Ciberseguridad en República Dominicana

Contenido

Ciberseguridad en República Dominicana: Ley 133-21 y marco regulatorio financiero

En República Dominicana, las obligaciones de ciberseguridad para entidades financieras provienen de un conjunto de instrumentos legales y reglamentarios: la Ley Nº 172-13 de protección de datos personales, la Ley Nº 133-21 que la actualiza con derechos ARCO modernos, el Reglamento de Seguridad Cibernética y de la Información de la Junta Monetaria vigente desde 2018, la Ley Nº 53-07 sobre crímenes digitales y el Decreto 612-24 con las regulaciones más recientes.

Juntos conforman el marco obligatorio para bancos, instituciones financieras y empresas que procesan datos personales en el país.

Ley Nº 172-13 y Ley Nº 133-21: protección de datos personales

República Dominicana cuenta con dos generaciones de legislación de protección de datos. La Ley Nº 172-13 fue la primera norma integral de protección de datos personales del país, estableciendo principios de legalidad, finalidad y proporcionalidad en el tratamiento de datos.

La Ley Nº 133-21, aprobada en 2021, moderniza el marco existente e incorpora derechos explícitos de los titulares: los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Esta ley exige a las organizaciones que recopilan y procesan datos personales:

  • Informar de forma clara y transparente sobre el uso de los datos.
  • Implementar medidas técnicas y organizativas para proteger la información personal.
  • Incluir cláusulas de privacidad en los contratos con usuarios y clientes.
  • Garantizar que los titulares puedan ejercer sus derechos ARCO ante la organización.

Para las entidades financieras, el cumplimiento de la Ley 133-21 se superpone directamente con las exigencias del Reglamento de Seguridad Cibernética de la Junta Monetaria.

Reglamento de Seguridad Cibernética: Junta Monetaria desde 2018

El instrumento más específico para el sector financiero dominicano es el Reglamento de Seguridad Cibernética y de la Información, emitido por la Junta Monetaria (que integra al Banco Central de la República Dominicana y a la Superintendencia de Bancos). Este reglamento está vigente desde 2018 y su aplicación es obligatoria para todas las entidades financieras del país.

El reglamento establece los siguientes requisitos:

  • Políticas de privacidad en contratos: las entidades deben incluir en sus contratos de servicios financieros cláusulas que informen sobre el tratamiento de datos del cliente, los controles de seguridad aplicados y los mecanismos de respuesta ante incidentes.
  • Adopción de marcos internacionales: el reglamento recomienda la implementación de ISO 27001 (Sistema de Gestión de Seguridad de la Información) y el NIST Cybersecurity Framework como referencias estructurales para el programa de seguridad de cada entidad.
  • Gestión de incidentes: las entidades deben contar con procedimientos documentados de detección, respuesta y notificación de incidentes de seguridad cibernética.

La Superintendencia de Bancos, junto con el Banco Central, supervisa el cumplimiento de estos requisitos como parte de sus revisiones periódicas a las instituciones financieras.

Ley Nº 53-07: Crímenes y Delitos de Alta Tecnología

La Ley Nº 53-07 tipifica los crímenes y delitos de alta tecnología en República Dominicana. Establece penalidades específicas para conductas como el acceso no autorizado a sistemas informáticos, la interceptación de comunicaciones digitales, el fraude electrónico, la distribución de malware y otros delitos cibernéticos.

Para las empresas, esta ley tiene implicaciones directas: una brecha de seguridad que resulte en acceso no autorizado a datos de clientes puede activar no solo sanciones regulatorias bajo la Ley 133-21 y el Reglamento de la Junta Monetaria, sino también responsabilidades penales bajo la Ley 53-07. Por esta razón, la implementación de controles técnicos robustos no es solo una exigencia de cumplimiento, sino también una protección legal para la organización y sus directivos.

Un programa de cultura de ciberseguridad dentro de la empresa es fundamental para reducir el riesgo de incidentes causados por errores humanos, que son la principal puerta de entrada para los delitos tipificados en la Ley 53-07.

Decreto 612-24: regulaciones de ciberseguridad más recientes

El Decreto 612-24 representa la actualización regulatoria más reciente en materia de ciberseguridad en República Dominicana. Emitido en 2024, establece un conjunto de regulaciones adicionales que refuerzan los controles existentes y adaptan el marco normativo a las amenazas actuales del entorno digital.

Las entidades deben mantenerse actualizadas respecto a los requisitos específicos del Decreto 612-24 y evaluar si sus controles vigentes son suficientes para cumplir con las nuevas exigencias, o si se requieren ajustes en sus políticas, procedimientos y arquitectura técnica de seguridad.

Pasos para cumplir con el marco regulatorio dominicano

Para las entidades financieras y empresas que operan en República Dominicana, el cumplimiento del marco regulatorio de ciberseguridad requiere:

  1. Documentar un inventario de datos personales y los flujos de tratamiento de información para cumplir con la Ley 133-21.
  2. Implementar o actualizar las políticas de seguridad alineadas con ISO 27001 y el NIST CSF, como recomienda el Reglamento de la Junta Monetaria.
  3. Revisar los contratos con clientes y proveedores para incluir las cláusulas de privacidad y seguridad exigidas.
  4. Ejecutar evaluaciones técnicas periódicas que incluyan pentest y análisis de vulnerabilidades para demostrar control activo sobre los riesgos.
  5. Establecer un procedimiento de respuesta a incidentes que cumpla con las obligaciones de notificación regulatoria.

Para ver cómo Costa Rica estructura su regulación financiera de ciberseguridad con el CONASSIF 5-24, puedes revisar el artículo correspondiente.


¿Tu empresa necesita alinear su programa de ciberseguridad con la Ley 133-21, el Reglamento de la Junta Monetaria y el Decreto 612-24 en República Dominicana? En WhiteJaguars ayudamos a organizaciones del sector financiero y empresarial a estructurar sus controles de seguridad, ejecutar evaluaciones técnicas y preparar evidencia para auditorías. Conoce nuestros servicios de ciberseguridad.

Publicado el

Mario Robles

CEO & Founder

Hacker Ético con más de 20 años de experiencia, creador de herramientas de ciberseguridad, ex-líder de OWASP Costa Rica y miembro activo de Cybersec Cluster y el capítulo de ciberseguridad de CAMTIC.

¿Necesitas ayuda?

Nuestro equipo de especialistas puede ayudarte a implementar las mejores prácticas de ciberseguridad en tu organización.

Consulta Gratuita

¿Necesitas proteger tu empresa?

Consulta Gratuita

También te podría interesar

BCP Paraguay: ciberseguridad y cloud banking

El BCP regula la ciberseguridad bancaria con Resolución 12/2021 y cloud computing para entidades financieras. Obligaciones mínimas para bancos en Paraguay.

Leer: BCP Paraguay: ciberseguridad y cloud ...

Ciberseguridad bancaria en Uruguay: BCU

El BCU regula la seguridad bancaria en Uruguay con estándares ISO/NIST. Conoce la Ley 18.331 y qué exige a bancos y fintechs uruguayos.

Leer: Ciberseguridad bancaria en Uruguay: BCU

CONASSIF 5-24: ciberseguridad en Costa Rica

El CONASSIF 5-24 regula gobernanza y ciberseguridad de entidades financieras en Costa Rica. Qué exige sobre resiliencia operacional, TI y alta dirección.

Leer: CONASSIF 5-24: ciberseguridad en Cost...
Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.