Seguridad de información en Bolivia: ASFI

  • Inicio
  • Blog
  • Seguridad de información en Bolivia: ASFI

Contenido

Seguridad de información en Bolivia: ASFI y la Ley de Servicios Financieros Nº 393

Bolivia no cuenta con una ley marco de protección de datos personales ni con una ley fintech específica, pero sí tiene regulaciones sectoriales que obligan a las entidades financieras a implementar controles de seguridad de la información. La ASFI (Autoridad de Supervisión del Sistema Financiero) emitió en 2017 su Regulación de Gestión de Seguridad de la Información, y la Ley de Servicios Financieros Nº 393 establece los requisitos de seguridad para el sector.

Esto crea un marco que exige acción concreta aunque sea fragmentado.

Bolivia: sin ley marco de protección de datos ni ley fintech

A diferencia de países de la región como Argentina, Colombia, Chile o Perú, Bolivia no tiene una ley específica de protección de datos personales que regule de forma transversal el tratamiento de información de ciudadanos bolivianos.

Tampoco existe una ley fintech dedicada. La regulación del sector de tecnología financiera ocurre bajo marcos generales de autoridades monetarias y financieras.

Esta ausencia tiene implicaciones prácticas importantes:

  • No hay autoridad de protección de datos con capacidad sancionatoria sobre el tratamiento general de datos personales.
  • Las empresas tecnológicas no financieras operan en un vacío regulatorio en materia de privacidad.
  • Los usuarios bolivianos no cuentan con los mismos derechos de acceso, rectificación y cancelación de datos que sus pares en países con ley marco.

Para las entidades financieras, la situación es diferente: la ASFI sí tiene autoridad específica sobre seguridad de la información en ese sector, y ejerce supervisión activa. La gestión de vulnerabilidades es una de las disciplinas que permite cumplir con esos requisitos de forma sostenida.

Marco constitucional y regulaciones sectoriales

Bolivia reconoce constitucionalmente el derecho a la privacidad, pero ese reconocimiento no se ha traducido todavía en una ley de protección de datos de aplicación general. Las regulaciones existentes operan a nivel sectorial:

Ley General de Telecomunicaciones Nº 164: regula el sector de telecomunicaciones e incluye disposiciones sobre protección de la privacidad en las comunicaciones electrónicas. Es el instrumento más cercano a una norma general sobre datos en canales digitales, pero su alcance está limitado a las comunicaciones.

Decreto Supremo Nº 1793 sobre Tecnología de la Información: establece lineamientos de TI para el sector público boliviano. No aplica directamente a entidades financieras privadas, pero sirve como referencia técnica para el tratamiento de información en sistemas gubernamentales.

Ley de Servicios Financieros Nº 393 (21-08-2013): es el instrumento más relevante para bancos y entidades del sistema financiero. Establece los requisitos de seguridad en servicios financieros y constituye la base legal sobre la que la ASFI construye su marco regulatorio de ciberseguridad. La ciberseguridad en el sector financiero boliviano opera principalmente bajo este paraguas.

ASFI — Regulación de Gestión de Seguridad de la Información

El 18 de diciembre de 2017, la ASFI emitió su Regulación de Gestión de Seguridad de la Información, que establece obligaciones concretas para las entidades financieras supervisadas.

Esta regulación cubre tres áreas principales:

Requisitos de seguridad de la información: las entidades deben implementar controles técnicos y organizativos para proteger la integridad, confidencialidad y disponibilidad de la información financiera. Esto incluye políticas documentadas, procedimientos de acceso y control de privilegios, y mecanismos de respuesta a incidentes.

Documentos de ciberseguridad: la regulación exige que las entidades cuenten con documentación formal de su programa de ciberseguridad. No basta con tener controles implementados; deben estar documentados y accesibles para los supervisores de la ASFI en cualquier momento.

Gestión de riesgos en digitalización: a medida que las entidades financieras bolivianas adoptan canales digitales, la ASFI exige que los riesgos asociados a esa digitalización sean identificados, evaluados y gestionados de forma explícita. Esto incluye riesgos en banca móvil, plataformas de pagos digitales y servicios en línea. El NIST Cybersecurity Framework es una referencia internacional que muchas entidades bolivianas adoptan para estructurar su gestión de riesgos, dado que la ASFI no prescribe un marco específico.

La Regulación de 2017 fue un avance significativo porque por primera vez estableció un lenguaje común de ciberseguridad para el sector financiero boliviano y dio a la ASFI instrumentos concretos para supervisar y exigir cumplimiento.

Qué deben hacer hoy las empresas financieras en Bolivia

Dado el marco vigente, las entidades financieras que operan en Bolivia deben tomar acciones concretas independientemente de si existe o no una ley marco de protección de datos:

  1. Alinear el programa de seguridad con la Regulación ASFI 2017: documentar políticas, procedimientos de control de acceso, gestión de incidentes y planes de continuidad.

  2. Implementar gestión de riesgos de digitalización: para cada canal digital nuevo, completar una evaluación de riesgos documentada antes del lanzamiento.

  3. Prepararse para la evolución regulatoria: Bolivia está rezagada respecto a la región en protección de datos, pero la tendencia global y latinoamericana apunta a que esa brecha se cerrará. Implementar controles hoy facilita la adaptación cuando llegue la ley.

  4. Adoptar marcos internacionales de referencia: en ausencia de prescripciones específicas, usar estándares como ISO 27001, NIST CSF o CIS Controls permite estructurar un programa defendible ante la ASFI.

  5. Invertir en cultura de ciberseguridad: los controles técnicos son necesarios pero insuficientes. El personal debe entender su rol en la protección de la información y saber cómo actuar ante incidentes o intentos de phishing.


¿Tu organización opera en el sector financiero boliviano y necesita estructurar su programa de seguridad de la información según la Regulación ASFI 2017? Contáctanos para una evaluación inicial o conoce cómo nuestros servicios de gestión de vulnerabilidades pueden apoyar el cumplimiento regulatorio en Bolivia.

Publicado el

Mario Robles

CEO & Founder

Hacker Ético con más de 20 años de experiencia, creador de herramientas de ciberseguridad, ex-líder de OWASP Costa Rica y miembro activo de Cybersec Cluster y el capítulo de ciberseguridad de CAMTIC.

¿Necesitas ayuda?

Nuestro equipo de especialistas puede ayudarte a implementar las mejores prácticas de ciberseguridad en tu organización.

Consulta Gratuita

¿Necesitas proteger tu empresa?

Consulta Gratuita

También te podría interesar

BCP Paraguay: ciberseguridad y cloud banking

El BCP regula la ciberseguridad bancaria con Resolución 12/2021 y cloud computing para entidades financieras. Obligaciones mínimas para bancos en Paraguay.

Leer: BCP Paraguay: ciberseguridad y cloud ...

Ciberseguridad bancaria en Uruguay: BCU

El BCU regula la seguridad bancaria en Uruguay con estándares ISO/NIST. Conoce la Ley 18.331 y qué exige a bancos y fintechs uruguayos.

Leer: Ciberseguridad bancaria en Uruguay: BCU

CONASSIF 5-24: ciberseguridad en Costa Rica

El CONASSIF 5-24 regula gobernanza y ciberseguridad de entidades financieras en Costa Rica. Qué exige sobre resiliencia operacional, TI y alta dirección.

Leer: CONASSIF 5-24: ciberseguridad en Cost...
Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.