¿Cuáles son las principales sanciones en materia de protección de datos personales? – Parte I

Comparto con ustedes, artículo de opinión que escribí para la Corporación Colombia Digital.

 

El próximo 17 de octubre cumple cuatro años de expedida la ley 1581 de 2012, conocida como ley de habeas data o ley de protección de datos personales. Si bien ha pasado un tiempo importante, es increíble que siguen existiendo demasiados casos donde las empresas ni siquiera tienen una política de tratamiento de datos personales, o en el peor de los casos, tienen una política copiada, tal cual, de otra empresa.

Sin embargo, si revisamos las sanciones que la Superintendencia de Industria y Comercio (SIC) ha impuesto por incumplimiento del régimen de protección de datos personales, tendremos luces sobre en qué están fallando las empresas para cumplir con la ley.

En este artículo vamos a analizar los dos mayores motivos de sanción:


Primer motivo de sanción a las empresas:

No solicitar o conservar copia de la autorización para el tratamiento de datos personales

El 47% de las empresas sancionadas por la SIC por violación de la ley de protección de datos personales, lo han sido por no solicitar ni conservar copia de la autorización para el tratamiento de datos personales.

Las empresas aún no han entendido la premisa básica de la ley: por cada registro con información personal se debe tener la autorización para el tratamiento de esos datos personales. Ese es el núcleo, la espina dorsal, el corazón de la ley.

Las empresas deben tener claro que todo instrumento que utilicen para la captura de datos personales debe tener la autorización para el tratamiento de esos datos, ya sea, desde un formulario de contacto en su página web, hasta en los formatos de creación o actualización de proveedores, incluso con sus empleados, actualizando los contratos, o incorporando otro si, donde solicite la autorización para el tratamiento de la autorización.

“Es increíble que existan empresas que no tienen una política de tratamiento de datos, o tienen una copiada de otra empresa”

Si el día de mañana la SIC hace una inspección a su empresa y le solicita la prueba de autorización del tratamiento de datos de ‘Pepa Pérez’, ¿está usted en capacidad de mostrar esa autorización? Si la respuesta es no, es fundamental que inicie por esto. El medio no importa, siempre y cuando se pueda consultar de manera posterior y cuente con todos los requisitos de ley. Es decir, puede ser por correo electrónico, telefónicamente, físico, video, etc., lo importante es que se pueda consultar posteriormente para verificar que en efecto se ha dado el consentimiento.

Para terminar con este aspecto, es importante que la empresa tenga en cuenta los requisitos que debe tener la autorización del tratamiento de datos personales, estos se encuentran consignados en la ley y en el decreto reglamentario, y las condiciones especiales que se deben tener en cuenta en caso de que se trate de captura de datos personales de niños, niñas y adolescentes, y de datos sensibles.


Segundo motivo de sanción a las empresas:

No tramitar las consultas y reclamos formulados

El 39% de las empresas sancionadas por violación de la ley de protección de datos personales, lo han sido por no tramitar las consultas y reclamos formulados por los titulares de la información, o si hacen el trámite, lo hacen fuera de los términos establecidos en la ley 1581 de 2012.

Siempre me gusta poner como ejemplo la sanción de la SIC a la empresa Gescom S.A por $32.217.500 (Resolución 101695 de 2015), por no contestar un correo electrónico donde un ciudadano que había remitido su hoja de vida, había solicitado en dos oportunidades informar qué tratamiento le darían a los datos consignados en ella. En este caso, la empresa se demoró en contestar, o no contestó en los tiempos establecidos en la ley, y fue sujeto de sanción.

Es importante que las empresas revisen todos sus canales de comunicación con clientes internos y externos, y revisen los procedimientos que tienen para la recepción de una consulta o reclamo por tratamiento de datos personales. De nada sirve que se tengan las mejores políticas si no se tienen afinados los procesos de comunicación con los clientes finales y si no están claros y definidos los canales que se han dispuesto para este tipo de trámite, o en el peor de los casos, su área de servicio al cliente no tiene conocimiento del procedimiento que debe llevar a cabo en caso de la recepción de una consulta o reclamo en este sentido.

 

Fuente: Colombia Digital

Autor: Heidy Balanta

Abogada. Especialista en Derecho Informático y Nuevas Tecnologías

Compartir este post en