Protección de datos personales en Colombia, Ley 1581 de 2012 ¿Cómo proteger la información?

La información es poder y tener acceso a los datos personales de los clientes representa un amplio conocimiento para trabajar cualquier producto o cualquier avance comercial. Sin embargo, también es una responsabilidad, ya que se debe garantizar la protección de esos datos. Cuando las personas le entregan información a una empresa, esperan que sus datos estén resguardados y que no vayan a divulgarse en el futuro. ‍

Responsabilidades frente a los datos personales en Colombia

Proteger los datos que proporcionan las personas conlleva responsabilidades jurídicas y tecnológicas por parte de las empresas para evitar filtraciones o posibles ataques. Sin embargo, estas responsabilidades no son las únicas que deben acarrear las personas involucradas. Existe un derecho llamado “Habeas data” que apunta al derecho que tiene el usuario o cliente de cambiar y solicitar que su información esté actualizada en las diferentes entidades que tienen poder sobre su información, tal como se establece en la ley 1581 de 2012.

¿Qué dice la ley 1581 de 2012 sobre la protección de datos?

Esta ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos y los demás derechos, libertades y garantías constitucionales en Colombia. En otras palabras, esta ley garantiza la protección de los datos personales entendidos como datos sensibles, mientras el titular de estos nos apruebe su utilización. 

También, esta ley establece que pueden existir ocasiones en las que sea necesario revelar datos personales en situaciones específicas como en una emergencia médica, acciones de naturaleza pública, tratamiento con fines históricos y estadísticos o acciones relacionadas con el registro civil del titular de los datos. En todo caso, esta norma busca proteger a las personas y sus datos personales, definiendo los límites cuando la protección de datos se vea alterada o se proporcionen datos sin previa autorización del titular. 

¿Quién regula el buen tratamiento de datos personales? 

Además de la ley 1581 de 2012, que busca garantizar la salvaguarda de nuestros datos, existen unas entidades encargadas de regular las acciones de las empresas para respetar y proteger los datos personales.

En primer lugar está la Superintendencia de Industria y Comercio (SIC) que se encarga de regular dicho proceso y establecer parámetros a seguir para empresas que cuenten con bases de datos. Dentro de estos parámetros se encuentran:

• Adopción de autorizaciones y políticas de protección de datos.
• Manual de procesos de tratamiento de los datos.
• Implementación de sistema de administración de riesgos.
• Existencia de inventario de bases de datos + Registro Nacional de Bases de Datos (RNBD).
• Implementación de medidas de seguridad.
• Capacitación y evaluación de funcionarios.

Igualmente, la SIC se encarga de imponer sanciones cuando no se garantice la protección de datos, muchas de estas han sido por la indebida modificación de datos personales, por no contar con la autorización previa, expresa e informada de los titulares de la información, por no conservar los datos bajo condiciones de seguridad, por no contar con canales de reclamación, o por desatender solicitudes de modificación y supresión de datos personales. La SIC debe garantizar que las empresas atiendan las solicitudes de modificación de datos de manera oportuna y que se hagan los cambios en el menor tiempo posible. 

¿Cómo garantizar una protección de datos óptima?

Tener acceso a los datos personales de usuarios y clientes es fundamental para las empresas, pero la protección de esta información también es importante, por eso a continuación, te dejamos seis consejos que se deben tener en cuenta a la hora de recopilar y salvaguardar los datos personales:

• Recopila datos personales contando con autorizaciones en las que se incluya la identificación de la empresa como responsable del tratamiento, las finalidades de su uso, los derechos de los titulares, los canales para ejercerlos y la forma de acceder a la política de privacidad.
• Implementar una política para el tratamiento de datos personales en la que se incluyan las obligaciones que tiene como responsable/encargado del tratamiento, los derechos de los titulares de la información y el proceso de atención de PQR. Esta política debe ser publicada en la página web y debe ser puesta en conocimiento de los titulares de la información.
• Desarrollar y divulgar un manual interno en el que se establezca el tratamiento de datos personales en cada uno de los momentos del ciclo de la vida del dato y en cada uno de los procesos operacionales y de negocio. También es necesario designar a una persona, área o asesor externo que asuma la función de protección de datos personales también conocido como oficial de privacidad. 
• Crear y documentar un proceso de atención de peticiones, quejas y reclamos en materia de tratamiento de datos personales, tomando en cuenta los términos legales para dar respuesta a las consultas y reclamos, lo que conlleva a activar canales a disposición de los titulares de la información para el ejercicio de sus derechos. 
• Tener en cuenta que si la sociedad o la Entidad Sin Ánimo de Lucro (ESAL) tiene activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) o si es persona jurídica de naturaleza pública, está obligado a llevar a cabo el registro de las bases ante el RNBD que lleva la SIC.
• Implementar medidas de seguridad que le permitan asegurar la confidencialidad, disponibilidad e integridad de los datos personales que son tratados por su organización, así como establecer políticas en materia de incidentes de seguridad (violación a los códigos de seguridad, perdida, robo y/o acceso no autorizado) y usar tecnologías emergentes (RPA, Analítica, drones, machine learning, big data, entre otros) como controles sobre los datos personales que puede contener.

Entender antes de consultar

Antes de cualquier negociación o acuerdo comercial, queremos conocer a la contraparte y obtener la mayor cantidad de datos personales para saber quién se encuentra ante nosotros. Sin embargo, antes de acceder a esa información sensible es necesario conocer cuáles son nuestras obligaciones frente a esa protección de datos y que sanciones podemos acarrear al no hacer un adecuado uso de los mismos. 

Es en estos casos en los cuales es bueno contar con un aliado como Tusdatos, que garantiza no solo consultas completas en tan solo minutos, sino también, la protección de esos datos que están proporcionando bajo los parámetros establecidos por las entidades reguladoras. 

Bibliografía

https://www.pwc.com/co/es/pwc-insights/proteccion-datos.html

https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981

https://www.sic.gov.co/sites/default/files/files/Nuestra_Entidad/Publicaciones/Cartilla_formatos_datos_Personales_nov22.pdf

Te recomendamos leer: ¿Cuáles son los ciberataques más frecuentes en la actualidad?