¿Cómo legisla Honduras la protección de sus datos?

Yeny Sarmiento

El primer servidor de Internet en Honduras se instaló en la década de los noventa, 25 años después el país ha empezado su transición hacia un modelo basado en la nube y en el as-a-Service(aaS).

Esta mutación ha sucedido, como en la mayoría de las naciones, a una mayor velocidad que el desarrollo de un marco legal que permita aprovechar las bondades de los nuevos modelos de negocios de la industria, generar ahorros significativos en las operaciones de las empresas y dinamizar la inversión de TI.

En términos de regulación, el país ha ido sumando esfuerzos para acoplarse a las exigencias del mercado, y mientras que ha logrado regular algunos aspectos, otros simplemente no.

Para este propósito Honduras ha firmado algunos acuerdos a nivel internacional como el Convenio Budapest, que homogeniza la persecución de la cibercriminalidad. Además, en 2009 suscribió la Convención de las Naciones Unidas sobre la utilización de las comunicaciones electrónicas en los contratos internacionales.

En 2014 aprobó la Ley de Comercio Electrónico que a través de sus 28 artículos facilita y regula la creación de negocios por Internet. Mientras que, a finales de 2013 mediante el decreto 149 se aprobó la Ley sobre Firmas Electrónicas, necesaria para el desarrollo de nuevos modelos de contratos, formas de contratación y de tramitación.

Actualmente está en la mesa de discusión un anteproyecto de Ley de Protección de Datos Personales y Acción de Hábeas Data que abarca datos sensibles que afectan la intimidad de las personas.

Además: ¿Qué mejores prácticas de TI se impulsan desde Honduras?

El anteproyecto hondureño propone además establecer un esquema procesal para darle mayor peso jurídico, así como la elaboración de un Reglamento de la Ley, y la conformación e integración de una Gerencia de Protección de Datos (Prodatos) en el Instituto de Acceso a la Información Pública (IAIP), entidad que vigilaría el cumplimiento de dicha ley.

“Los pasos han sido lentos, principalmente por la falta de voluntad política -señala el abogado Ernesto Urbina Soto, de TIC Abogados-, la falta de interés por parte de los congresistas sobre la importancia de protección de datos no permite que se creen nuevas leyes, o se adapten otras, para que puedan ser utilizadas”.

El mayor obstáculo ha sido promover el interés por el desarrollo de este tipo de leyes. A criterio de Urbina Soto, “legislar para el sector de tecnología debe conjugar conocimientos jurídicos y comprender a puntillas y en detalle el uso, los alcances, los fines de la tecnología a efecto de no crear leyes que en apariencia permita el uso de los recursos tecnológicos pero que en realidad sean inaplicables”.

Desde la óptica de la industria

Actualmente los servicios que se ofrecen en la nube en su mayoría son por medio de compañías transnacionales que están en otros países, y que se rigen bajo las leyes propias de ese país.

Pero a medida que crezca la presencia de Centroamérica en la nube, la demanda por la protección de datos será mayor, y la nube tendrá que asumir su responsabilidad.

A criterio de Juan Carlos Almendarez, sales manager de GBM de Honduras, en la región se ofrecen servicios en la nube -ya sea capacidades de almacenamiento y de procesamiento-, pero el manejo de los datos y la seguridad de estos dependen de la administración por parte del mismo cliente.

“Podemos ofrecerle soluciones de seguridad que respalden su información, pero es responsabilidad del usuario como maneja su data”, señala.

Las empresas deben iniciar con la creación de una mejor estrategia de ciberseguridad alineada a la estrategia de la organización, según Alonso Ramírez, gerente senior de Ciberseguridad para Centroamérica y el Caribe de Deloitte. El apoyo a esta estrategia es fundamental en el sistema de gestión de seguridad de la información y en las soluciones y servicios de prevención y detección temprana.

Si bien una legislación que garantice la protección de los datos serviría de mucho en la lucha contra los delitos cibernéticos, no resuelve el problema. La directiva europea creada para este fin tiene cerca de dos décadas, sin embargo de 8000 empresas proveedoras de servicios en cloud en los países europeos, solo 200 llegan a cumplir con esta legislación.

La industria de TI debe fortalecerse mediante soluciones y servicios tecnológicos y de seguridad informática. Sobre todo al no existir regulaciones maduras que apoyen las causas de las soluciones y servicios, y dejen a la industria desprotegida.

