País | Norma / Regulación | Requisito de formación en concienciación | Artículo / apartado |
Brasil | LGPD (Lei Geral de Proteção de Dados) | Medidas preventivas y capacitación | Art. 50(2)(g) |
México | Ley Federal de Protección de Datos Personales en Posesión de los Particulares | Capacitación en privacidad y seguridad | Lineamientos, Art. 47 |
Colombia | Ley 1581 de 2012 + Decreto 1377/2013 | Capacitación en protección de datos | Guía SIC, numeral V, literal d) |
Argentina | Ley 25.326 de Protección de Datos Personales | Capacitación y concienciación recomendada en guías de la AAIP | Disposición AAIP 47/2018, Anexo I, Principio de seguridad |
Chile | Ley 19.628 sobre Protección de la Vida Privada (en reforma) | Proyecto de reforma: incorpora exigencia de formación | Art. 29 (Proyecto Ley Boletín 11144-07) |
Perú | Ley 29733 - Ley de Protección de Datos Personales + Reglamento DS 003-2013-JUS | Medidas de seguridad, incluyendo capacitación | Art. 34 del Reglamento |
Uruguay | Ley 18.331 + Decreto 414/009 | Formación del personal que acceda a datos | Art. 16 del Decreto 414/009 |
Ecuador | Ley Orgánica de Protección de Datos Personales (LOPDP) | Formación en privacidad y seguridad | Art. 47, inciso h) |
Costa Rica | Ley 8968 - Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales | Recomendación de formación en directrices de la PRODHAB | Guía para el cumplimiento de la Ley 8968, sección 5.5 |
Panamá | Ley 81 de 2019 sobre Protección de Datos Personales | Medidas organizativas incluyen formación | Art. 12(2) |
Paraguay | Ley 6534/2020 de Protección de Datos Personales | Proyectos de reglamento recomiendan formación | Proyecto de Reglamento, Capítulo IV, Art. 11 (en discusión) |
País | Norma / Regulación | Requisito de formación en concienciación | Artículo / apartado |
EE.UU. | HIPAA (Health Insurance Portability and Accountability Act) | Programas de concienciación y formación en seguridad para personal | 45 CFR §164.308(a)(5)(i) |
GLBA (Gramm-Leach-Bliley Act) - Safeguards Rule | Formación para empleados sobre privacidad y seguridad de información financiera | 16 CFR Part 314 - §314.4(b)(1) |
NERC CIP (Critical Infrastructure Protection) | Formación en seguridad cibernética para personal de infraestructuras críticas | CIP-004-6, Requisitos R1 y R2 |
CMMC (Cybersecurity Maturity Model Certification) | Formación en concienciación en seguridad en todos los niveles de la organización | CMMC Level 1-5, CA.2.161 (Awareness and Training) |
SOX (Sarbanes-Oxley Act) | Formación recomendada para protección de controles internos (no explícita en ley, sí en frameworks de implementación) | COSO Framework (utilizado para SOX compliance), componente "Control Environment" |
FISMA (Federal Information Security Modernization Act) | Formación en concienciación para empleados federales y contratistas | FISMA §3544(b)(4) |
DFARS (Defense Federal Acquisition Regulation Supplement) - NIST SP 800-171 | Formación de concienciación en seguridad para personal que maneje CUI (Controlled Unclassified Information) | NIST SP 800-171 Rev 2, Control 3.2.1 |
Canadá | PIPEDA (Personal Information Protection and Electronic Documents Act) | Formación recomendada para el cumplimiento del principio de seguridad | OPC Guidelines — "Safeguards Principle 4.7" |
Directive on Security Management (Gobierno Federal) | Formación obligatoria para personal en materia de seguridad (incluye ciberseguridad) | Sección 4.1.1.2, Sección 4.2.1 |
Personal Health Information Protection Act (PHIPA - Ontario) | Formación para protección de información de salud personal | PHIPA Regulation, O. Reg. 329/04, s. 6(2)(c) |
México | Ley Federal de Protección de Datos Personales en Posesión de los Particulares | Capacitación en privacidad y seguridad | Lineamientos de la Ley, Art. 47 |
Ley de Protección y Defensa al Usuario de Servicios Financieros (Condusef) + Criterios de Seguridad de la CNBV | Requiere programas de concienciación en seguridad para personal del sector financiero | Criterios CNBV 2020, Disposición Tercera, Inciso VI |
Normas del Sector Salud - NOM-024-SSA3-2012 | Capacitación en seguridad y confidencialidad de la información clínica electrónica | Artículo 7.1 y 7.2 de la Norma |
País | Norma / Regulación | Requisito de formación en concienciación | Artículo / apartado |
Sudáfrica | POPIA | Formación para proteger la información personal | Sect. 19(1)(b) POPIA |
Nigeria | NDPR | Formación en seguridad de datos | Part. 2.6(c), Implementation Framework |
