Riesgos asociados a la protección de datos: de la multa al impacto financiero

Nota sobre IA: herramientas de IA fueron utilizadas durante la realización de este artículo.

Las multas por incumplimientos en protección de datos en 2025 ya no son la excepción. Son el nuevo costo de operar sin controles.

El costo de una brecha de datos ya no se mide solo en datos perdidos. Se mide en resoluciones regulatorias, en titulares de prensa y en la confianza que tarda años en reconstruirse.

En 2025, las sanciones por incidentes de seguridad han alcanzado cifras que antes parecían reservadas para litigios corporativos de otra escala. Según un análisis publicado por Infosecurity Magazine sobre las diez multas más significativas del año, las sanciones superan con frecuencia los cientos de millones de dólares, y afectan a empresas de todos los tamaños, no solo a gigantes tecnológicos.

El patrón es consistente. Las organizaciones sancionadas no fallaron necesariamente por falta de tecnología. Fallaron por ausencia de procesos, por controles que existían en papel pero no en la práctica, y por no poder demostrar ante los reguladores que gestionaban los datos con diligencia razonable.

Ese último punto es crítico para cualquier empresa que opere en Costa Rica. La Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (conocida como Ley 8968) establece obligaciones concretas sobre cómo se recopilan, almacenan y protegen los datos. La Agencia de Protección de Datos de los Habitantes (PRODHAB) tiene facultad sancionatoria. Y el marco regulatorio regional se endurece de forma sostenida, alineándose con estándares internacionales que hoy están produciendo las multas que documenta Infosecurity Magazine.

Para una empresa pequeña o mediana, el riesgo no es abstracto. Es operativo.

Una brecha de datos puede obligar a detener operaciones mientras se contiene el incidente. Puede activar obligaciones de notificación a clientes y autoridades con plazos estrictos. Puede derivar en auditorías que consumen tiempo de equipos que no tienen holgura para eso.

Y puede resultar en sanciones cuyo impacto financiero directo es solo una parte del daño real.

Lo que diferencia a las empresas que enfrentan estas situaciones con control de las que las enfrentan en crisis no es el presupuesto de tecnología. Es la madurez del programa de gestión. Saber qué datos tienen, dónde están, quién tiene acceso, qué pasaría si se exponen, y poder demostrarlo.

Esa capacidad no se construye en semanas. Pero sí puede construirse con método.

El primer paso es siempre el mismo: entender el estado real, no el estado que aparece en los documentos de política. Desde ahí, se priorizan los controles con mayor impacto y menor fricción operativa. Se define qué proteger primero porque no todo puede protegerse al mismo nivel con los mismos recursos.

La ciberseguridad bien ejecutada no es un gasto adicional. Es el costo de sostener la operación con certeza.

Tres preguntas para hacerle a su equipo esta semana

1. ¿Sabemos exactamente qué datos personales de clientes, empleados o proveedores estamos almacenando y quién tiene acceso a ellos hoy?

2. Si un regulador nos pidiera demostrar que gestionamos esos datos con controles razonables, ¿podríamos hacerlo con evidencia concreta, no solo con políticas escritas?

3. ¿Tenemos un procedimiento documentado y probado para responder a una brecha de datos en las primeras 72 horas?

En Áncora trabajamos con empresas para construir programas de ciberseguridad que puedan sostenerse con sus recursos actuales y resistir el escrutinio de clientes, socios y reguladores. Si quiere saber por dónde empezar, escríbanos a contacto[arroba]ancoracibernetica.com

Fuente: Infosecurity Magazine. "Top 10 Data Breach Fines of 2025". Disponible en: https://www.infosecurity-magazine.com/news-features/top-10-data-breach-fines-2025/