Así puedes verificar si estás cumpliendo con las normas de tratamiento de datos personales 

9 de junio de 2023

Para evitar sanciones, lo recomendable es buscar un experto que acompañe a la empresa en estas materias, así como contar con una política de protección de datos.

Aunque suele pasarse por alto, la política de tratamiento de datos personales es uno de los temas jurídicos que los emprendedores y los empresarios deben tener en cuenta para evitar las sanciones que acarrea su incumplimiento. 

Según la Superintendencia de Industria y Comercio, SIC, el primer paso para estipular una política de tratamiento de datos adecuada es contar con la autorización de los titulares de los datos. En caso de no hacerlo, quien viole la Ley 1581 de 2012 se expone a sanciones administrativas, como el bloqueo total de la actividad, acompañada de multas económicas de hasta 2.000 salarios mínimos.

“Los principales motivos por los cuales la SIC ha puesto sanciones frente al régimen general de protección de datos personales ha sido por incumplimiento de  instrucciones de la entidad, es decir, que los empresarios creen que solo con tener una política de privacidad se cumple con la ley”, dijo Mónica Moreno, abogada de la firma MS Legal, en el webinar sobre el régimen de protección de datos organizado por MisiónPyme.

Además de ello, Moreno explicó que los empresarios suelen creen que basta con cumplir la Ley 1581, que reconoce y protege el derecho a conocer y rectificar las informaciones que se hayan recogido en bases de datos o archivos, y que pueden dejar de lado otros cuerpos normativos y las guías que ha implementado la SIC con las instrucciones para el cumplimiento del régimen general.

De hecho, la SIC ya ha sancionado compañías por no tramitar solicitudes de supresión de datos, carecer de un manual interno de políticas y procedimientos, no garantizar el ejercicio del derecho de habeas corpus, no contar con medidas de seguridad o no tramitar quejas en materia de habeas data, entre otras. Dichas multas oscilan entre $17 y $106 millones. 

“Una de las principales falencias tiene que ver con la autorización, la cual se vuelve el elemento habilitador legal que me deja tratar los datos como persona jurídica o natural, porque las personas naturales que tratan datos con fines comerciales también tienen que cumplir con esta normativa”, explicó. 

Juan Diego Guzmán Botero, Socio Galo Estudio Legal y quien también intervino en el mismo webinar al que se conectaron más de 200 personas, señaló que el tratamiento de datos personales comienza con el registro o la captura del dato “que puede ser física, como en una planilla que llenamos cuando vamos a una clínica, o digital como cuando llenamos un formulario virtual. Posteriortemente, pasamos a una etapa de almacenamiento, donde el dato es resguardado en esas bases de datos físicas o virtuales”.

En la etapa siguiente, está el uso que le va a dar la compañía al dato que está recogiendo, lo cual debe estar alineado con la autorización que recibe y que en  ningún caso puede excederla, toda vez que estaría  trasgrediendo la confianza del titular de la información.

De acuerdo con Guzmán, un tema clave que hay que tener en cuenta es el ciclo del vida del dato, porque la legislación vigente establece con claridad que las compañías no pueden quedarse toda la vida con los datos personales. 

“El dato tiene que cumplir unas finalidades, las cuales se establecen en el consentimiento que se firma cuando se entrega el dato personal y una vez cumplidas estas finalidades el dato debe tener una disposición final y ser eliminado”, señaló.

Un tema no menos importante es que, después de recibir la autorización, las empresas deben tener en cuenta los principios que rigen el tratamiento de datos a partir de los cuales la SIC toma sus decisiones e impone las sanciones.

Según Mónica Moreno, de MS Legal, los principios son 8 y complementan las obligaciones que contemplan las normas relacionadas con la protección de datos. Entre los principales se cuentan el de transparencia, seguridad, legalidad, veracidad o calidad, libertad, confidencialidad, acceso o consulta y circulación restringida, y finalidad.

Y aunque implementar las autorizaciones y la política de tratamiento de datos en el desarrollo de un negocio es difícil, ambos expertos recomiendan que antes de hacer cualquier registro de datos hay que preguntarle a la persona, en forma escrita o verbal, si autoriza el tratamiento de datos.

“La ley no ampara el silencio. Si una persona no dice nada, yo no puedo asumir que me dio autorización”, dijo Moreno. 

Para evitar sanciones, lo recomendable es buscar un experto que acompañe a la empresa en estas materias, así como contar con una política de protección de datos que tenga los siguientes elementos: 

  •  Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.
  • Tratamiento al cual serán sometidos los datos y finalidad de estos.
  • Derechos que le asisten a los titulares.
  • Persona o área responsable de la atención de peticiones, consultas y reclamos.
  • Procedimiento para que los Titulares de la información puedan ejercer sus derechos.
  • Fecha de entrada en vigor de la política de Tratamiento de la información y período de vigencia de la base de datos.

compartir