País | Norma / Regulación | Requisito de formación en concienciación | Artículo / apartado |
Emiratos Árabes Unidos (UAE) | DIFC Data Protection Law No. 5 of 2020 | Formación en privacidad y seguridad para el personal | Art. 14(1)(e) |
UAE Information Assurance Standards (IAS) | Formación obligatoria en ciberseguridad para todo el personal | Control 5.4.1 — "Security Awareness, Education and Training" |
Arabia Saudita | Essential Cybersecurity Controls (ECC-1: 2018) — National Cybersecurity Authority (NCA) | Requiere programas de concienciación en ciberseguridad para todos los niveles | Domain 4 — Human Resources Security, Control 4.2 |
Personal Data Protection Law (PDPL) — Ley de Protección de Datos Personales (Regulación 2021) | Incluye formación en privacidad en medidas organizativas | Art. 2, Art. 7, Reglamento Ejecutivo Art. 30(f) |
Qatar | Law No. 13 of 2016 on the Protection of Personal Data | Obliga a tomar medidas adecuadas que incluyen capacitación | Art. 11 |
Qatar National Information Assurance Policy (QNIAP) | Requiere programas de concienciación en ciberseguridad | Domain 5 — Awareness and Training |
Israel | Protection of Privacy Regulations (Data Security), 2017 | Requiere capacitación para empleados que traten datos personales | Section 2(a)(7) |
Bahréin | Law No. 30 of 2018 — Personal Data Protection Law (PDPL) | Requiere formación para cumplimiento de seguridad de datos | Art. 12(3), Art. 16 |
Omán | Royal Decree 82/2020 — Personal Data Protection Law (PDPL) | Formación en privacidad como parte de medidas de seguridad | Art. 10(4) |
Kuwait | Kuwait Cybercrime Law No. 63 of 2015 + Guías regulatorias (Central Bank of Kuwait) | Formación recomendada en ciberseguridad y fraude digital en el sector financiero | CBK Cybersecurity Circular, Section 5.6 |
País | Norma / Regulación | Requisito de formación en concienciación | Artículo / apartado |
Unión Europea | NIS2 Directive (EU) 2022/2555 | Medidas de gestión de riesgos incluyen formación | Art. 20(2)(d), Art. 21(2)(c) |
GDPR (EU) 2016/679 | Formación del personal que trate datos personales | Art. 39(1)(b) |
DORA (EU) 2022/2554 | Formación en riesgos TIC para personal relevante | Art. 13(6) |
Alemania | BSI IT-Grundschutz | Formación y concienciación en seguridad | BSI Standards 200-1, Cap. 4.4.2 |
IT-Sicherheitsgesetz 2.0 | Formación en ciberseguridad para operadores críticos | §8a BSIG (Bundesamt für Sicherheit in der Informationstechnik) |
Francia | LPM (Loi de programmation militaire) | Formación en seguridad para OIV | Art. L2321-2-1, Código de Defensa |
RGPD (transposición nacional) | Formación obligatoria según CNIL | CNIL Guide - "Sensibilisation des employés" |
España | Esquema Nacional de Seguridad (ENS) | Formación y concienciación en seguridad | Anexo II, Requisito OP.4.1 |
Ley Orgánica 3/2018 (LOPDGDD) | Medidas organizativas incluyen formación | Art. 32(1)(d) |
Italia | GDPR (aplicación nacional) + Misure Minime di Sicurezza ICT per la PA (AgID) | Formación en concienciación en ciberseguridad para empleados públicos | AgID Circular n.2/2017, Sección 5 |
Países Bajos | BIO — Baseline Informatiebeveiliging Overheid | Formación en seguridad para todo el personal | BIO v1.01, Maatregel 8.1.3 |
Bélgica | GDPR (transposición nacional) | Formación obligatoria en políticas de seguridad | Autorité de protection des données — Recommandations 2022 |
Suecia | GDPR + MSB regulations (Myndigheten för samhällsskydd och beredskap) | Formación en seguridad TIC | MSBFS 2020:6, Section 8 |
Dinamarca | GDPR + National Cyber and Information Security Strategy | Formación y concienciación en seguridad | Danish Strategy 2022-2024, Action 2.1 |
Finlandia | GDPR + National Cyber Security Strategy 2019 | Concienciación y formación del personal | Strategy Action 2.1 |
Noruega | Personal Data Act + National Cyber Security Strategy | Formación continua en ciberseguridad | Strategy Action 2.2 |
Irlanda | GDPR + DPC (Data Protection Commission) Guidance | Formación en privacidad y seguridad | DPC Guide on Training and Awareness 2020 |
Polonia | Act on the National Cybersecurity System (2018) | Requiere concienciación en ciberseguridad | Art. 15(1)(6) |
Hungría | Act L of 2013 on the Electronic Information Security of State and Municipal Bodies | Formación en seguridad | Section 19 |
República Checa | Cybersecurity Act No. 181/2014 Coll. | Formación en seguridad cibernética | §6(4) |