Datos Personales

Obligaciones para el tratamiento de datos personales

01 de abril de 2022

María José Pardo

Asociada de Holland & Knight
Canal de noticias de Asuntos Legales

Contenido

Los datos personales han tomado un gran valor para los empresarios, los cuales no se limitan a información de sus clientes, proveedores, trabajadores etc., sino que los mismos se han traducido en activos de gran valor que deben ser manejados y gestionados de manera adecuada.

El pasado 31 de marzo de 2022 se cumplió el término para que las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT), obligadas conforme a la Ley 1581 de 2012, registrarán y actualizarán sus bases de datos personales ante el Registro Nacional de Bases de Datos (Rnbd). Este registro es implementado como un instrumento de supervisión de la Superintendencia de Industria y Comercio (SIC), que busca garantizar el correcto tratamiento de bases de datos personales y los derechos de los titulares.

El hecho de llevar a cabo un manejo adecuado de las bases de datos no implica únicamente tener a la mano documentos de autorizaciones y políticas de tratamiento, sino que se debe dar una implementación práctica de procedimientos y lineamientos de seguridad de la información sobre la cual recae el tratamiento.

Por su parte el responsable del tratamiento de datos personales siempre debe velar por los derechos de los titulares al:

(i) informar la finalidad de la recolección de manera clara y exacta a los titulares;

(ii) mantener medidas seguridad debidas de la información y bases de datos personales, con el propósito de evitar su perdida, uso o acceso indebido;

(iii) recolectar la autorización del titular para el correcto manejo de sus datos de manera clara, concreta y sencilla, de acuerdo con las finalidades establecidas;

(iv) llevar a cabo un plan de contingencias en caso de que se presente una filtración de información.

Adicionalmente, a partir de la actualización y registro de bases de datos, se generan obligaciones adicionales a las empresas las cuales se resumen de la siguiente manera:

(i) presentar un reporte de reclamos por parte de titulares de datos personales a más tardar dentro de los primeros 15 días hábiles de febrero y agosto;

(ii) actualizar las bases de datos que tengan cambios sustanciales dentro de los primeros 10 días hábiles de cada mes;

(iii) inscribir las bases de datos nuevas a más tardar dos meses posterior a su creación.

El incumplimiento de prácticas adecuadas para el tratamiento de datos y de las obligaciones mencionadas podrían generar las siguientes penalidades impuestas por parte de la Superintendencia de Industria y Comercio, como las siguientes:

(i) multas de hasta 2.000 salarios mínimos mensuales legales vigentes;

(ii) suspensión de las actividades relacionadas con el tratamiento hasta por un término de seis meses;

(iii) cierre temporal de las operaciones relacionadas con el tratamiento;

(iv) cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

En conclusión, es fundamental que las empresas tengan en cuenta que el cumplir con obligaciones de tratamiento de datos personales no implica una series de documentación necesaria del titular, sino una aplicación real de mecanismos y lineamientos de seguridad.