Requerimiento de Información

La seguridad de los datos se muestra y demuestra

24 de marzo de 2021

Luis Alberto Castell Borrero

Asociado a Baker McKenzie
Canal de noticias de Asuntos Legales

Contenido

La información es uno de los activos más importantes para las empresas, y como parte ella, los datos personales son cada vez más atractivos para entender y comprender las preferencias de los consumidores. Sin embargo, estos datos hacen parte de un grupo de datos de especial interés y protección, no a nivel legal y estatutario, sino constitucional.

Esta protección se materializa a través de la Constitución misma (artículo 15) y la Ley Estatutaria de Protección de Datos Personales (Ley 1581 de 2012). Esta última reconoce como principio fundamental para el tratamiento de datos personales, el principio de seguridad. Este principio consiste en la obligación de tratar este tipo de datos "con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento".

La Superintendencia de Industria y Comercio ("SIC") ha visto en la seguridad de los datos personales el pilar fundamental de la garantía constitucional del habeas data. Por ello, ha propendido porque quienes tratan este tipo de datos adelanten esfuerzos desde el diseño de sus proyectos y líneas de negocios, para garantizar la seguridad de esta información. Así, en virtud del principio de responsabilidad demostrada, quienes tratan estos datos tienen la carga de demostrar que tienen medidas de seguridad proporcionales a la importancia de los mismos.

Recientemente, la SIC expidió su "Guía para la gestión de incidentes de seguridad en el tratamiento de datos personales". en esta guía la autoridad refleja su posición sobre los controles preventivos suficientes para evitar que los datos personales puedan exponerse a accesos no autorizados. La SIC resalta la importancia de los protocolos de respuesta para el manejo de incidentes de seguridad, que les permiten a las empresas: (i) detectar, identificar, y clasificar sus riesgos de seguridad; (ii) identificar las causas de esos riesgos; (iii) implementar medidas preventivas; (iv) definir protocolos de respuesta en caso de incidentes; (v) asignar roles y responsabilidades; (vi) evaluar su respuesta y mejora continua; (vii) acciones para cada tipo de evento de riesgo, y; (viii) documentación adecuada de los incidentes.

La adopción de mecanismos adecuados de protección de los datos personales recae en la entidad que hace su tratamiento. Por esto, y en aplicación del principio de responsabilidad demostrada, es la entidad la que debe demostrar ante la autoridad que implementó las medidas necesarias para proteger esta información, y no la SIC la que debería demostrar que no lo hizo.

En este escenario, la aplicación de estándares internacionales de seguridad de la información, como puede ser la ISO/IEC 27000 (referencia normativa de la NTC-ISO-IEC 27001), permite a las empresas demostrar a la SIC y los titulares de los datos que tratan, la aplicación de procedimientos técnicos adecuados y reconocidos mundialmente para asegurar la información personal. Estos estándares incluyen procedimientos internos que se estiman suficientes para prevenir la ocurrencia de incidentes previsibles, y procedimientos adecuados de detección, reporte, y mejora frente a incidentes inesperados