Por: Carlos Andrés Gómez, gerente de riesgos en Global Forensic Auditing (GFA). Twitter: @gestorriesgos
El desarrollar el derecho constitucional de las personas a conocer, actualizar y rectificar información que se haya recogido sobre ellas en bases de datos o archivos es la finalidad de la ley estatutaria 1581 del 2012, Habeas Data. Por medio de esta se busca proteger la información de las personas que esté en poder de empresas públicas o entidades privadas, las cuales tienen la responsabilidad de adaptar sus procesos con el fin de realizar un manejo adecuado de sus bases de datos.
Proteger los datos de las personas en la actualidad es primordial, si vemos que a diario los delincuentes utilizan mecanismos cada vez más avanzados para cometer delitos financieros.
El riesgo es alto sobre todo cuando, sin saberlo, las personas entregan sus datos en determinado lugar llegando a verse expuestas a que estos puedan ser utilizados para unos fines diferentes a los que inicialmente fueron dados. Hoy las empresas no están exentas del riesgo sobre todo cuando son víctimas del robo de información, convirtiéndose en uno de los canales que prefieren los delincuentes para cometer los delitos.
Por ello, se resalta la importancia de que las personas, independientemente de que sean naturales o jurídicas, cuenten con las herramientas adecuadas para custodiar la información de sus clientes, proveedores, terceros o empleados, etc, y que conozcan las reglamentaciones existentes frente a la protección de los datos que manejan.
Mantener la privacidad de la información que es requerida y garantizar que esta será utilizada única y exclusivamente para los fines expuestos por la empresa o persona que la requiere es hoy obligatorio en Colombia.
Solo durante el 2015, de acuerdo al informe de gestión de la Superintendencia de Industria y Comercio (SIC), se interpusieron sanciones por incumplir la ley 1581 por un valor de $385.351 millones, que representan más de 43 veces el total de sanciones en el 2009 ($7.243 millones) y el 51 por ciento más de las multas impuestas en el 2014 ($199.810).
Por incumplir la norma, grandes empresas ya han resultado sancionadas como: Comunicación Celular S.A. Comcel S.A., Colombia Telecomunicaciones S.A. E.S.P., Caja Colombiana de Subsidio Familiar – COLSUBSIDIO y Metrokia S.A.
A nivel general, según datos de la SIC, las causas más recurrentes por las cuales se dieron las sanciones fueron: la falta de autorización para el tratamiento de los datos personales o falta del soporte o copia de la autorización para el tratamiento de los datos personales.
En esta entrada podrá enterarse de forma general en qué consiste la Ley 1581 del 2012, Habeas Data, por qué es importante su aplicación, a quiénes afecta y cuáles son esos puntos claves sobre la norma que las empresas y entidades deben tener en cuenta para evitar una sanción millonaria.
Además, esté pendiente porque se acercan fechas clave para su implementación.
Recuerde que su aplicación es obligatoria
En Colombia, la aplicación de esta Ley es obligatoria para las personas jurídicas de naturaleza privada inscritas en las cámaras de comercio, las sociedades de economía mixta, las personas naturales y las entidades públicas diferentes a las sociedades de economía mixta que posean datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.
También aplica al tratamiento de datos personales efectuado en territorio colombiano o cuando al responsable o encargado del tratamiento no esté establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.
Para entender un poco mejor la norma y su implicación es importante tener en cuenta y conocer las definiciones de algunos términos:
- Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión catalunyafarm.com.
Además, para darle cumplimiento a esta norma, los obligados deben tener en cuenta que necesitan adoptar una serie de políticas, prácticas y procedimientos que les permitan ser transparentes frente al uso de los datos de los ciudadanos.
La ley habla de varios elementos que se deben tener en cuenta al ser implementados con el fin de dar un correcto cumplimiento de la norma, algunos son:
- Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley.
- Implementar mecanismos que garanticen la atención de consultas y reclamos, por clientes, proveedores, empleados y terceros en general.
- Autorización de todos sus clientes, empleados, proveedores y terceros en general para el uso y tratamiento de sus datos personales.
- Deber de informar al titular de los datos personales sobre la ley y el manejo que se le dará a sus datos.
- Implementar el procedimiento de reclamos por parte de cualquier cliente, proveedor, empleado o tercero.
