las entidades públicas o empresas privadas que ofrecen servicios, plataformas o soluciones tecnológicas a través de Internet o redes electrónicas y que procesan o manejan información digital de los ciudadanos o del Estado están obligados a garantizar la seguridad, autenticación, integridad e interoperabilidad de los datos digitales, en línea con los estándares del Sistema Nacional de Confianza Digital y bajo la supervisión de la Secretaría de Gobierno y Transformación Digital (SGTD) de la Presidencia del Consejo de Ministros (PCM).
¿Quiénes son estas empresas? De acuerdo a la normativa, se trata de:
- Entidades públicas que ofrecen servicios digitales: Ministerios, organismos y gobiernos regionales o locales que brindan trámites o servicios en línea (por ejemplo, Sunat, Reniec, Sunarp, Migraciones, etc.). Están obligadas a garantizar la seguridad, autenticación e interoperabilidad en sus plataformas digitales.
- Empresas tecnológicas y plataformas privadas. Bancos digitales, fintechs, operadores de telecomunicaciones, empresas de software y desarrolladores de aplicaciones que ofrecen servicios o procesan datos personales de usuarios. Deben aplicar estándares de seguridad digital, gestión de identidades electrónicas y protección de datos personales.
- Proveedores de infraestructura y servicios tecnológicos. Incluye a las empresas que proveen nube, hosting, certificación digital, firmas electrónicas, servicios de autenticación y validación, entre otros. Estas son piezas centrales del ecosistema de confianza digital, ya que soportan el funcionamiento técnico del sistema nacional.
- Plataformas intermediarias o integradoras. Portales o sistemas que permiten la interoperabilidad entre entidades del Estado, o entre el Estado y empresas privadas (por ejemplo, la Plataforma Nacional de Confianza Digital o los nodos de interoperabilidad gubernamental).
La norma obliga a estas entidades a implementar sistemas de gestión de seguridad digital, notificar incidentes sobre datos de sus usuarios al Centro Nacional de Seguridad Digital (CNSD), verificar la identidad de los usuarios según el nivel de riesgo (Nivel de Confianza de Autenticación) y garantizar la confidencialidad, integridad y disponibilidad de la información que gestionan.
Asimismo, deberán implementar controles y medidas de seguridad en la provisión de sus servicios digitales conforme a su evaluación de riesgos, al marco regulatorio nacional vigente y a estándares internacionales.
También notificarán al CNSD los incidentes de seguridad digital de su organización mediante los protocolos, canales y en los plazos establecidos. Asimismo, notificar a la ANPD si advierte que el incidente comprometió los datos personales de sus usuarios. Además, deberán disponer de servicios de pago digital o electrónico con mecanismos de seguridad adecuados.