Con ocasión a los requerimientos masivos que están siendo emitidos por la Superentendía de Industria y Comercio respecto del cumplimiento que tienen todas las compañías de adoptar políticas de tratamiento de datos personales e implementar las medidas de seguridad necesarias sobre las bases de datos, se hace necesario resaltar uno de los importantes principios sobre los cuales la administración determina el cumplimiento o no de la normatividad en materia de datos personales.
El principio de accountability o mejor conocido como “Principio de responsabilidad demostrada”, según el cual, una compañía que recoge y hace tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las medidas que implementen los principios de privacidad y protección de datos.
Uno de los apartes más relevantes del Decreto 1377 de 2013, en el artículo 26, se introdujo en el criterio de la responsabilidad demostrada como una obligación en cabeza de los Responsables del Tratamiento (las empresas que deciden sobre el uso y finalidad de los datos). Igualmente, dispuso que los Responsables deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
Uno de los contenidos más importantes de la norma reglamentaria, es la estipulación según la cual la Superintendencia de Industria y Comercio, en su calidad de autoridad nacional de protección de datos, debe tener en cuenta la existencia de medidas y políticas adecuadas en el momento de evaluar la imposición de una sanción.
“Toda compañía que tenga bases de datos y realice tratamiento sobre los mismos, no está exenta de ser requerida por parte de la Superintendencia de Industria y Comercio.”
La norma establece de manera específica que estas medidas se deben adoptar teniendo en cuenta diversos factores que son propios de cada compañía entre los que se encuentran; i) Su tamaño y naturaleza jurídica, ii) La naturaleza de los datos tratados, ii) El tipo de tratamiento al que se someta la información y, iv) Los riesgos que implique para los titulares la recolección y posterior uso o circulación de esos datos.
En este mismo sentido, el artículo 27 del Decreto 1377 de 2013 dispuso que las políticas internas efectivas que se implementen al interior de cada compañía deberán garantizar, i) Que en la organización exista una estructura administrativa proporcional a la estructura del responsable para implementarlas, ii) Que se adopten mecanismos internos para poner en práctica las políticas que incluyan herramientas de implementación, entrenamiento y programas de educación y iii) La adopción de procesos para la atención de reclamos y consultas de los titulares.
Las compañías que implementan una política de seguridad de la información que contenga medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los datos personales, genera beneficios y se traduce en el cumplimiento del principio de responsabilidad demostrada, lo que le permitirá hacer frente a los requerimientos de la Superintendencia de Industria y Comercio, minimizando el riesgo de ser sancionado.
Si requiere acompañamiento legal especializado en la revisión e implementación de la política de seguridad de la información en su compañía póngase en contacto con nosotros.
No dude en contactarnos si requiere nuestra asesoría y acompañamiento en este importante asunto.
Cordialmente,
Abel Cupajita Rueda
Abogado Socio & CEO
Juan David Barrera Velásquez
Abogado Asociado
Diana Carolina Ramirez Barrera
Abogada Socia Senior