- Diseñar procedimientos para que todo titular de la información pueda consultarla, así como su actualización o suprimir la autorización del uso de sus datos personales.
- Aviso de privacidad.
Asesórese, las sanciones son severas
En la actualidad, algunas empresas no cuentan o no han definido sus políticas ni procedimientos de tratamiento de datos personales, incluso existen algunas en las que sus políticas y procedimientos han sido copiados de otras compañías o sacados de internet. Dejando así la puerta abierta a posibles sanciones por incumplimientos a lo establecido en la norma, o por falta de controles y actividades que garanticen una adecuada y correcta protección de los datos personales.
Por esto es que las empresas deben buscar asesoría y acompañamiento especializado en el tema teniendo en cuenta la naturaleza, estructura y tamaño de cada compañía. Requieren por ende una asesoría que les permita minimizar al máximo las posibilidades de tener algún tipo de sanción por parte de los órganos de control y vigilancia.
La Superintendencia de Industria y Comercio (SIC) podría llegar a interponer sanciones por incumplimientos al Habeas Data, a empresas y personas naturales debido a:
- Falta de Autorización para el tratamiento de los datos personales.
- Falta del soporte o copia de la autorización para el tratamiento de los datos personales.
- No atender las consultas o reclamaciones formuladas por los ciudadanos.
De acuerdo al artículo 23 de la Ley 1581 de 2012, la Superintendencia de Industria y Comercio podrá imponer a los responsables del tratamiento y encargados del Tratamiento las siguientes sanciones:
a. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
b. Suspensión de las actividades relacionadas con el tratamiento hasta por un término de seis meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
c. Cierre temporal de las operaciones relacionadas con el tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
d. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
Para evitar el incumplimiento de la norma y mitigar aquellos riesgos, relacionados con este tema, que se puedan presentar en el día a día de toda empresa, es importante que se definan unos procedimientos, que sean claros, estén aterrizados a la compañía e interiorizados por todos los funcionarios que hacen parte del proceso. Por otro lado, se deben tener en cuenta los posibles escenarios, canales de comunicación, personas con las que se interactúa, para que de esta forma se diseñe, defina e implementen las políticas y procedimientos más acordes a determinada compañía.
Tenga presente que…
Desde que se expidió el Decreto 1759 del 8 de noviembre de 2016 se modificó el plazo de inscripción de las bases de datos, en el Registro Nacional de Bases de Datos (RNBD), el cual tiene como fecha límite el 30 de junio del 2017; los obligados son las personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país.
Además, desde el pasado 8 de noviembre del 2016, la Superintendencia de Industria y Comercio, por medio de la Circular 001, impartió instrucciones a los responsables del tratamiento de datos personales, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, para que realicen la inscripción de sus bases de datos en RNBD a partir del 9 de noviembre de 2016.
Vea nuestro blog también aquí
El Registro Nacional de Bases de Datos – RNBD – es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual es administrado por la Superintendencia de Industria y Comercio y de libre consulta para los ciudadanos.
El Gobierno Nacional, mediante el capítulo 26 del Decreto Único 1074 de 2015, reglamentó la información mínima que debe contener el RNBD y los términos y condiciones bajo los cuales se deben inscribir en éste las bases de datos sujetas a la aplicación de la Ley 1581 de 2012.
Mediante Decreto 090 del 18 de enero de 2018, el Gobierno Nacional modificó el ámbito de aplicación del Registro Nacional de Bases de Datos y creo unos nuevos plazos para que los sujetos que resulten obligados realicen la inscripción de sus bases de datos.
Los sujetos que continúan con el deber de registrar sus bases de datos son las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100 mil Unidades de Valor Tributario (UVT) y las entidades de naturaleza pública.
Los plazos establecidos para realizar el registro de las bases de datos son tres: el primero de ellos es para las sociedades y entidades sin ánimo de lucro que tengan activos por más de 610.000 UVT, que deberán registrar sus bases de datos a más tardar el 30 de septiembre de 2018.
El segundo plazo es para las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 UVT, quienes tendrán plazo de realizar el registro hasta el 30 de noviembre de 2018.
Por último, el tercer plazo corresponde a las entidades públicas, quienes tendrán plazo para registrar sus bases de datos hasta el 31 de enero de 2019.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos ya mencionados, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.