Oriental Tuvo 10 Días para Notificar a los Reguladores Una Violación de Seguridad. ¿Podrían Tu Negocio — y Tus Proveedores — Hacer lo Mismo?

En mayo de 2026, Evertec — una procesadora de pagos que maneja datos de bancos para todo Puerto Rico — descubrió que una parte no autorizada accedió a información de clientes a través de una plataforma de soporte de un tercero, exponiendo números de tarjetas y, en algunos casos, nombres, fechas de expiración, fechas de nacimiento y datos de contacto. Oriental Bank confirmó que algunos de sus clientes fueron afectados, comenzó a notificarles a través de su aplicación móvil, y empezó a reemplazar tarjetas. Bajo la Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información de Puerto Rico de 2005, una vez se detecta una violación de seguridad como esta, las partes responsables tienen un plazo improrrogable de 10 días para informar al DACO — el Departamento de Asuntos del Consumidor de Puerto Rico — antes de que la agencia haga pública la situación. 

Aunque 10 días pueden sonar como tiempo suficiente, toma hoy unos minutos para preguntarte: si un proveedor del cual dependes sufriera mañana un hackeo o filtración de tus récords, ¿te enterarías a tiempo para cumplir con este plazo? Y, ¿tu negocio realmente sabe quién es responsable de qué, o estarías respondiendo a esta crisis bajo presión y sin saber que te requiere la ley?

Nota: Si tu o tu negocio son clientes de Oriental Bank, puedes ir a su página para conocer más del incidente e informarte sobre como proteger tus cuentas.

¿Qué Cubre Realmente la Ley de Notificación de Violaciones de Seguridad de Puerto Rico?

La Ley Número 111 del 7 de septiembre de 2005, llamada la “Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información”, aprobada para responder a casos de robos de identidad, exige que toda entidad que sea dueña o custodia de un banco de información que contenga datos personales de residentes de Puerto Rico notifique a dichos residentes cuando la seguridad de ese sistema sea violada. El alcance de la ley es muy amplio: “entidad” se define para incluir prácticamente cualquier corporación, sociedad o negocio que opere en Puerto Rico, además de instituciones educativas públicas y privadas — ciertamente no se limita a bancos o servicios financieros.

¿Qué considera la Ley 111 como un “archivo de información personal” protegido? 

Cualquier expediente que contenga un nombre (o primera inicial más apellido) combinado con cualquiera de los siguientes datos, de forma legible sin necesidad de una clave criptográfica especial — es decir, una contraseña por sí sola no cuenta como protección.

Esto puede incluir:

  • Número de Seguro Social.
  • Número de licencia de conducir, tarjeta electoral u otra identificación oficial.
  • Números de cuentas bancarias o financieras de cualquier tipo (esto es exactamente la información expuesta en el incidente de Evertec).
  • Nombres de usuario y contraseñas de sistemas informáticos públicos o privados.
  • Información médica protegida por HIPAA.
  • Información contributiva.
  • Evaluaciones laborales.

La Cadena de Notificación de Dos Niveles

La Ley 111 establece una estructura que se asemeja casi exactamente a lo que está ocurriendo ahora mismo con Evertec y Oriental:

  • Si tu negocio revende o provee acceso a un banco de información digital que contiene información personal en nombre de otra entidad, y ese acceso es violado, debes notificar al dueño o custodio de esos datos — no directamente a los consumidores individuales.
  • Si tu negocio es dueño o custodio de los datos, debes notificar directamente a los residentes afectados una vez te enteres (por tus propios sistemas o por un proveedor) de que ha ocurrido una violación de seguridad.

En este caso, Evertec — como el proveedor que provee el procesamiento de datos — se ubica en la primera categoría; Oriental Bank y otras instituciones financieras afectadas, como los dueños de los datos y de la relación directa con el cliente, se ubican en la segunda. Esa es precisamente la cadena que la Ley 111 anticipó: el proveedor notifica a la institución, la institución notifica al cliente.

En la práctica, este proceso ha transcurrido de forma concurrente: el CEO de Oriental ha dicho que el banco está reemplazando proactivamente las tarjetas de los clientes afectados, describiendo el reemplazo como la forma más segura de cerrar cualquier riesgo, y ha señalado a los clientes la aplicación móvil del banco como un canal directo para verificar si su cuenta fue afectada y qué pasos seguir — incluyendo revisar las notificaciones dentro de la aplicación, usar los controles de bloqueo/congelamiento de tarjetas, y monitorear las transacciones en busca de cualquier cargo no autorizado.

Sea cual sea el alcance total que finalmente tenga este incidente, el mismo ofrece un panorama útil y real de cómo puede verse en la práctica el lado de la respuesta de una notificación bajo la Ley 111: un canal específico y accesible para que los clientes obtengan respuestas, junto con un paso de remediación real (el reemplazo de tarjetas) en lugar de solamente notificarles la situación.

