Detrás de la multa del 10% de facturación: la supervisión de datos ya ha llegado al nivel del consejo de administración

Preguntas a la IA · ¿Cómo redefine la responsabilidad del consejo de administración la transferencia hacia arriba en la toma de decisiones sobre protección de datos?

El 10 de marzo de 2026, Corea del Sur realizó una nueva revisión de la Ley de Protección de Información Personal.

Esta modificación no es un ajuste institucional aislado, sino que ocurre en un contexto muy específico: en los últimos años, Corea ha experimentado incidentes masivos de filtración de datos, involucrando sectores como finanzas, telecomunicaciones y comercio electrónico, con una intensidad regulatoria en aumento. Bajo esta presión, el sistema anterior, orientado principalmente a cumplir con requisitos de conformidad, ha comenzado a ser cada vez más insuficiente para satisfacer las expectativas regulatorias.

En este contexto, la revisión presenta un cambio muy relevante: no se refuerza la supervisión simplemente añadiendo más obligaciones, sino que se ajusta un problema más profundo —cómo las empresas gestionan realmente los riesgos de datos.

Por un lado, las reglas se adelantan. Mediante la introducción de un mecanismo que requiere notificación en el momento en que se alcanza un estándar de riesgo legal, la conformidad ya no se basa en que “el incidente ya ocurrió”, sino que se anticipa a la fase de identificación del riesgo; por otro lado, la responsabilidad se traslada hacia arriba. Al fortalecer la responsabilidad de los responsables de la empresa, introducir multas que pueden llegar hasta el 10% de la facturación relevante, y al incorporar al responsable de protección de datos en la estructura de decisiones y reportes del consejo, la protección de datos se integra formalmente en el marco de gobernanza corporativa.

Si se comparan estos cambios regulatorios con una serie de casos de aplicación recientes, se detecta una tendencia que va más allá del endurecimiento de la supervisión: el foco de atención ya no está solo en si la empresa “cumple o no cumple”, sino en si dentro de la organización hay alguien que evalúa los riesgos de datos y asume las consecuencias.

Antes y después de la reforma, Corea ha visto varias filtraciones representativas. Algunas instituciones financieras registraron en logs los números de identificación de residentes en texto claro, lo que llevó a la exposición de millones de datos; otras marcas fueron atacadas por tener controles de acceso y mecanismos de autenticación débiles, permitiendo a los atacantes acceder directamente a datos de clientes; y algunas plataformas, por falta de medidas básicas de seguridad, sufrieron filtraciones aún mayores.

En apariencia, todos estos incidentes comparten una etiqueta común: “ser atacados”. Pero si se analiza en profundidad, el problema no radica en el ataque en sí.

El problema real es que las empresas carecen de la capacidad básica para juzgar los riesgos en los momentos clave. ¿Qué datos necesitan protección de nivel superior? ¿En qué puntos del sistema existen vulnerabilidades estructurales? ¿Se pueden detectar comportamientos anómalos a tiempo? Estas cuestiones, que deberían gestionarse continuamente en las operaciones diarias, en muchos casos no se abordan.

Por ello, lo que estos casos revelan no es solo un incidente de seguridad aislado, sino una falla sistémica en la identificación de riesgos, control interno y mecanismos de respuesta.

Desde el punto de vista del diseño institucional, un cambio muy evidente es el adelanto de la obligación de notificación.

En la mayoría de las jurisdicciones, la lógica básica de cumplimiento de datos sigue girando en torno a los eventos posteriores. Una vez que se confirma la filtración, la empresa debe notificar en un plazo determinado a las autoridades y a los usuarios. Es un mecanismo típico de respuesta posterior.

La revisión en Corea rompe deliberadamente esta secuencia temporal.

Según el artículo 34 revisado, en condiciones específicas, incluso sin confirmar la ocurrencia de una filtración, si existe un riesgo que alcanza el estándar legal, la empresa debe iniciar la notificación. Esto implica que las empresas ya no podrán retrasar decisiones bajo el argumento de “aún no ha ocurrido”, sino que deben evaluar en un estado de incertidumbre.

Al mismo tiempo, la notificación ya no se limita a informar qué ocurrió. La empresa debe también explicar claramente a los usuarios las acciones legales que pueden tomar, incluyendo compensaciones por daños, indemnizaciones legales y mecanismos de resolución de disputas. La notificación pasa así de ser una mera divulgación de información a convertirse en una acción de cumplimiento con consecuencias legales.

Pero si se interpreta esto solo como un adelanto de obligaciones, en realidad sigue siendo una visión superficial. Lo más importante es que este cambio obliga a las empresas a desarrollar una capacidad: tomar decisiones en un estado de riesgo aún no completamente definido.

En comparación con el adelanto de obligaciones, un aspecto aún más relevante es el cambio en la estructura de responsabilidades.

La reforma no establece directamente multas o responsabilidades penales para los propietarios o representantes de las empresas, pero a través de varias disposiciones, ha integrado claramente la responsabilidad de protección de datos en la gobernanza corporativa. Los gestores o representantes ya no son solo responsables abstractos finales, sino que deben asumir responsabilidades sustantivas respecto a la efectividad de las medidas de seguridad, mediante la asignación de recursos y la construcción de sistemas. Además, el responsable de protección de datos debe ser parte del proceso de decisiones y reportes del consejo, y su nombramiento, cambios y desempeño deben ser monitoreados continuamente a nivel de gobernanza.