El experto de Deloitte señala que sin una ley vigilante se disminuye los niveles de confianza y fortalecimiento en las organizaciones, exponiéndolos a daños de reputación, credibilidad y pérdidas económicas, a pesar de las fuertes inversiones en investigación y desarrollo para el mejoramiento de sus productos.

No se pierda: Tecnología de consumo: lo segundo más importado en Honduras

Para los protagonistas del rubro TI un mal procedimiento con los datos afecta a los proveedores no solo con demandas judiciales, sino con la pérdida del prestigio, la suplantación de empresas -que está en la obligación de observar su perfil-, y la falta de seguridad en las plataformas digitales.

Ricardo Tabora, gerente general de Ingelmec, opina que esto ha ocasionado que las empresas no quieren guardar su información de manera local o en sitios alternos localmente, por lo que optan por alojar su información fuera del país y hasta fuera de la región. “Esto indica que están buscando una mayor seguridad en el manejo de sus datos”.

Para otros, la falta de una legislación para las TIC retrasa el desarrollo de estas en todos los aspectos, en donde resulta afectado tanto el gobierno como las empresas desarrolladoras de software, ya que las empresas no harán inversiones si no perciben que sus datos están salvaguardados.

“Hasta que el gobierno descubra la posibilidad que tiene de captar más ingresos por concepto de impuesto, es cuando se establecerá una legislación para proteger los activos electrónicos”, asegura Hugo Rodríguez, gerente general de Sodisa.

Como exportador de software, Sodisa lamenta que no haya un mecanismo real para un esquema de protección y exportación de servicios relacionados con el desarrollo de software, por ejemplo.

El único código arancelario vigente (8523.49.11) se refiere a discos, cintas, dispositivos de almacenamiento permanente de datos a veces de semiconductores, tarjetas inteligentes y demás soportes; así como a discos de sistemas de lectura para producir fenómenos distintos de sonido e imagen. “Aunque existe un arancel no está consolidado al desarrollo de software o de maquila de datos”, apunta.

Así, el proveedor deberá cubrir esta carencia por medio de la gestión inteligente de sus soluciones y servicios, enfocándose en la prevención y detección.

¿Qué hay de la región?

La situación de Honduras es congruente a lo que sucede en la región, donde las decisiones son dispares. La iniciativa más pujante se registra en Costa Rica que en 2011 aprobó la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, con su respectivo reglamento. Asimismo, crea la agencia de protección de datos e introduce además la figura del superusuario con acceso para consultar la base de datos, de forma inmediata, actualizada y sin restricción alguna.

El Salvador y Guatemala no tienen una ley específica que aborde la protección de datos; aunque a su modo han implementado algunas normativas relacionadas y cuenta con jurisprudencia de sus datos. En similar situación están Nicaragua, Panamá y República Dominicana.

Al no existir una normativa difícilmente puede perseguirse el delito informático y en la región cada país lo resuelve de distinta manera. Costa Rica incluyó en su código penal la estafa electrónica y tiene dentro de su cuerpo judicial una unidad que lo investiga. Mientras que otros países, como Nicaragua, persigue el delito informático a través del ministerio de Hacienda.

A criterio Juan Ignacio Zamora, abogado y experto en legislación de TI de Expertis Legal, El Salvador, Guatemala y Honduras han trabajado estos temas de manera conjunta, sin embargo hace falta más voluntad política y un verdadero interés por parte de los diputados para que promulguen una ley de este tipo.

“El flujo de datos transfronterizos en nuestros países sería posible si existieran leyes de protección de datos, pues la región ya cuenta con toda la infraestructura para hacerlo -dice Zamora-, si no hay ley, no se puede perseguir el delito”, recuerda Zamora.

Y no solo se trata de crear sino de identificar los nuevos esquemas bajo el cual trabajan los cibercriminales. “El hecho está en cómo calificar un delito como informático, pues mientras no exista una ley y un reglamento, se seguirán observando acciones sin ser calificadas ni juzgadas”, argumenta Juan Carlos Mercado, gerente de proyectos y ventas de Lufergo.

Los expertos visualizan como escenario perfecto –no solo en Honduras, sino en toda la región-, una legislación más abierta y que permita actualizaciones inmediatas. En conclusión, es necesario adaptarse a las legislaciones de los países avanzados, el intercambio de experiencia con otros países, incluso trabajar con hackers e ingeniero informáticos.