Multas por violación de datos llegaron a $7.580 millones a cierre de 2020 según la Superindustria
La SIC lanzó una guía que las empresas deben tener en cuenta para evitar ser sancionadas y proteger los datos de los ciudadanos
12 de julio de 2021Contenido
La semana pasada se conoció que la Superintendencia de Industria y Comercio (SIC) anunció sanciones contra las cámaras de comercio de Cúcuta, Villavicencio y Montería por infringir las normas sobre protección de datos personales. Las multas, en conjunto, sumaron $225 millones.
Así mismo, la entidad aseguró que casos como estos generaron que en 2020 la violación de datos personales generara multas por $7.580 millones, consecuencia de más de 16.000 quejas que recibió la entidad.
“89.9% de ellas se presentaron por presuntas infracciones a la Ley Estatutaria 1266 de 2008 (Ley de habeas data financiero), en la cual la queja principal fue el incumplimiento del principio de veracidad o calidad de la información, es decir que los datos no son ciertos o están desactualizados.
Además, el 11% restante se dio por incumplimientos de la Ley Estatutaria 1581 de 2021, la cual indica que debe haber autorización para recolectar los datos de los usuarios. Por esta razón, la SIC misma lanzó una guía que las empresas deben tener en cuenta para evitar ser sancionadas y proteger los datos de los ciudadanos.
Deberes de las empresas
Es importante recordar cuáles son los deberes de las empresas cuando se trata de proteger datos personales. Según la Ley 1581 de 2021, la información que está sujeta a tratamiento deberá ser manejada con medidas técnicas, humanas y administrativas para otorgar la seguridad de los registros.
También, se debe conservar la información bajo las condiciones de seguridad necesarias para que no haya adulteración de los datos. Para Germán Flórez, presidente de la Asociación Colombiana de Legal Tech la recolección de datos también debe estar presente en el panorama de las empresas.
“Para que los datos puedan estar siendo recogidos por una entidad pública o privada es necesario que cuente con una autorización previa de la persona. En cuanto a las políticas de tratamiento de datos, no se trata de un tema meramente de derecho, sino también de tecnología”, dijo.
Esta información resulta relevante, teniendo en cuenta que la SIC afirmó que incluso empresas como Facebook, Uber, Tik Tok, Google y WhatsApp fueron investigadas el año pasado por tratamiento de datos.
Sobre Tik Tok, el superintendente de Industria y Comercio, Andrés Barreto, afirmó en su momento que, “estas empresas incumplían más de 50% en la protección de datos, entonces, lo que se hace es emitirles una orden con el fin de que hagan unas adecuaciones y cumplida esa orden se suspende la situación. Incumplida la orden se inicia un proceso administrativo que puede derivar en una multa”, dijo.
Guía para empresas
Uno de los puntos importantes en la guía presentada por la Superindustria son los reportes de incidentes de seguridad que deben llevar a cabo las empresas
Dicha guía recomienda que haya una documentación apropiada de los incidentes de seguridad relacionados con los datos personales. “Estos soportes no solo permitirán demostrar el cumplimiento del régimen de protección de datos personales en caso de una investigación, sino que serán útiles para evitar que esos incidentes ocurran nuevamente en su organización”, afirma el documento.
En los registros documentales de los casos a tratar deberán incluirse ciertas descripciones explicadas a continuación. En primer lugar, debe haber una descripción general de las circunstancias del incidente, como también las categorías de los titulares de los datos afectados.
La empresa deberá ser específica respecto a la fecha y hora en que ocurrió el incidente, así como también el momento exacto en que se descubrió. El documento deberá incluir las investigaciones preliminares e investigaciones que se llevaron a cabo por la organización, además de las medidas correctivas para prevenir que este tipo de incidentes vuelvan a ocurrir.
Sobre el cuidado de los datos y las auditorias que deben hacer las empresas, Flórez afirmó que “Colombia tiene un marco jurídico bastante robusto en torno a la protección de datos con 24 leyes y 14 decretos, y esto obliga a que las entidades tengan unos sistemas de auditorías para que pueda haber una correcta protección de datos”.
Otras consideraciones
La Superindustria recomienda en el documento que se debe entrenar periódicamente al equipo humano de la empresa en caso de que se presente una situación adversa relacionada con datos personales. También, la entidad u organización debe definir medidas con relación al procedimiento interno para manejar este tipo de hechos.
La comunicación es otro factor clave. Así como se debe reportar ante la SIC los incidentes con los datos, también es importante mantener los canales abiertos a las preguntas e inquietudes de los titulares cuando se presenta un robo o mal uso de la información. La transparencia es clave para evitar llamados de atención y multas.