Entidades de naturaleza pública o privada deberán implementar un mecanismo que garantice medidas apropiadas y efectivas para proteger los datos personales que manejen en sus bases internas, de acuerdo a la normativa colombiana, dichos datos solo podrán ser usados por las organizaciones para lo que expresamente haya autorizado la persona con consentimiento previo, expreso e informado.
Son bastantes los escenarios donde se escucha hablar de protección de datos personales, pero para muchos empresarios no es claro lo que esto implica: «Cuando hablamos de datos personales nos referimos a toda aquella información asociada a una persona y que permite su identificación, por ejemplo: documento de identidad, lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional, así mismo datos de ubicación como dirección, teléfono, correo electrónico y de contenido socio económico como estrato, propiedades, ingresos, egresos, inversiones, etc», así lo explica la Superintendencia de Industria y Comercio de Colombia – SIC.
Según lo establecido en los artículos 26 y 27 del Decreto 1377 de 2013, los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la SIC, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas tanto en la ley como en los decretos.
«Como parte del ‘Programa Integral de Gestión de Datos de datos Personales, las organizaciones deben comenzar por identificar todos los puntos donde se manejen dichos datos, Así mismo, las directivas deben demostrar su compromiso claro frente a la implementación del programa, mediante el establecimiento de la política y los objetivos del mismo, asegurando la disponibilidad de los recursos, brindando capacitación adecuada para el desarrollo, implementación, seguimiento, mantenimiento y mejora continua del programa, entre otros aspectos», asegura Mery Carolina Hidalgo Alférez, consultora Senior de Seguridad de ETEK International.
Las sanciones por no cumplir con la Ley de Protección de Datos Personales pueden ser: multas de hasta 2.000 salarios mínimos ($1.475,4 millones en 2017); suspensión de actividades relacionadas con tratamiento hasta por seis meses; cierre temporal de operaciones, cuando no se cumplan correctivos tras la suspensión; y cierre inmediato y definitivo de la operación que implique también el tratamiento de datos sensibles.
La SIC no obliga a compartir el listado de quiénes conforman sus bases de datos; cuando se habla de registro se refiere a compartir aspectos relacionados con el tratamiento de la información, es decir, la recolección, el almacenamiento, el uso o la circulación de los datos, así como reportar el número de clientes y empleados.
Es el momento de trazar el camino para el establecimiento de un Programa Integral de Gestión de Datos Personales, ya que, según el decreto 1115 del 29 de junio de 2017, se extendió el plazo de inscripción de las bases de datos para empresas privadas y de economía mixta hasta 31 de enero de 2018 y para Empresas Públicas hasta el 31 de enero de 2019.