La protección de datos y la privacidad de la información representan un reto importante para las compañías nacionales, en la medida en que conlleva la implementación de aspectos jurídicos y tecnológicos específicos de estricto cumplimiento. En ese contexto, los líderes de los negocios se enfrentan a crecientes expectativas sobre la privacidad de datos y seguridad de sus clientes, así como de las entidades reguladoras; por lo que, desde PwC Colombia queremos que sepas qué es la protección de datos, la importancia, los deberes y las garantías que se deben aplicar, entre otros aspectos.
El derecho de hábeas data es aquel derecho fundamental que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de entidades de naturaleza pública o privada.
Ahora bien, es importante identificar los roles de las personas que interactúan con la información del titular de los datos en el tratamiento de los mismos, para con base en ello, determinar las obligaciones que les asisten. Por una parte, se encuentra el responsable del tratamiento de datos, quién es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base o el tratamientos de los datos y por otra, está el encargado del tratamiento, el cual se define como aquella persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de los datos personales por cuenta del responsable.
¿Cuáles son algunos de los deberes del responsable de los datos?
En primer lugar, garantizar en todo tiempo el pleno y efectivo ejercicio del derecho de Hábeas Data, es decir, el derecho que tienen todas las personas a conocer, actualizar, rectificar la información que se haya recogido sobre ellas.
Así mismo, la entidad debe informar al momento de solicitar la autorización para el tratamiento de datos las finalidades específicas a las cuales serán sometidos esos datos, también debe informar los derechos que tiene el titular de la información, cumpliendo con lo dispuesto en el artículo 8, 9 y 12 de la ley 1581 de 2012, cabe resaltar que se debe mantener una copia de la respectiva autorización otorgada por el titular para el tratamiento de datos.
Tengan en cuenta que todas las entidades deben contar con los canales necesarios al interior, para tramitar las consultas o reclamos formulados en los términos de la ley. Debe dar respuesta a las preguntas de los titulares cuando sean sobre datos sensibles (aquellos que afectan la intimidad, que revelen origen etnico, orientación política, convicciones religiosas, fotografías, datos biométricos, entre otros).
Con respecto a la seguridad de la información,el responsable tiene el deber de conservar la información bajo las condiciones de seguridad necesarias para impedir su pérdida o alteración y ante cualquier incidente se debe informar inmediatamente a la autoridad competente, garantizando el cumplimiento del artículo 17 de la ley 1581 de 2012, deberes de los responsables del tratamiento de datos personales.
Por su parte, el responsable de datos se compromete a contar con una política de datos personales en un medio físico y/o electrónico, la cual debe ser puesta en conocimiento de los titulares de datos. También deberá tener uno o varios manuales de procedimientos internos referentes a las consultas, reclamos, a los incidentes de seguridad, con un lenguaje claro y sencillo.
¿Qué es objeto de verificación por parte de la Superintendencia de Industria y Comercio?
Adopción de autorizaciones y políticas de protección de datos
Manual de Procesos de tratamiento de los datos
Implementación de sistema de administración de riesgos
Existencia inventario de bases de datos + RNBD
Implementación de medidas de seguridad
Capacitación y evaluación de funcionarios
Ante dichas verificaciones, la mayoría de sanciones impuestas por la SIC han sido por la indebida modificación de datos personales, por no contar con la autorización previa, expresa e informada de los titulares de la información, por no conservar los datos bajo condiciones de seguridad, por no contar con canales de reclamación, también por desatender solicitudes de modificación y supresión de datos personales,estas solicitudes deben atenderse de manera oportuna, sin que la persona deba insistir para hacer valer sus derechos.
Recomendaciones de PwC Colombia
Recuerde siempre recopilar datos personales contando con autorizaciones en las que se incluya la identificación de la empresa como responsable del tratamiento,las finalidades del tratamiento, los derechos de los titulares, los canales para ejercerlos y la forma de acceder a la política de privacidad.
Por otra parte, implemente una política para el tratamiento de datos personales en donde se incluyan las obligaciones que tiene como responsable/encargado del tratamiento, los derechos de los titulares de la información, y el proceso de atención de PQR, no olvide publicar la política en su página web y ponerla en conocimiento de los titulares de la información.
Dentro de su organización desarrolle y divulgue un manual interno en el que se establezca el tratamiento de datos personales en cada uno de los momentos del ciclo de la vida del dato y en cada uno de los procesos operacionales y de negocio. Adicional, designe una persona, área o asesor externo que asuma la función de protección de datos personales (oficial de privacidad).
Cree y documente un proceso de atención de peticiones, quejas y reclamos en materia de tratamiento de datos personales, tomando en cuenta los términos legales para dar respuesta a las consultas y reclamos, lo que conlleva a activar canales a disposición de los titulares de la información para el ejercicio de sus derechos
Tenga presente que si la sociedad o ESAL tiene activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) o si es persona jurídica de naturaleza pública, está obligado a llevar a cabo el registro de las bases ante el Registro Nacional de Bases de Datos (RNBD) que lleva la Superintendencia de Industria y Comercio. .
Por último, implemente medidas de seguridad que le permitan asegurar la confidencialidad, disponibilidad e integridad de los datos personales que son tratados por su organización, establezcas políticas en materia de incidentes de seguridad (violación a los códigos de seguridad, perdida, robo y/o acceso no autorizado)y use tecnologías emergentes (RPA, Analítica, drones, Machine learning, big data entre otros) como controles sobre los datos personales que puede contener.
Visita el sitio web del servicio de protección de datos y registro nacional de bases de datos de PwC: https://www.pwc.com/co/es/nuestros-servicios/legal/proteccion-de-datos-y-registro-nacional-de-bases-de-datos.html
Gerente del servicio:
Juan Manuel Duarte
Gerente Legal PwC Colombia