Un nuevo desafío empresarial: El adecuado tratamiento de los datos personales
La habilitación del Registro Nacional de Bases de Datos Personales administrado por la SIC obliga a las empresas a demostrar el adecuado tratamiento de los datos personales que conservan.
Es una realidad que los datos personales cada vez cobran mayor importancia a nivel empresarial y que la información individual, que es suministrada a las empresas por parte de personas naturales, bien sean clientes, empleados, contratistas, proveedores, aliados, etc. es un activo de las mismas, que hasta hace muy poco tiempo, estaba desprotegido.
Ante esta problemática y con el fin de dar protección a todos los datos personales, garantizando derechos constitucionales como el Habeas Data, el derecho a la Información y la Intimidad, el 17 de octubre de 2012 se expidió la Ley 1581 de 2012 por la cual se dictan disposiciones generales para la protección de los datos personales. Posteriormente esta ley fue reglamentada por los Decretos 1377 de 2013 y 886 de 2014, actualmente vigentes; y finalmente, la Superintendencia de Industria y Comercio (SIC) expidió la Guía de Implementación del Principio de Responsabilidad Demostrada.
En virtud de lo contemplado en la Ley 1581 de 2012, en los decretos antes señalados y en la Guía, se ha convertido en una obligación para las empresas dar un adecuado tratamiento a los datos personales que conservan, solicitando autorización para su tratamiento, evitando su pérdida, adulteración, uso fraudulento o no autorizado, y garantizando el ejercicio de los derechos de acceso, rectificación, actualización y supresión a sus titulares.
Esta obligación de implementar un programa integral de protección de datos personales se encuentra en cabeza de todas las personas jurídicas que traten datos personales y de acuerdo al Régimen General de Protección de Datos Personales vigente deben tener implementadas políticas, prácticas y procedimientos para la protección de la información personal que se encuentra en sus archivos tanto físicos como en medio magnético.
Es importante aclarar que el cumplimiento de la ley no se reduce a transcribir una política de tratamiento de los datos personales de internet o de otra empresa, sino que la misma debe ser el resultado de un análisis interno que se realice en cada organización atendiendo a su tamaño empresarial, estructura, grupos de interés, bases de datos, tratamientos, forma de tratamiento, riesgos y mecanismos de protección de la información, entre otros aspectos que deben ser valorados, so pena de continuar incumpliendo y ser sujetos de sanciones.
Dentro de las obligaciones que el Responsable, es decir la empresa, quien decide sobre los datos personales recaudados tiene, se encuentran a manera de ejemplo las siguientes:
- Solicitar y conservar copia de la autorización otorgada por el Titular
- Informar sobre el tratamiento y finalidad a la que serán sometidos los datos personales recaudados
- Implementar medidas de seguridad que eviten su pérdida, adulteración o uso fraudulento,
- Informar el canal autorizado para que los titulares puedan ejercer sus derechos de acceso, rectificación, actualización y supresión
- Informar a la Superintendencia de Industria y Comercio en el evento en que se generen incidencias
- Dar un tratamiento especial a las bases de datos sensibles
- Mantener las medidas legales, técnicas, organizativas y físicas requeridas para garantizar la protección de los datos personales.
Por no haber cumplido debidamente con sus obligaciones, la Superintendencia de Industria y Comercio en los últimos tres años ha abierto más de 1800 investigaciones administrativas por presunta violación de las normas de protección de datos, y ha sancionado empresas, dentro de las que se pueden destacar las multas impuestas a Experian Computec S.A. (ahora Experian Colombia), con $719.971.000; Distribuidora Rayco S.A.S. con $470.450.000; Colombia Móvil S.A. E.S.P con $424.887.000; Telmex Colombia S.A. con $348.226.000; Fondo de Pensiones y cesantías Protección con $21.560.000, RedCord de Colombia S.A., por $123.200.000, Almacenes Éxito, por un valor de $36.960.608 y Compañía Nacional de Chocolates S.A.S., por $96.652.500 entre otros.
Ahora bien, para efecto de dar publicidad y garantizar que los ciudadanos puedan ejercer los derechos de acceso, rectificación, actualización, corrección o supresión de la información personal que de ellos reposa en las diferentes bases de datos de las empresas, en cumplimiento de lo establecido en el Artículo 25 de la Ley 1581 de 2012, el Gobierno mediante el Decreto 886 de 2014, reglamentó el Registro Nacional de Bases de Datos (RNBD).
En este Decreto se estableció la información mínima que debe contener el RNBD, así como los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del tratamiento, es decir, todas aquellas personas naturales o jurídicas que manejen bases de datos de personas naturales.
Este RNBD es un directorio público de las bases de datos personales que estén sujetas a tratamiento (uso, circulación, recolección, almacenamiento, supresión) y que operen en Colombia, al cual deberán inscribirse todas las personas naturales y jurídicas que en ejercicio de sus actividades manejen bases de datos y será administrado por la Superintendencia de Industria y Comercio (SIC) a través de la Delegatura de Protección de Datos Personales, quien como autoridad de protección de datos personales, vigilará y verificará a través del RNBD que las entidades y empresas responsables y encargadas de los datos personales cumplan con las obligaciones y disposiciones normativas del Régimen General de Protección de Datos Personales
Se convierte entonces en una obligación para las empresas realizar la inscripción de las bases de datos que tratan en desarrollo de sus actividades y deberán además aportar a la SIC las políticas de tratamiento de la información. El RNBD requiere para la inscripción en el mismo el señalamiento por lo menos de la siguiente información de cada base de datos: (i) Datos del Responsable, (ii) Datos del Encargado, (iii) Canales para ejercer derechos, (iv) Nombre y Finalidad de la Base de datos, (v) Vigencia de la base de datos, (vi) Sistema de tratamiento de la información, (vii) Medidas de Seguridad y (viii) Política de tratamiento. .
Por otra parte, no debemos ser indiferentes frente al riesgo que en materia penal puede conllevar la violación de datos personales, ya que conforme a lo establecido en el artículo 269F de la ley 1273 de 2009 se constituye como conducta punible la violación de los datos personales, en los siguientes términos: "El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes."
En este orden de ideas, para aquellas empresas que tienen como propósito dar cumplimiento al entorno normativo externo e interno –Compliance-, la protección de datos se convierte en un tema fundamental, para evitar sanciones legales, perdidas económicas y reputacionales.
Para hacer efectivo esto, se deben llevar a cabo actividades dirigidas a dar cumplimiento a la ley, como identificar, evaluar y tener controlados los riesgos asociados a la pérdida, uso fraudulento o no autorizados de los datos personales y promover procesos, políticas y medidas de control y auditoría respecto del manejo adecuado de esos datos.
Dentro de las herramientas de gestión del riesgo de protección de datos, se encuentran los análisis de las reclamaciones presentadas por este concepto, los informes de auditoría, los informes de incidentes, el seguimiento a las demandas relacionadas con la protección de datos personales, el monitoreo a los contratos con encargados del manejo de la información, los protocolos de transferencia de datos, y los procedimientos de actualización del inventario de las bases de datos, así como los programas de formación o capacitación.
Teniendo en cuenta el panorama actual, sin duda es una decisión oportuna y acertada para las empresas, proceder a asesorarse adecuadamente para dar inicio al proceso de adaptación al Régimen General de Datos Personales actualmente vigente en Colombia, el que no esté adaptado, será sancionado.