Seguridad de información en Bolivia: ASFI y la Ley de Servicios Financieros Nº 393
Bolivia no cuenta con una ley marco de protección de datos personales ni con una ley fintech específica, pero sí tiene regulaciones sectoriales que obligan a las entidades financieras a implementar controles de seguridad de la información. La ASFI (Autoridad de Supervisión del Sistema Financiero) emitió en 2017 su Regulación de Gestión de Seguridad de la Información, y la Ley de Servicios Financieros Nº 393 establece los requisitos de seguridad para el sector.
Esto crea un marco que exige acción concreta aunque sea fragmentado.
Bolivia: sin ley marco de protección de datos ni ley fintech
A diferencia de países de la región como Argentina, Colombia, Chile o Perú, Bolivia no tiene una ley específica de protección de datos personales que regule de forma transversal el tratamiento de información de ciudadanos bolivianos.
Tampoco existe una ley fintech dedicada. La regulación del sector de tecnología financiera ocurre bajo marcos generales de autoridades monetarias y financieras.
Esta ausencia tiene implicaciones prácticas importantes:
- No hay autoridad de protección de datos con capacidad sancionatoria sobre el tratamiento general de datos personales.
- Las empresas tecnológicas no financieras operan en un vacío regulatorio en materia de privacidad.
- Los usuarios bolivianos no cuentan con los mismos derechos de acceso, rectificación y cancelación de datos que sus pares en países con ley marco.
Para las entidades financieras, la situación es diferente: la ASFI sí tiene autoridad específica sobre seguridad de la información en ese sector, y ejerce supervisión activa. La gestión de vulnerabilidades es una de las disciplinas que permite cumplir con esos requisitos de forma sostenida.
Marco constitucional y regulaciones sectoriales
Bolivia reconoce constitucionalmente el derecho a la privacidad, pero ese reconocimiento no se ha traducido todavía en una ley de protección de datos de aplicación general. Las regulaciones existentes operan a nivel sectorial:
Ley General de Telecomunicaciones Nº 164: regula el sector de telecomunicaciones e incluye disposiciones sobre protección de la privacidad en las comunicaciones electrónicas. Es el instrumento más cercano a una norma general sobre datos en canales digitales, pero su alcance está limitado a las comunicaciones.
Decreto Supremo Nº 1793 sobre Tecnología de la Información: establece lineamientos de TI para el sector público boliviano. No aplica directamente a entidades financieras privadas, pero sirve como referencia técnica para el tratamiento de información en sistemas gubernamentales.
Ley de Servicios Financieros Nº 393 (21-08-2013): es el instrumento más relevante para bancos y entidades del sistema financiero. Establece los requisitos de seguridad en servicios financieros y constituye la base legal sobre la que la ASFI construye su marco regulatorio de ciberseguridad. La ciberseguridad en el sector financiero boliviano opera principalmente bajo este paraguas.
ASFI — Regulación de Gestión de Seguridad de la Información
El 18 de diciembre de 2017, la ASFI emitió su Regulación de Gestión de Seguridad de la Información, que establece obligaciones concretas para las entidades financieras supervisadas.
Esta regulación cubre tres áreas principales:
Requisitos de seguridad de la información: las entidades deben implementar controles técnicos y organizativos para proteger la integridad, confidencialidad y disponibilidad de la información financiera. Esto incluye políticas documentadas, procedimientos de acceso y control de privilegios, y mecanismos de respuesta a incidentes.
Documentos de ciberseguridad: la regulación exige que las entidades cuenten con documentación formal de su programa de ciberseguridad. No basta con tener controles implementados; deben estar documentados y accesibles para los supervisores de la ASFI en cualquier momento.
Gestión de riesgos en digitalización: a medida que las entidades financieras bolivianas adoptan canales digitales, la ASFI exige que los riesgos asociados a esa digitalización sean identificados, evaluados y gestionados de forma explícita. Esto incluye riesgos en banca móvil, plataformas de pagos digitales y servicios en línea. El NIST Cybersecurity Framework es una referencia internacional que muchas entidades bolivianas adoptan para estructurar su gestión de riesgos, dado que la ASFI no prescribe un marco específico.
La Regulación de 2017 fue un avance significativo porque por primera vez estableció un lenguaje común de ciberseguridad para el sector financiero boliviano y dio a la ASFI instrumentos concretos para supervisar y exigir cumplimiento.
Qué deben hacer hoy las empresas financieras en Bolivia
Dado el marco vigente, las entidades financieras que operan en Bolivia deben tomar acciones concretas independientemente de si existe o no una ley marco de protección de datos:
Alinear el programa de seguridad con la Regulación ASFI 2017: documentar políticas, procedimientos de control de acceso, gestión de incidentes y planes de continuidad.
Implementar gestión de riesgos de digitalización: para cada canal digital nuevo, completar una evaluación de riesgos documentada antes del lanzamiento.
Prepararse para la evolución regulatoria: Bolivia está rezagada respecto a la región en protección de datos, pero la tendencia global y latinoamericana apunta a que esa brecha se cerrará. Implementar controles hoy facilita la adaptación cuando llegue la ley.
Adoptar marcos internacionales de referencia: en ausencia de prescripciones específicas, usar estándares como ISO 27001, NIST CSF o CIS Controls permite estructurar un programa defendible ante la ASFI.
Invertir en cultura de ciberseguridad: los controles técnicos son necesarios pero insuficientes. El personal debe entender su rol en la protección de la información y saber cómo actuar ante incidentes o intentos de phishing.
¿Tu organización opera en el sector financiero boliviano y necesita estructurar su programa de seguridad de la información según la Regulación ASFI 2017? Contáctanos para una evaluación inicial o conoce cómo nuestros servicios de gestión de vulnerabilidades pueden apoyar el cumplimiento regulatorio en Bolivia.