En este esquema, la conformidad en protección de datos deja de ser solo una función de un departamento, para convertirse en una responsabilidad que requiere recursos, liderazgo y coordinación entre múltiples áreas.

El motivo por el cual, en muchas empresas, todavía se trata como una función aislada, es más una falta de reconocimiento del management sobre la naturaleza y la importancia de esta tarea, que una cuestión de idoneidad del enfoque. Por ello, cuando las obligaciones se adelantan, la evaluación de riesgos se realiza en condiciones de incertidumbre, y la asignación de recursos empieza a ser un criterio de supervisión, estos problemas inevitablemente apuntan a un nivel superior: la gestión.

El límite de las multas del 10% sin duda es la parte más impactante de la reforma. Pero si solo se observa la mayor severidad, se puede perder de vista su verdadera función.

Las reglas revisadas vinculan las multas elevadas a situaciones específicas, como reincidencias en violaciones graves, filtraciones causadas por negligencia o dolo, o incidentes repetidos sin haber implementado las correcciones correspondientes. Además, se aclara que, si la empresa ha invertido recursos adecuados en protección de datos (personal, presupuesto, medidas técnicas), la sanción puede reducirse a discreción.

Esto introduce una lógica de evaluación más específica: la supervisión ya no solo mira los resultados, sino que también pregunta si la empresa, antes de que ocurra un daño, hizo evaluaciones razonables y asignó recursos adecuados.

En este sentido, las multas dejan de ser solo castigos por resultados, para convertirse en un incentivo que apunta a un problema más concreto: quién tomó las decisiones y si esas decisiones estaban suficientemente fundamentadas.

En otras palabras, el foco de las sanciones se traslada del resultado en sí mismo al proceso de decisión.

Si se consideran todos estos cambios en conjunto, se puede percibir una transformación más profunda.

La reforma no solo eleva los estándares de cumplimiento, sino que modifica la forma en que las empresas gestionan los problemas de datos. La protección de datos deja de ser solo un requisito de cumplimiento, para convertirse en un tema de gestión que requiere evaluación continua y recursos permanentes.

Las empresas deben afrontar no solo las reglas en sí, sino también cómo tomar decisiones en un entorno de incertidumbre, quién asume esas decisiones y cómo se gestionan los riesgos en un proceso que se vuelve parte de la lógica operativa diaria. La gestión del riesgo de datos ya no es solo una respuesta pasiva a incidentes, sino una variable que debe ser evaluada, ponderada y controlada desde antes.

Por ello, “quién es responsable” no es una cuestión adicional, sino una consecuencia natural de adelantar la toma de decisiones: cuando la evaluación de riesgos forma parte de la gestión cotidiana, esa responsabilidad no puede limitarse a la ejecución, sino que recae en la alta dirección con recursos y autoridad para decidir.

Este cambio tiene un impacto muy tangible en las empresas que operan internacionalmente.

Muchas empresas, especialmente las que operan en el extranjero, carecen de mecanismos internos sistemáticos y de recursos estables y especializados. La conformidad en protección de datos suele estar dispersa entre los equipos legal, técnico, de producto o seguridad, y en la práctica, cada uno actúa por separado, improvisando respuestas cuando surge un riesgo. Aunque esto pudo ser suficiente en el pasado, en el marco regulatorio actual, ya no lo es.

Porque ahora, la supervisión no solo pregunta si existen “políticas” o “documentos”, sino si la organización puede identificar rápidamente los riesgos, formar juicios adecuados y coordinar acciones que sean aceptables para los reguladores. Para la mayoría de las empresas que operan en el extranjero, esto no es una capacidad que se pueda desarrollar solo con la experiencia interna, sino que requiere un marco de referencia más maduro, que permita revisar y reestructurar los procesos existentes, para convertir responsabilidades dispersas, límites difusos y respuestas lentas en un sistema de gobernanza que funcione de manera continua.

Por ello, el impacto real de estos cambios no radica solo en que las empresas hayan cumplido o no, sino en si logran cerrar rápidamente esa brecha de capacidades, y en que esas responsabilidades se reflejen efectivamente en la estructura organizacional.

Una tendencia similar se observa en China. La evolución del responsable de protección de datos personales también apunta a concentrar responsabilidades en niveles con recursos y autoridad adecuados. Aunque los detalles regulatorios varían, la lógica subyacente es la misma.

Para las empresas, la cuestión concreta que plantea esta revisión es muy clara:

En un entorno de riesgos aún no ocurridos y reglas todavía no completamente definidas, ¿hay alguien en la organización que pueda evaluar los riesgos y asumir las consecuencias?

Si no se puede responder afirmativamente, entonces la conformidad en sí misma deja de ser un límite real para el riesgo. La verdadera medida del riesgo empresarial radica en si la organización tiene la capacidad de hacer juicios en medio de la incertidumbre, y si esas evaluaciones están en el nivel correcto de responsabilidad.