La protección de datos personales más allá del deber de registro de bases de datos

La protección de datos personales más allá del deber de registro de bases de datos

 

Descubra si su empresa se encuentra en riesgo de ser multada por violación al régimen de protección de datos personales, aun si ya registro sus bases de datos.

Considerando las fuertes medidas sancionatorias que se están tomando para garantizar la aplicación de políticas adecuadas en materia de protección de datos, adicionales al registro de las bases de datos, conozca qué obligaciones tiene y cómo cumplirlas bajo los estándares del ordenamiento jurídico colombiano.

  • ¿Sus bases de datos contienen información de los clientes de la compañía?
  • ¿Su compañía cuenta con una aplicación (APP) para dispositivos electrónicos?
  • ¿Almacena datos de su compañía en servidores ubicados fuera de Colombia?
  • ¿Su compañía maneja formularios a diligenciar por los clientes?
  • ¿Hace uso de herramientas como encuestas de satisfacción o de preferencias?

 

Si su respuesta es afirmativa a cualquiera de estas preguntas, en usted recaen obligaciones especiales de protección de datos y requiere la aplicación de una política integral que prevea los problemas que frecuentemente se derivan del almacenamiento de información. En este sentido, ¿actualmente está aplicando un protocolo empresarial integral para la protección de datos personales? ¿Su protocolo brinda la certeza de que su asistente o secretaria no facilita voluntaria o involuntariamente información sujeta a protección? ¿cuenta con una estructura que le garantice que el departamento de mercadeo de su compañía no comparta los datos de sus clientes? ¿las imágenes captadas por las cámaras de seguridad se encuentran bajo la debida protección?

Si no tiene la certeza de que su política de manejo de datos prevé estas y tantas otras situaciones que se enmarcan en el régimen de protección de datos, el siguiente artículo será de su interés.

Como consecuencia del robo masivo de los datos personales pertenecientes a más de 87 millones de usuarios almacenados en la red social Facebook, la compañía está siendo investigada por el congreso norteamericano, por lo que podría enfrentarse a una sanción que ascendería a los 2 billones de dólares. Sin perjuicio de la multa que reciba, con la entrada en vigor de la nueva regulación de la Unión Europea en materia de protección de datos (European Union’s General Data Protection Regulation – GDPR) deberá adoptar una política íntegra que garantice los derechos de sus usuarios en esta materia.

No siendo ajena a la importancia que merece el tema, desde hace algunos años Colombia se ha asegurado de incorporar la protección de datos personales al ordenamiento jurídico elevándola a la categoría de deber legal. La materialización jurídica de esta determinación tuvo lugar cuando, en el año 2012, se expidió la Ley 1581 “Por la cual se dictan disposiciones generales para la protección de datos personales”, consagrando, por un lado, derechos atribuidos a los titulares de datos personales, y por otro, deberes exigibles respecto a los responsables del tratamiento y almacenamiento de estos.

A raíz de la consagración de dicha protección como exigencia legal, la Superintendencia de Industria y Comercio se ha dado a la tarea de ejercer sus funciones de inspección, vigilancia y control respecto al cumplimiento de los deberes que de ella se derivan, a través de la Dirección de Investigación de Protección de Datos Personales.  En consecuencia, y haciendo uso de sus competencias, en los últimos ocho años, la Superintendencia de Industria y Comercio ha impuesto más de 650 multas por un valor superior a los $21.000 millones de pesos. Entre los incumplimientos más comunes se encuentran las infracciones del régimen de habeas data, las fallas en la seguridad de la información que dan lugar a la divulgación de los datos en Internet, la utilización de información de personas con fines de mercadeo sin la autorización del titular, y el hurto y/o pérdida de la información contenida en bases de datos.

A pesar de esto, la cantidad de empresas que ignora y desatiende los deberes derivados de la protección de datos personales, sigue siendo mayoritaria. Tal parece que erróneamente se concibe que, con el registro de las bases de datos en la plataforma de la Superintendencia de Industria y Comercio, bastará para satisfacer los requisitos legales exigidos en la materia, desconociendo el deber legal de desarrollar y poner en práctica una política de manejo de datos que resulte responsable e íntegra.

Solo mediante dicha política podrían verse satisfechas todas aquellas obligaciones que la empresa recolectora de datos contrae respecto del titular de los datos personales, y los deberes que se desprenden directamente de las disposiciones que se han desarrollado en esta materia.

Al respecto, cabe añadir que existen compañías que deben observar disposiciones especiales en atención a la información que manejan o a los mecanismos que usan para la recolección, el tratamiento o el almacenamiento de la misma.

En este último supuesto, se enmarca el caso de las compañías que almacenan información de distinta naturaleza en servidores localizados fuera de Colombia. Esto, en tanto la remisión de la información generada al interior del país hacia otro, configura en todo caso una transferencia internacional de datos, por lo que deben ser observados deberes adicionales. Bajo este supuesto, la obligación principal será acreditar, ante la Superintendencia de Industria y Comercio, que el país donde se encuentra localizado el servidor cuenta con los estándares de protección de datos personales adecuados, de conformidad con las exigencias del ordenamiento jurídico colombiano.

Este tema es de especial cuidado bajo la consideración que la Superintendencia de Industria y Comercio ha reconocido su competencia para investigar casos de infracciones de tratamientos de datos personales que se realizan desde sitios ubicados fuera del territorio colombiano, a través de la figura que ha denominado “aplicación de estándares extraterritoriales de protección”, con la que busca el amparo de los derechos de los titulares de datos personales, contraídos a la luz de la ley colombiana.

En conclusión, el cumplimiento íntegro de las disposiciones en materia de protección de datos implica la aplicación de una política específicamente diseñada en consideración al manejo de información y estructura de la compañía, que se traduzca en acciones eficaces integradas al funcionamiento general de la compañía. Esto, en cuanto la ejecución aislada y limitada de algunas de las obligaciones incluidas en la ley colombiana no es suficiente para dar garantía efectiva a los titulares de datos personales que terminan a manos de distintas compañías, que sin ser conscientes terminan incurriendo en graves infracciones a este régimen, y pasan a ser severamente sancionadas.

No Comments

Post A Comment