Judicial

Multas por violación de datos llegaron a $7.580 millones a cierre de 2020 según la Superindustria

La SIC lanzó una guía que las empresas deben tener en cuenta para evitar ser sancionadas y proteger los datos de los ciudadanos

12 de julio de 2021

Cristian Acosta Argote

cacosta@larepublica.com.co
Canal de noticias de Asuntos Legales

Contenido

La semana pasada se conoció que la Superintendencia de Industria y Comercio (SIC) anunció sanciones contra las cámaras de comercio de Cúcuta, Villavicencio y Montería por infringir las normas sobre protección de datos personales. Las multas, en conjunto, sumaron $225 millones.

Así mismo, la entidad aseguró que casos como estos generaron que en 2020 la violación de datos personales generara multas por $7.580 millones, consecuencia de más de 16.000 quejas que recibió la entidad.

“89.9% de ellas se presentaron por presuntas infracciones a la Ley Estatutaria 1266 de 2008 (Ley de habeas data financiero), en la cual la queja principal fue el incumplimiento del principio de veracidad o calidad de la información, es decir que los datos no son ciertos o están desactualizados.

Además, el 11% restante se dio por incumplimientos de la Ley Estatutaria 1581 de 2021, la cual indica que debe haber autorización para recolectar los datos de los usuarios. Por esta razón, la SIC misma lanzó una guía que las empresas deben tener en cuenta para evitar ser sancionadas y proteger los datos de los ciudadanos.

Deberes de las empresas

Es importante recordar cuáles son los deberes de las empresas cuando se trata de proteger datos personales. Según la Ley 1581 de 2021, la información que está sujeta a tratamiento deberá ser manejada con medidas técnicas, humanas y administrativas para otorgar la seguridad de los registros.

También, se debe conservar la información bajo las condiciones de seguridad necesarias para que no haya adulteración de los datos. Para Germán Flórez, presidente de la Asociación Colombiana de Legal Tech la recolección de datos también debe estar presente en el panorama de las empresas.

“Para que los datos puedan estar siendo recogidos por una entidad pública o privada es necesario que cuente con una autorización previa de la persona. En cuanto a las políticas de tratamiento de datos, no se trata de un tema meramente de derecho, sino también de tecnología”, dijo.

Esta información resulta relevante, teniendo en cuenta que la SIC afirmó que incluso empresas como Facebook, Uber, Tik Tok, Google y WhatsApp fueron investigadas el año pasado por tratamiento de datos.

Sobre Tik Tok, el superintendente de Industria y Comercio, Andrés Barreto, afirmó en su momento que, “estas empresas incumplían más de 50% en la protección de datos, entonces, lo que se hace es emitirles una orden con el fin de que hagan unas adecuaciones y cumplida esa orden se suspende la situación. Incumplida la orden se inicia un proceso administrativo que puede derivar en una multa”, dijo.

Guía para empresas

Uno de los puntos importantes en la guía presentada por la Superindustria son los reportes de incidentes de seguridad que deben llevar a cabo las empresas

Dicha guía recomienda que haya una documentación apropiada de los incidentes de seguridad relacionados con los datos personales. “Estos soportes no solo permitirán demostrar el cumplimiento del régimen de protección de datos personales en caso de una investigación, sino que serán útiles para evitar que esos incidentes ocurran nuevamente en su organización”, afirma el documento.

En los registros documentales de los casos a tratar deberán incluirse ciertas descripciones explicadas a continuación. En primer lugar, debe haber una descripción general de las circunstancias del incidente, como también las categorías de los titulares de los datos afectados.

La empresa deberá ser específica respecto a la fecha y hora en que ocurrió el incidente, así como también el momento exacto en que se descubrió. El documento deberá incluir las investigaciones preliminares e investigaciones que se llevaron a cabo por la organización, además de las medidas correctivas para prevenir que este tipo de incidentes vuelvan a ocurrir.

Sobre el cuidado de los datos y las auditorias que deben hacer las empresas, Flórez afirmó que “Colombia tiene un marco jurídico bastante robusto en torno a la protección de datos con 24 leyes y 14 decretos, y esto obliga a que las entidades tengan unos sistemas de auditorías para que pueda haber una correcta protección de datos”.

Otras consideraciones

La Superindustria recomienda en el documento que se debe entrenar periódicamente al equipo humano de la empresa en caso de que se presente una situación adversa relacionada con datos personales. También, la entidad u organización debe definir medidas con relación al procedimiento interno para manejar este tipo de hechos.

LOS CONTRASTES

  • Germán FlórezPresidente de la Asociación de Legal Tech

    “El derecho a la privacidad en redes sociales es uno de los aspectos más importantes en la sociedad digitalizada en la que vivimos actualmente”.

  • Andrés Barreto Superintendente de Industria y Comercio

    “Países como Colombia tienen una población mayoritariamente joven, que consume más productos digitales y eso representa mayor exigencia en la protección de datos”.

La comunicación es otro factor clave. Así como se debe reportar ante la SIC los incidentes con los datos, también es importante mantener los canales abiertos a las preguntas e inquietudes de los titulares cuando se presenta un robo o mal uso de la información. La transparencia es clave para evitar llamados de atención y multas.