La Ley 111 Contiene Requisitos Específicos — y Acciones Inmediatas

  • La notificación a los residentes afectados debe realizarse “de la manera más expedita posible”, tomando en cuenta la necesidad de las agencias del orden público de asegurar evidencia y de restaurar la seguridad del sistema.
  • Las partes responsables deben informar a DACO (el Departamento de Asuntos del Consumidor de Puerto Rico) dentro de los 10 días de haber detectado la violación — un plazo que la Ley 111 califica como “improrrogable”.
  • Una vez DACO recibe dicha información, debe hacer un anuncio público dentro de las 24 horas siguientes.
  • La notificación en sí debe ser clara y conspicua, describir la violación de seguridad en términos generales junto con el tipo de información sensitiva involucrada, e incluir un número de teléfono libre de cargos o un sitio web para más información.
  • Si la notificación directa cuesta más de $100,000 o afecta más de 100,000 personas, la Ley 111 permite en su lugar una notificación sustituta mediante un anuncio prominente en el negocio y en su página web, además de notificación a los medios de comunicación.

La Penalidad — Hasta $5,000 en Multas, Pero Ilimitada en los Tribunales

Bajo el Artículo 10 de la Ley 111, el Secretario del DACO puede imponer multas de $500 a $5,000 por cada violación. Sin embargo, este artículo también establece que estas multas no sustituyen el derecho del consumidor a demandar por separado por daños en los tribunales. Para una violación de seguridad que afecte a miles de tarjetahabientes como esta, la multa administrativa probablemente será la menor de sus preocupaciones, ya que la exposición agregada de litigios privados es donde realmente residirá el riesgo financiero.

¿Por Qué Debe Importarte Esto?

  • La Ley 111 no aplica solamente a los “bancos grandes”. Cualquier negocio — por ejemplo, un consultorio médico, un bufete de abogados, un comercio minorista, una escuela — que mantenga una base de datos de clientes con nombres combinados con números de Seguro Social, números de cuenta o credenciales de acceso, está obligado a cumplir con la Ley 111.
  • Las violaciones de seguridad de tus proveedores son, legalmente, tus violaciones. Si un procesador de pagos, un proveedor de servicios en la nube, o cualquier proveedor que utilices sufre una violación de seguridad, la cadena de la Ley 111 implica que la obligación de notificar a tus propios clientes puede recaer sobre ti, no sólo sobre el proveedor — por lo que saber cuáles de tus proveedores manejan este tipo de información importa antes de un incidente, no después.
  • El reloj de 10 días de DACO no perdona. “Improrrogable” significa exactamente eso. Un negocio que no tenga ya un plan de respuesta a incidentes que establezca quién hace qué dentro de ese plazo, estará compitiendo contra el reloj por primera vez en el peor momento posible.
  • La protección con contraseña por sí sola no te exime. La Ley 111 específicamente requiere algo más allá de una contraseña — en fin, protección encriptada — antes de que los datos queden fuera del requisito de notificación. Muchos negocios pequeños asumen que “protegido con contraseña” es suficiente. La Ley 111 claramente establece que ese no es el caso.

¿Está Tu Negocio Preparado para Manejar una Violación de Seguridad? Aquí Hay Algunas Cosas Que Puedes Empezar a Hacer Hoy.

  • Conoce exactamente cuáles de sus proveedores manejan información personal de residentes de PR, y redacta contratos con proveedores que les exijan notificar de inmediato — idealmente dentro de 24 horas — de cualquier violación de seguridad. No podrás cumplir con el plazo de 10 días de DACO si eres es el último en enterarte.
  • Ten un plan de notificación de violaciones de seguridad listo antes de necesitarlo — el plan debe contener modelos de notificaciones, un punto de contacto designado, y una ruta clara de escalamiento interno para que el plazo de 10 días no se gaste investigando quién está a cargo de qué.
  • Encripta y protege toda información sensitiva – la protección con contraseña no es suficiente. El cifrado será su mejor defensa para cumplir con la Ley 111 y proteger tu negocio.
  • No asumas que decir que “no hay evidencia de uso indebido” termina el asunto y evita responsabilidad — el deber de notificar se activa por el acceso no autorizado en sí, no por la existencia de prueba que concluya que los datos fueron usados indebidamente.

En Resumen

La situación de Evertec/Oriental es una lamentable ilustración de exactamente la cadena que los legisladores de Puerto Rico anticiparon en el 2005: una violación de seguridad de un proveedor que fluye hacia notificaciones bancarias, supervisión del DACO, y divulgación pública. Sea cual sea el resultado de este caso específico, la lección más amplia se mantiene para cualquier negocio que maneje información personal de residentes de Puerto Rico: esta ley aplica seas o no un banco, el reloj comienza en el momento que detectas la violación de seguridad, y “no lo sabíamos porque nuestro proveedor no nos avisó a tiempo” no es una defensa permitida por ley.

Si deseas asegurarte de que tu negocio cumpla con las leyes de privacidad y seguridad de datos de Estados Unidos y Puerto Rico — incluyendo tener un plan de notificación de violaciones de seguridad que cumpla con los plazos de la Ley 111 — puedes reservar una cita con nosotros hoy. Te ayudaremos a mapear tus datos, tus proveedores, y establecer tus obligaciones antes de que un incidente te obligue a aprenderlas de la forma más difícil.

[2026-07-13]

Leave a Reply

Your email address will not be published. Required fields are marked *