Contenido
De conformidad con lo establecido recientemente por la autoridad de protección de datos personales, la Superintendencia de Industria y Comercio (“SIC”), los administradores de las sociedades son corresponsables del tratamiento de datos personales que realice la persona jurídica cuando en conjunto con esta última, determinen los fines del tratamiento, o medios en los que se ejecuta.
¿Cuál es el fundamento normativo de la responsabilidad?
La Circular Externa 003 de 2024 estableció esta consideración a partir de la definición contenida en la Ley 1581 de 2012 -ley general que regula el tratamiento de datos personales- de “Responsable del Tratamiento”, según la cual es responsable la “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos” (Destacado de la SIC en la Circular 003 de 2024), junto con el principio de responsabilidad demostrada, que exige a los responsables la implementación de medidas apropiadas y efectivas para cumplir con las obligaciones de la Ley 1581 de 2012. La SIC igualmente trajo a colación el examen de constitucionalidad de la Corte Constitucional, realizado en el 2011, a la Ley 1581 de 2012, para reiterar que una persona será responsable del tratamiento cuando tenga la capacidad de determinación, o capacidad de influencia de hecho. Esto para justificar la mencionada corresponsabilidad entre la persona jurídica y los administradores cuando efectivamente se materialicen los supuestos establecidos anteriormente.
¿Cuáles son las instrucciones de la Autoridad de Protección de Datos para los administradores?
De haber corresponsabilidad, dice la SIC, los administradores deben acatar las siguientes instrucciones:
• Darle cumplimiento a la regulación de protección de datos personales.
• Monitorear y controlar el cumplimiento de las políticas internas de protección de datos personales de la compañía.
• Adoptar mecanismos internos para hacer cumplir las políticas internas.
• Establecer lineamientos para que la organización adopte medidas preventivas para garantizar la protección de los datos personales de los titulares. La SIC pone como ejemplo realizar estudios de impacto de privacidad preventivos.
• Establecer lineamientos para que la organización constantemente actualice medidas que busquen garantizar la seguridad de la información.
Es relevante considerar que la Circular expedida y las instrucciones que esta contiene son un mero alcance e interpretación de la autoridad administrativa respecto de las normas de la Ley 1581 de 2012 y sus normas reglamentarias. La autoridad indica en la Circular que es su rol responder a nuevos desafíos jurídicos en la materia de protección de datos personales, que está determinada por cambios tecnológicos y nuevas prácticas de empresa.
Será necesario evaluar cómo la SIC evaluará el cumplimiento de estas instrucciones, y si aplicará las multas de carácter personal mencionadas en el artículo 23 (literal a) de la Ley 1581 de 2012 sobre sanciones.