Datos personales: el deber ineludible de los administradores

Contenido

En el entorno digital contemporáneo, los ciberataques se han convertido en una amenaza persistente para las organizaciones. Estas acciones, ejecutadas con fines ilícitos, buscan comprometer la seguridad de diferentes empresas en sus entornos tecnológicos tales como redes, sistemas informáticos o dispositivos electrónicos con el objetivo de acceder, divulgar, modificar o eliminar información sin autorización. Esta problemática adquiere mayor relevancia en una era donde los datos personales han emergido como uno de los activos más valiosos de la economía digital. La expresión “los datos son el nuevo petróleo”, acuñada por el matemático Clive Humby, ilustra cómo la información personal, al ser procesada y analizada, genera valor económico constante para las empresas. Sin embargo, esta analogía también plantea desafíos éticos y jurídicos sobre el uso y la protección de dichos datos.

En la práctica empresarial, los datos personales son esenciales para múltiples procesos: desde la contratación de personal hasta la interacción con clientes, proveedores y aliados estratégicos. Esta realidad exige una gestión responsable y proactiva frente a los riesgos derivados de su tratamiento, especialmente ante la posibilidad de incidentes de seguridad.

La Superintendencia de Industria y Comercio (SIC), ha establecido mediante la Circular Externa 003 de 2024 lineamientos específicos para los administradores societarios. En ella se destaca el principio de responsabilidad demostrada o “accountability”, el cual impone la obligación de adoptar medidas útiles, eficaces y verificables para garantizar el cumplimiento normativo en el tratamiento de datos personales.

Este principio implica que los administradores societarios no solo deben cumplir con la ley, sino también ser capaces de demostrarlo mediante políticas internas efectivas, mecanismos de control, auditorías y programas de sensibilización. Además, se les reconoce como corresponsables cuando, junto con la persona jurídica, determinan los fines o medios esenciales del tratamiento de datos.

Entre las obligaciones clave se encuentran:

• Diseñar políticas internas robustas, que contemplen la gestión de riesgos y el cumplimiento normativo.
• Implementar mecanismos de control, incluyendo responsables designados, manuales actualizados y auditorías periódicas.
• Fortalecer las medidas de seguridad, mediante la identificación de vulnerabilidades y la adopción de acciones preventivas y correctivas.

En este contexto, la protección de datos personales no debe entenderse únicamente como una exigencia legal a cargo de las áreas jurídicas de las empresas sino que debe verse y entenderse como una pieza clave en la forma en que las empresas se gobiernan y toman decisiones. Invertir en seguridad digital y en una cultura organizacional basada en la ética y la transparencia fortalece la confianza de los titulares de la información y protege la reputación empresarial.